럭키 마우스, Linux 버전의 SysUpdate 멀웨어 생성
사이버 위협 그룹인 럭키 마우스는 Linux 버전의 멀웨어인 SysUpdate를 만들어 운영 체제를 사용하는 디바이스를 공격할 수 있는 능력을 강화했습니다.
트렌드마이크로 연구진에 따르면 이 최신 캠페인은 필리핀에 본사를 둔 도박 회사를 포함한 다양한 표적을 대상으로 Linux 및 윈도우 변종 SysUpdate를 배포했습니다. 보고서에 따르면 공격자는 C&C 구성을 시작하기 한 달 전에 가장 오래된 도메인 이름을 등록한 다음 한 달을 더 기다렸다가 해당 도메인 이름에 연결된 악성 샘플을 컴파일했습니다.
Linux 버전과 윈도우 버전 모두 동일한 파일 처리 기능과 네트워크 암호화 키를 가지고 있습니다. 연구원들은 공격자가 멀웨어의 Linux 변종에 DNS 터널링을 추가하여 방화벽 및 네트워크 보안 도구를 우회할 수 있게 했다고 덧붙였습니다.
이 새 버전은 2021 버전과 유사하지만, 2021 버전에서 보았던 C++ 런타임 유형 정보(RTTI) 클래스가 제거되고 코드 구조가 ASIO C++ 비동기 라이브러리를 사용하도록 변경되었다는 점을 제외하면 2021 버전과 유사합니다. 두 가지 변경 사항으로 인해 샘플을 리버스 엔지니어링하는 데 걸리는 시간이 길어졌습니다. 표적이 된 업계의 조직과 사용자는 현재 진행 중인 이 캠페인으로부터 시스템과 데이터를 보호하기 위해 보안 조치를 강화할 것을 강력히 권고합니다.
공격에 사용된 정확한 감염 경로는 알려지지 않았지만, Youdu와 같은 메시징 앱으로 위장한 설치 프로그램이 공격 시퀀스를 활성화하기 위한 미끼로 사용되었다는 증거가 있습니다. Windows 버전의 SysUpdate에는 프로세스 관리, 스크린샷 촬영, 파일 작업 수행, 임의 명령 실행 등의 기능이 포함되어 있습니다. 또한 DNS 터널링으로 알려진 DNS TXT 요청을 통해 C2 서버와 통신할 수도 있습니다.
프로세스를 로드하기 위해 공격자는 DLL 사이드 로딩 취약점에 취약한 합법적인 "Microsoft 리소스 컴파일러" 서명 파일인 rc.exe를 실행하고 rc.dll이라는 파일을 로드합니다. 그런 다음 악성 rc.dll은 메모리에 rc.bin이라는 파일을 로드합니다. rc.bin 파일에는 첫 번째 단계의 압축을 풀고 메모리에 로드하기 위해 Shikata Ga Nai로 인코딩된 셸코드가 포함되어 있습니다. 명령줄 매개변수의 수에 따라 다른 작업이 수행됩니다.
이러한 작업 중 일부에는 0 또는 두 개의 매개 변수를 사용하여 시스템에 멀웨어를 설치한 다음 네 개의 매개 변수를 사용하여 프로세스 중공화를 사용하여 1단계를 다시 호출하는 것이 포함됩니다. 이전 동작과 동일하지만 설치가 필요하지 않은 매개변수 1개. 그리고 DES로 암호화된 멀웨어 구성이 포함된 메모리 섹션을 생성하는 4개의 매개변수와 두 번째 Shikata Ga Nai 셸코드 압축 해제 및 로딩 2단계를 생성하는 매개변수입니다. 그런 다음 프로세스 중공화를 통해 2단계로 진행됩니다.
멀웨어가 파일을 하드코딩된 폴더로 전송하는 "설치" 단계는 간단한 것으로 간주됩니다. 프로세스의 권한에 따라 멀웨어는 단일 매개 변수를 사용하여 재배치된 실행 파일 rc.exe를 시작하는 레지스트리 키 또는 서비스를 생성합니다. 이렇게 하면 다음 재부팅 시 멀웨어가 설치 단계를 우회하여 시작됩니다.
이 글의 출처는 TheHackerNews의 기사입니다.