요약 : 보안 외신 해커뉴스에 의하면 악명 높은 멀웨어인 라즈베리로빈(Raspberry Robin)이 돌아왔다고 한다. 2024년 3월부터 새로운 캠페인이 시작됐다고 하는데, WSF 파일을 통해 퍼지는 중이라고 한다. 이전에는 주로 USB 드라이브들을 통해 퍼졌는데, 공격자들이 새로운 유포 방식을 실험하고 있는 것으로 보인다고 보안 업체 HP울프시큐리티(HP Wolf Security)는 분석한다. 캠페인의 배후에는 스톰0856(Storm-0856)이라고 하는 조직이 있는 것으로 보인다. 스톰0856은 이블코프(Evil Corp)나 사일런스(Silence), TA505와 같은 악명 높은 해킹 조직들과도 연계되어 있는 것으로 알려져 있다.


배경 : 라즈베리로빈은 큐냅웜(QNAP worm)이라고 불리기도 한다. 2021년 9월에 처음 발견됐는데, 큐냅 장비들을 주로 침해했기 때문이다. 현재는 웜에서 다운로더로 진화한 상태이며, 다양한 장비들에 각종 멀웨어를 심는 통로로 활용되고 있다. 공격자들이 퍼트리고 있는 WSF 파일은 난독화 처리가 되어 있으며, 현재까지 바이러스토탈에서 탐지율 0%를 기록하고 있다. 탐지와 분석 방해 기술이 강력하게 작동해 보안 전문가들을 어렵게 만들고 있다.

말말말 : “악성 URL로 접속하면 WSF 파일이 다운로드 됩니다. 그런데 피해자들을 악성 URL로 꼬드기는 방법이 아직까지 명확히 밝혀지지 않고 있습니다.” -HP울프시큐리티-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>