요약 : 보안 외신 블리핑컴퓨터에 의하면 3천 개가 넘는 깃허브 계정들이 멀웨어 유포에 활용됐다고 한다. 주로 유포되고 있는 건 정보 탈취형 멀웨어이고, 이 캠페인의 배후에는 스타게이저고블린(Stargazer Goblin)이라는 해킹 단체가 있는 것으로 분석되고 있다. 깃허브 계정과 워드프레스 사이트들을 통해 암호가 걸린 아카이브 파일을 내보내고 있는데, 이를 다운로드해서 풀면 압축되어 있던 멀웨어가 복구되면서 각종 정보가 공격자들의 손으로 넘어간다. 깃허브가 워낙 유명한 서비스라 이곳을 통해 배포되는 파일에 대해서 사용자들은 큰 의심을 품지 않으며, 공격자는 이러한 심리적 허점을 노린 것으로 보인다.


배경 : 스타게이저고블린은 2023년 6월부터 다크웹에 나타나 멀웨어 유포 대행 서비스를 제공하기 시작했다고 보안 업체 체크포인트(Check Point)는 설명한다. 하지만 최초 활동은 그보다 전인 2022년 8월부터인 것으로 추정된다. 현재 캠페인을 통해서는 레드라인(RedLine), 룸마스틸러(Lumma Stealer), 라다만티스(Rhadamanthys), 라이즈프로(RisePro) 등이 유포되는 중이다.

말말말 : “이번 캠페인은 매우 성공적입니다. 짧은 시간 안에 수천 명이 멀웨어에 당했거든요. 게다가 공격자들은 훔친 정보를 바탕으로 피해자들의 프로파일링도 하는 것으로 보입니다. 자신들이 만들어낸 성과에 더 높은 가치를 부여하기 위함이죠.” -체크포인트-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>