이모티콘을 활용한 해킹

'디스고모지(DISGOMOJI)'라는 악성코드

특징

• 리눅스 시스템을 대상으로 하며, 디스코드(Discord)와 이모티콘을 이용한 명령 및 제어(C2) 메커니즘을 통해 감염된 장치를 제어
• 이 악성코드는 공격자가 제어하는 디스코드 서버에 연결되어 특정 이모지 기반 명령을 대기
• 아홉 개의 이모지가 다양한 명령을 나타내며, 이를 통해 쉘 명령 실행, 스크린샷 촬영, 파일 탈취 등의 작업을 수행
• 파키스탄 기반의 위협 행위자인 UTA0137과 연관

 

해킹 방법

• 디스고모지는 ZIP 압축 파일 내 UPX로 패킹된 ELF 실행 파일을 포함한 피싱 이메일을 통해 배포
• ELF 파일이 실행되면, 유인하는 PDF 파일이 미끼로 표시하면서 백그라운드에서 추가 페이로드를 배포
• @reboot 크론 명령을 사용해 시스템 시작 시 악성코드를 실행
• XDG 자동 시작 항목과 uevent_seqnum.sh 스크립트를 사용해 USB 드라이브를 대상으로 데이터를 탈취
  
  

기타 유사 악성코드 

• 보테나고(BotenaGo) 봇넷은 33개 이상의 취약점을 악용하여 IoT 장치를 공격하며, 탐지가 어려운 고랑 페이로드를 활용
• SSH-스네이크(SSH-Snake) 악성코드는 SSH 키를 탈취하고 네트워크 내에서 이동하는 데 정교한 기술을 사용