사이버보안 연구원들은 감염된 시스템에서 지속성을 유지하고 신용카드 스키머 코드를 숨기는 획기적인 기술을 활용하는 새로운 은밀한 Linux 맬웨어를 발견했습니다.
재정적 동기를 가진 위협 행위자에게 기인한 맬웨어는 다음과 같은 코드명을 받았습니다. 세덱스 Aon의 Stroz Friedberg 사고 대응 서비스 팀에서 제공합니다.
“2022년부터 활동 중인 이 첨단 위협은 공격자에게 역쉘 기능과 고급 은폐 전술을 제공하는 동시에 눈에 띄지 않게 숨어 있습니다.” 연구원 Zachary Reichert, Daniel Stein, Joshua Pivirotto가 말했습니다.
악의적인 행위자들이 끊임없이 자신들의 수법을 즉흥적으로 개발하고 개선하며, 감지를 피하기 위해 새로운 기술을 사용하는 것은 놀라운 일이 아닙니다.
sedexp를 주목할 만한 점은 지속성을 유지하기 위해 udev 규칙을 사용한다는 것입니다. Device File System을 대체하는 Udev는 속성을 기반으로 장치를 식별하고 장치 상태가 변경될 때(예: 장치가 플러그인되거나 제거될 때) 대응할 규칙을 구성하는 메커니즘을 제공합니다.
udev 규칙 파일의 각 줄에는 최소한 한 개 이상의 키-값 쌍이 있어서 이름으로 장치를 일치시키고 다양한 장치 이벤트가 감지되면 특정 작업을 트리거할 수 있습니다(예: 외부 드라이브가 연결되면 자동 백업을 트리거).
“일치 규칙은 장치 노드의 이름을 지정하거나, 노드를 가리키는 심볼릭 링크를 추가하거나, 이벤트 처리의 일부로 지정된 프로그램을 실행할 수 있습니다.” SUSE Linux는 설명서에서 이렇게 언급합니다. “일치 규칙이 발견되지 않으면 기본 장치 노드 이름을 사용하여 장치 노드를 만듭니다.”
sedexp에 대한 udev 규칙인 ACTION==”add”, ENV{MAJOR}==”1″, ENV{MINOR}==”8″, RUN+=”asedexpb run:+”는 /dev/random(장치 마이너 번호 8에 해당)이 로드될 때마다(일반적으로 재부팅 시마다 발생) 맬웨어가 실행되도록 설정됩니다.
다르게 말하면, RUN 매개변수에 지정된 프로그램은 시스템을 다시 시작할 때마다 실행됩니다.
이 맬웨어는 원격으로 손상된 호스트에 접근할 수 있도록 역방향 셸을 실행하고, ls 또는 find와 같은 명령에서 “sedexp” 문자열이 포함된 모든 파일을 숨기기 위해 메모리를 수정할 수 있는 기능을 제공합니다.
스트로즈 프리드버그는 조사한 사례에서 해당 기능이 웹 셸, 변경된 Apache 구성 파일, udev 규칙 자체를 숨기는 데 사용되었다고 밝혔습니다.
연구자들은 “이 맬웨어는 웹 서버에서 신용카드 스크래핑 코드를 숨기는 데 사용되었으며, 이는 재정적 이득에 초점을 맞춘 것임을 나타냅니다.”라고 말했습니다. “sedexp의 발견은 랜섬웨어를 넘어 재정적 동기를 가진 위협 행위자의 진화하는 정교함을 보여줍니다.”
