하우리 로고 이미지

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

뉴스 클리핑

USB로 퍼지는 라즈베리 로빈, 악명 높은 단체 이블코프와 관련성 높아
등록일 :
2022.09.05
라즈베리 로빈은 USB를 통해 피해자 네트워크를 빠르게 퍼지는 것으로 악명이 높은 멀웨어다. 하지만 그 동안 잠 자는 시간이 대부분이라 크게 경계하지 않았다. 그런데 7월부터 겨울잠이 끝난 것으로 보인다.

[보안뉴스 문가용 기자] 악명 높은 USB 기반 웜 라즈베리 로빈(Raspberry Robin)이 다른 멀웨어를 퍼트리는 로더로서 점점 널리 활용되고 있다. 그런데 이 라즈베리 로빈이라는 것에서 또 다른 멀웨어인 드리덱스(Dridex)와의 유사성이 꽤나 많이 발견되는 중이다. 즉 라즈베리 로빈과 러시아의 랜섬웨어 단체인 이블코프(Evil Corp)의 관련성이 의심된다는 것이다.

[이미지 = utoimage]


IBM 시큐리티(IBM Security)의 연구원들은 최근 라즈베리 로빈에 감염된 시스템들에서 발견된 DLL 파일 두 개를 역설계 했다. 그리고 이를 기존 멀웨어들과 비교하는 중에 드리덱스와의 유사성이 눈에 띄었다고 한다. 드리덱스는 이블코프가 과거에 애용하던 다운로더로, 이것 때문에 2019년 미국 재무부는 이블코프를 제재 대상에 올리기도 했다. 드리덱스를 개발한 것이 이블코프이니까 제재 목록에 포함시킨다는 것이었다.

일단 두 멀웨어의 복호화 알고리즘의 작동 방식이 비슷했다. “PE(portable executables) 포맷 파일에 무작위 문자열을 사용하는 것도 비슷하고, 중간자 로더 코드를 사용해 최종 페이로드를 복호화 하는 것도 비슷했습니다. 분석 방해 코드를 내포하고 있다는 것도 역시 비슷하고요. 그 외에 구조와 기능성 면에서도 높은 유사성을 보여주었습니다.” IBM 보안 역설계 전문가인 케빈 헨슨(Kevin Henson)의 설명이다. 그는 라즈베리 로빈 역시 이블코프의 작품이라고 보고 있다.

라즈베리 로빈의 왕성한 활동력
라즈베리 로빈이라는 멀웨어를 제일 먼저 발견해 이름까지 붙인 건 보안 업체 레드카나리아(Red Canary)다. 지난 5월의 일이었다. 그 후 보안 업계 여러 다른 전문가들도 이 라즈베리 로빈에 관심을 갖게 됐고, IBM 시큐리티처럼 독자적으로 추적을 해 나가는 업체들도 생겼다.

그도 그럴 것이 라즈베리 로빈은 직원들 사이에 공유되는 USB 드라이브들까지 감염시켜가며 매우 빠르게 피해자의 내부 네트워크 안으로 파고드는 기능을 가진 멀웨어였다. 물론 감염을 위해서는 피해자를 소셜 엔지니어링 공격으로 속여, 오염된 USB 드라이브를 사용하도록 유도해야 하지만, 이는 큰 방해 요소로 작용하지 않는 듯한 분위기다. 감염된 조직이 여름 한 철 동안 17%나 증가했기 때문이다.

라즈베리 로빈은 처음 멀웨어 분석가들을 적잖이 애먹게 만들었다. 왜냐하면 감염에 성공한 이후 꽤 오랜 기간 활동하지 않았기 때문이다. 게다가 2단계 페이로드를 발동시키지도 않았다. 최초 감염만 있고 그 후에는 잠잠했다는 뜻이다. 

하지만 7월 양상이 변했다. 갑자기 라즈베리 로빈에 당한 시스템들에서 페이크업데이츠(FakeUpdates)라는 멀웨어가 다운로드 되기 시작한 것이다. 페이크업데이츠는 이블코프가 랜섬웨어를 활용하기 이전에 사용하던 멀웨어 중 하나다. 속굴리시(SocGhoulish)라는 이름으로도 알려져 있으며, 일반 소프트웨어의 정상 업데이트처럼 포장되어 있으나 코발트 스트라이크(Cobalt Strike) 등의 다른 멀웨어를 피해자 시스템에 설치한다.

MS는 페이크업데이츠가 한 접근 브로커(MS는 이 단체에 DEV-206이라는 이름을 붙였었다)가 사용하는 도구라고 파악한 바 있다. 만약 그것이 사실이라면 이블코프와 DEV-206 간의 파트너십 등이 체결되었을 가능성을 시사한다. 다크웹에서 유력한 공격 단체들 간 파트너십이 맺어지는 건 흔히 있는 일이다.

라즈베리 파이가 처음 발견된 건 2021년 9월의 일이다 제조업, 테크놀로지 산업, 에너지 산업, 운송업 내 산업체들을 공략하는 데 주로 활용되어 왔다.

3줄 요약
1. 유명 공격 단체 이블코프, 라즈베리 로빈 멀웨어도 개발했을까?
2. 분석해 보니 유명 멀웨어 드리덱스와 비슷한 점 많음.
3. 라즈베리 로빈, 최근 들어 활동량 높이기 시작.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top