랜섬웨어까지 퍼다 나른 악명 높은 웜...일부 지역에서 다시 나타나기 시작

요약 : 보안 외신 해커뉴스에 의하면 악명 높은 웜인 라즈베리로빈(Raspberry Robin)이 다시 활동을 시작했다고 한다. 최소 9월부터 여러 조직들을 공격하기 시작한 것으로 보이며, 주요 표적은 정부 기관과 통신사들이다. 현재까지 남미, 호주, 유럽 지역에서 피해자들이 발견되는 중이다. 악성 페이로드에 10겹 이상의 난독화 기술이 적용되어 있어 탐지가 까다롭다. 또한 여러 공격 단체가 즐겨 사용하고 있어 추적도 쉽지 않다. 라즈베리로빈은 최초 침투를 실행하며, 그 다음 각종 멀웨어를 추가로 심는다. 록빗(LockBit)과 클롭(Clop) 랜섬웨어도 라즈베리로빈을 통해 퍼진 적이 있다.


배경 : 라즈베리로빈은 예전부터 USB 드라이브를 통해 유포되는 것으로 유명했었다. 이 드라이브에는 .lnk 파일이 저장되어 있고, 이를 실행시킬 시 MSI 파일이 다운로드 된다. 이 MSI 파일은 라즈베리로빈 페이로드를 피해자의 시스템에 심고, 토르 클라이언트와 연결하여 추가 명령을 기다린다.

말말말 : “라즈베리로빈은 악성 행위들을 정상 윈도 프로세스로 위장시키는 데 특화되어 있습니다. dllhost.exe나 regsvr32.exe, rundll32.exe 등이 대표적으로 사칭되죠. 개발자가 난독화에 많은 공을 들인 것으로 보입니다.” -트렌드마이크로(Trend Micro)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>