공공 리포지터리도 이제는 공격자들의 악용 대상...레드라인 멀웨어의 진화

요약 : 보안 외신 시큐리티위크에 의하면 레드라인(RedLine)이라는 정보 탈취 멀웨어를 유포하는 공격자들의 움직임이 중단됐다고 한다. 이들이 이용하던 깃허브 리포지터리들이 차단됐기 때문이다. 레드라인은 다크웹에서 활발히 거래되는 멀웨어로, 판매자들은 최근 깃허브에 리포지터리들을 만들고, 이 리포지터리들을 일종의 C&C 서버처럼 사용하고 있었다. 보안 업체 이셋(ESET)이 이를 발견하고 깃허브의 운영사인 MS에 알렸고, MS는 이러한 리포지터리들을 전부 차단시켰다.


배경 : 레드라인은 최소 2020년 초부터 나타난 멀웨어로, 러시아어를 기반으로 한 다크웹 포럼과 일부 텔레그램 채널들에서 거래된다. 크리덴셜, 신용카드, 암호화폐 지갑 주소와 같은 정보를 피해자의 장비로부터 수집한다. 퓨어크립터(PureCrypter)라는 다운로더와 가짜 어도비 아크로뱃 요청, 악성 MS 원노트 문서의 형태로 유포된 적이 있다.

말말말 : “총 4개의 리포지터리가 삭제됐으며, 만일을 대비한 예비 채널 같은 건 아직까지 발견되지 않고 있습니다.” -이셋-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>