MS 윈도우 멀웨어 라즈베리 로빈에 다수 고객사 네트워크 감염
상태바
MS 윈도우 멀웨어 라즈베리 로빈에 다수 고객사 네트워크 감염
  • 곽중희 기자
  • 승인 2022.07.04 16:27
  • 댓글 0
이 기사를 공유합니다

USB 통해 초기 접근, 주로 제조-기술 기업 노려

 

마이크로소프트(MS)가 윈도우 멀웨어 라즈베리 로빈이 이미 수백 개의 기업 네트워크를 감염시켰다고 발표했다.

라즈베리 로빈은 Red Canary의 사이버 보안 연구원이 발견한 원도우 멀웨어로, 이동식 USB 를 통해 전파되는 것으로 알려진다.

라즈베리 로빈은 윈도우 인스톨러를 사용해 QNAP 관련 도메인에 접근하고, 악성 DLL을 다운로드한다. 이후 TOR 출구 노드를 백업 C2 인프라로 사용한다.

윈도우 측은 “라즈베리 로빈은 주로 USB 장치를 통해 전파된다. 감염된 USB에서 합법적인 폴더로 가장하는 바로 가기 .lnk 파일로 자주 나타난다. 라즈베리 로빈에 감염된 드라이브가 시스템에 연결되면, UserAssist 레지스트리 항목이 업데이트되면서 .lnk 파일을 참조하는 ROT13 암호화 값의 실행을 기록한다”라고 설명했다.

라즈베리 로빈은 2021년 9월 처음 발견됐으며 전문가들은 라즈베리 로빈이 기술-제조 기업을 주 표적으로 삼는 것을 관찰했다.

최근 MS는 기술, 제조 기업을 포함해 여러 고객사의 네트워크에서 이미 감염이 발생했음을 확인했다.

블리핑컴퓨터에 따르면, MS는 MS Defender for Endpoint 가입자에게 보낸 비공개 위협 인텔리전스 권고를 통해 고객들에게 라즈베리 로빈의 공격에 대해 이미 경고한 바 있다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.