2021년 11월 11일, 치안신 위협 인텔리전스 센터는 中-인도 관련 시사 뉴스를 사용하여 공격을 수행한 SideCopy 조직의 공격 사건을 공개했다. 이번 공격은 모디 인도 총리의 美 방문 문서를 미끼로 하는 리눅스 플랫폼 공격 사례로 알려졌다.

해당 샘플은 모디의 미국 방문과 관련한 내용으로 명명된 tar.gz 압축 패키지로, 파일이 실행되면 피해자를 유인하는 동영상이 다온로드 및 재생되면 악성 스크립트를 다운로드하고 실행하게 된다.

치안신은 파이썬 언어로 작성된 공격 샘플을 분석한 결과  해당 샘플이 윈도우와 리눅스 플랫폼 모두에 걸쳐있는 원격제어도구라는 것을 밝혀냈고 연결된 C2서버에서는 Mac OS를 겨냥한 Bella RAT도 발견하였다.

또한 이번 공격을 분석하며 치안신은 C2 서버 IP 173.212.200[.]69에 대한 추가 분석을 통해 해당 IP가 SideCopy 조직이 사용하는 도메인 digitalfilestores[.]com 으로 확인되었음을 식별했다. 또한 바이러스 토탈에서 해당 IP와 관련된 또 다른 파이썬 RAT 샘플을 찾았는데 이 샘플은 올 9월에 업로드되었으며 역시 동일한 SideCopy 조직에 속했을 가능성이 크다고 보았다.

정리하자면 이번 공격에서 공격 조직 SideCopy는 핫 이슈를 미끼로 삼았고 여러 플랫폼을 겨냥한 모든 공격은 파이썬으로 구현된 RAT에 의존했으며 이들이 오픈소스 소프트웨어나 상용 트로이목마에서 사용하는 공격 방법은 복잡하지 않지만 여전히 유해한 것으로 볼 수 있다. 이번에 획득한 샘플은 주로 남아시아를 대상으로 하며 中 사용자는 영향을 받지 않는다. 그러나 치안신은 사용자에게 소셜 미디어에서 공유된 출처를 알 수 없는 링크 및 이메일 첨부파일을 클릭하고 실행하지 않을 것을 권고하며 비공식 출처의 앱을 설치하지 말 것을 언급했다.

[출처 : 치안신 / 11.15.]