220420_유명조달기업
신종 윈도우 멀웨어 라즈베리 로빈, USB 통해 확산 중
상태바
신종 윈도우 멀웨어 라즈베리 로빈, USB 통해 확산 중
  • 곽중희 기자
  • 승인 2022.05.08 19:32
  • 댓글 0
이 기사를 공유합니다

멀웨어 공격 동기 아직 찾지 못해, 추가 정보 필요한 상황

라즈베리 로빈(Raspberry Robin)이라는 새로운 윈도우 멀웨어가 발견돼 사용자들에게 주의가 요구된다.

Red Canary의 사이버 보안 연구원들에 따르면, 라즈베리 로빈은 웜(스스로를 복제하는 악성 소프트웨어 컴퓨터 프로그램)과 비슷하게 USB 장치를 통해 확산되고 있다.

라즈베리 로빈은 2021년 9월 처음 발견됐는데 msiexec.exe라는 이름의 파일로 사용자에게 HTTP 요청을 하는 것으로 알려졌다. 또한 윈도우 인스톨러를 통해 QNAP 시스템즈(대만 IT기업) 관련 도메인으로 연결, 악성 DLL(동적 링크 라이브러리)을 다운로드하게 한다. 이어 TOR(온라인 상에서의 익명을 보장하고 검열을 피할 수 있게 해주는 자유 소프트웨어) 출구 노드를 백업 C2 인프라로 사용한다.

전문가들에 따르면, 라즈베리 로빈은 주로 기술 및 제조 기업을 표적으로 삼고 있다. 기업에 대한 접근은 주로 감염된 USB 장치를 통해 이뤄진다.

Red Canary 연구원에 따르면 fodhelper.exe를 상위 프로세스로 검색하면 위협을 감지할 수 있다.

연구원들은 라즈베리 로빈의 공격 동기를 아직 찾지 못했다고 말했다. 또한 이들이 외부 드라이브를 감염시켜 전파하는 방법도 여전히 불분명한 상황이다.

연구원들은 “라즈베리 로빈이 악성 DLL을 설치하는 이유는 아직 알 수 없다. 다만 한 가지 가설은 감염된 시스템에 대한 지속성을 설정하려는 시도일 수 있다는 점이다. 현재는 멀웨어에 대한 추가 정보가 필요하다”라고 설명했다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.