2022년 11월 유럽의 셀프계산대에서 일어난 사고를 조사하는 과정에서, IBM Security X-Force 팀은 공격자들이 디스코드 메세지안 C2(Command&Control) 를 도입하는 새로운 기술이 사용되었음을 발견하였습니다. 디스코드는 유저들이 관심을 갖는 커뮤니티를 만들고, 참여할 수 있게 해주는 대화, 목소리, 영상 서비스입니다. 디스코드는 그 소프트웨어 자체가 악의적인 용도가 없을지라도, 공격자들이 멀웨어와 트로이원격접속 (RATs)와 같은 C2 를 피해자들에 심기 위해서 사용해 왔습니다. 디스코드 C2의 본래의 봇 기능을 이용하여 진행된 X-Force 팀의 첫번째 피해사례 케이스에 대해서 이야기 해보려 합니다.
X-Force는 POS 네트워크에서 발견된 게이밍 트래픽이 증가하는 것에 대해 경고하는 것에서 처음 이 활동을 발견하였습니다. X-Force는 POS 시스템에 대한 분석을 하였고, C2와 연결하기 위해서 만들어진 자바기반의 디스코드 봇을 발견하였습니다. 이 봇은 시스템에서 데이터를 모아서 추출하는 것을 수행합니다. X-Force의 조사를 통해서, USB포트로 POS시스템에 연결되는 P4wnP1 USB 공격플랫폼을 구동하는 라스베리 PI Zero 디바이스를 이용하였으며, 이를 통해 POS 시스템에 처음 접근시도가 이루어 졌다는 사실을 발견하였습니다. |
