• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

라즈베리로빈, 스페인과 포르투갈의 금융 기관 노리려 기능 강화 2023.01.04

악명 높은 멀웨어 라즈베리로빈이 업그레이드 되어 나타났다. 난독화 기능이 한층 강화되었다. 실제 페이로드가 발동되기 전까지 5단계나 거친다. 배후에 누가 있든 만만한 조직이 아닐 것으로 보인다.

[보안뉴스 문가용 기자] 해킹 그룹들이 라즈베리로빈(Raspberry Robin)이라는 멀웨어의 새로운 버전을 만들어 사용하기 시작했다. 새 버전은 특히 스페인과 포르투갈의 금융 기관들을 노리는 데 활용되고 있다고 한다. 이를 파악한 보안 업체 시큐리티조스(Security Joes)의 연구원들은 1월 2일 보고서를 통해 “꽤나 큰 업그레이드가 있었다”고 경고했다.

[이미지 = utoimage]


보고서에 의하면 공격자들은 이전과 같은 큐냅(QNAP) 서버를 활용해 여러 번의 공격을 시도했다고 한다. 하지만 피해자의 데이터를 평문이 아니라 RC4 알고리즘으로 암호화 하고 있으며, 다운로더에는 새로운 분석 방해 기능이 추가됐다는 점에서 차이가 나타난다고 설명한다. 난독화라는 측면에서 여러 가지 장치를 덧입힌 것이라고 볼 수 있다.

라즈베리로빈은 악명 높은 백도어이자 웜으로, 주로 악성 USB 장비들을 통해 PC로 전파되는 것으로 알려져 있다. 첫 번째 장비에 설치된 후에는 로더로서 자리를 잡고 다른 멀웨어들을 추가로 다운로드 한다. 발견된 후부터 지금까지 꾸준히 업그레이드가 되고 있다. 배후 세력을 정확히 파악하지는 못했지만 대형 범죄 조직이 있을 것으로 예상된다. 이전에는 이블코프(Evil Corp)가 라즈베리로빈을 만들어 사용하고 있다는 의견에 꽤나 힘이 실리기도 했었다.

“지금의 라즈베리로빈은 상당히 고차원적인 수준에 이르렀고, 특히 난독화 부분이 복잡하게 구성되어 있어 정적으로 분석하기가 매우 어렵습니다.” 시큐리티조스의 설명이다. 이런 복잡한 공격 도구를 만들 수 있는 건 대부분 자원이 풍부하고 다크웹에서 유명세를 떨치고 있는 대형 조직들이다.

업그레이드 된 라즈베리로빈
이번 버전은 실제 악성 코드가 유포되기 전까지 최소 다섯 단계를 거치도록 만들어졌다. 1단계에서는 패커가 사용된다. 패커가 다음 단계의 코드를 감추고 피해자의 시스템에 진입한 후 셸코드 로더를 발동시킨다. 셸코드 로드를 통해 2단계 로더 DLL이 심겨지고, 이 DLL을 통해 중간 단계 셸코드가 실행되며, 마지막으로 셸코드 다운로더가 설치된다. 이렇게 복잡한 경로로 최종 멀웨어가 침투하니 탐지와 확인이 매우 어렵다.

복잡해진 것만이 전부가 아니다. 이전보다 더 많은 데이터를 피해자들로부터 훔치기도 한다. “공격자들은 백엔드에 확인 기능을 이전보다 더 많이 구축해둔 것으로 보입니다. 자신들의 표적에 대하여 좀 더 상세히, 그리고 정확히 알고 싶다는 의도가 보이는 부분입니다. 또한 샌드박스 환경의 봇들도 이런 식으로 걸러낼 수 있고, 따라서 분석이나 허니팟들에도 덜 당하게 됩니다. 뿐만 아니라 실시간으로 상황에 대처할 수도 있게 되죠. ”

보다 강력한 공격 도구가 되다
라즈베리로빈은 나타났다가 사라졌다를 반복하면서 피해자들을 양산하고 있다. 게다가 다시 나타날 때마다 업그레이드가 되기 때문에 쉽게 다음 공격 패턴을 예측할 수도 없다. 이런 라즈베리로빈을 제일 먼저 발견해 이름을 붙인 건 보안 업체 레드카나리(Red Canary)다. 당시 레드카나리는 “USB로 피해자들을 감염시키지만 꽤나 오랜 기간 아무런 악성 행위 없이 설치된 상태를 유지하기만 한다”고 발표했었다.

하지만 그 후에 발견된 라즈베리로빈에는 10개의 난독화 기술과 가짜 페이로드가 추가되었으며, 당시의 주요 표적은 호주, 유럽, 남아메리카의 통신사와 정부 기관들이었다. 이러한 발전상을 찾아낸 건 보안 업체 트렌드마이크로(Trend Micro)였다. 그 후 IBM과 마이크로소프트의 보안 연구원들도 라즈베리로빈의 업그레이드 버전들을 발견하기 시작했다. MS는 라즈베리로빈이라는 이름 대신 DEV-0856이라는 이름을 사용한다.

3줄 요약
1. 라즈베리로빈 멀웨어, 한 단계 더 업그레이드 되어 나타남.
2. 이번에는 난독화 기능을 강화시켜 놓았음.
3. 라즈베리로빈 배후에 거대한 조직 있을 가능성 높음.
[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>