은밀히 침투해 번식하는 롭샷...정보를 공격자들에게 전달

요약 : 보안 외신 시큐리티위크에 의하면 러시아의 해킹 단체인 TA505가 새로운 멀웨어를 사용하여 공격을 시작했다고 한다. 이름은 롭샷(Lobshot)이라고 하며, 공격자들이 사기 탐지 엔진을 우회하여 피해자의 컴퓨터에 지속적으로 접근할 수 있도록 해 주는 도구다. 주로 멀버타이징 기법을 통해 멀웨어가 유포되는 중이라는 이 롭샷은 피해자의 네트워크에서는 새로운 경로에 스스로를 복제하고 원 파일을 삭제하는 등의 번식 기능도 가지고 있다고 한다. 롭샷을 통해 공격자들은 주로 정보를 빼돌린다.


배경 : 롭샷은 일종의 hVNC 멀웨어다. hVNC는 ‘숨겨진 가상 네트워크 컴퓨팅(hidden Virtual Network Computing)’의 준말이다. TA505는 최소 2022년부터 롭샷을 활용해 온 것으로 보인다. 이블코프(Evil Corp)라고도 불리는 TA505는 최소 2014년부터 활동해 온 것으로 추정된다.

말말말 : “TA505는 금전적인 목적을 달성하기 위해 움직이는 단체로, 드리덱스(Dridex)와 록키(Locky), 바트(Bart), 비트페이머(BitPaymer)와 같은 멀웨어를 운영한 것으로도 잘 알려져 있습니다.” -시큐리티위크-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>