Quasar Linux RAT, 소프트웨어 공급망 침해를 위해 개발자 자격 증명을 탈취

Source: The Hacker News

문서화되지 않은 Linux 임플란트 Quasar Linux RAT (QLNX) 가 개발자 시스템을 표적으로 삼아 은밀한 foothold 를 구축하고, 자격 증명 수집, 키 로깅, 파일 조작, 클립보드 모니터링, 네트워크 터널링 등 다양한 사후 침투 기능을 수행합니다.

“QLNX는 소프트웨어 공급 체인 전반에 걸쳐 개발자와 DevOps 자격 증명을 목표로 합니다.” 라고 Trend Micro 연구원 Aliakbar Zahravi와 Ahmed Mohamed Ibrahim가 악성코드에 대한 기술 분석에서 밝혔습니다.
— Trend Micro Research

Credential Harvesting

QLNX는 고가치 파일에서 비밀 정보를 추출합니다. 포함되는 파일은 다음과 같습니다:

• .npmrc (npm 토큰)
• .pypirc (PyPI 자격 증명)
• .git-credentials
• .aws/credentials
• .kube/config
• .docker/config.json
• .vault-token
• Terraform 자격 증명
• GitHub CLI 토큰
• .env 파일

이러한 자산이 유출되면 공격자는 다음을 수행할 수 있습니다:

• NPM 또는 PyPI 레지스트리에 악성 패키지를 푸시
• 클라우드 인프라에 접근
• CI/CD 파이프라인을 통해 피벗

Image: Kubernetes 구성 이미지

Persistence Mechanisms

QLNX는 메모리에서 파일 없이 실행되며, kworker 혹은 ksoftirqd 와 같은 커널 스레드로 위장합니다. 호스트를 프로파일링해 컨테이너 환경을 감지하고, 시스템 로그를 삭제한 뒤 일곱 가지 서로 다른 방법으로 영구성을 확보합니다. 포함되는 방법은 다음과 같습니다:

• systemd 유닛 파일
• crontab 항목
• .bashrc 쉘 인젝션

Command and Control

임플란트는 원시 TCP, HTTPS, HTTP 를 통해 C2 서버와 지속적으로 통신을 시도하는 루프를 유지합니다. 58개의 고유 명령을 지원하며, 이를 통해 운영자는 다음을 수행할 수 있습니다:

• 임의의 셸 명령 실행
• 파일 관리 및 프로세스에 코드 인젝션
• 스크린샷 캡처 및 키 입력 기록
• SOCKS 프록시 및 TCP 터널 구축
• Beacon Object Files (BOFs) 실행
• 피어‑투‑피어 (P2P) 메쉬 네트워크 관리

Pluggable Authentication Module (PAM) Backdoors

QLNX는 두 개의 PAM 기반 구성 요소를 포함합니다:

1. 인증 이벤트 중 평문 자격 증명을 가로채고, 외부 SSH 세션 데이터를 로그한 뒤 C2 서버로 전송하는 인라인‑후크 백도어.
2. 모든 동적 링크 프로세스에 자동으로 로드되어 서비스 이름, 사용자명, 인증 토큰을 추출하는 두 번째 자격 증명 로거.

Image: ThreatLocker 일러스트레이션

Rootkit Architecture

QLNX는 두 단계로 구성된 루트킷을 사용합니다:

• 사용자 영역 루트킷은 Linux 동적 링커의 LD_PRELOAD 메커니즘을 통해 임플란트의 아티팩트와 프로세스를 숨깁니다.
• 커널 수준 eBPF 컴포넌트는 BPF 서브시스템을 활용해 C2 서버의 명령을 받아 표준 도구(ps, ls, netstat)로부터 프로세스, 파일, 네트워크 포트를 은폐합니다.

Impact

이 악성코드가 다양한 자격 증명을 체계적으로 수집할 수 있는 능력은 개발자 환경에 심각한 위험을 초래합니다. 패키지 유지 관리자를 대상으로 QLNX를 성공적으로 배포한 위협 행위자는 퍼블리싱 파이프라인에 무단 접근하게 되며, 이를 통해 독성 버전을 푸시하여 소프트웨어 공급 체인 전반에 연쇄적인 하류 영향을 미칠 수 있습니다.

“QLNX 임플란트는 장기적인 은폐와 자격 증명 절도를 위해 설계되었습니다. 위험성을 높이는 것은 단일 기능이 아니라, 도착 → 디스크에서 삭제 → 다중 영구성 메커니즘을 통한 지속 → 사용자 공간과 커널 수준 모두에서 은폐 → 가장 중요한 자격 증명 수집이라는 일관된 공격 워크플로우가 결합된 점입니다.”
— Trend Micro

Images sourced from the original article.