기술 지원
문서
로그인
문의하기
해커들은 Clop 랜섬웨어를 사용하여 라즈베리 로빈 웜에 감염된 조직을 표적으로 삼습니다.
2022년 11월 9일 TuxCare 홍보팀
DEV-0950으로 간단히 식별되는 해커 그룹은 이전에 라즈베리 로빈 웜에 감염된 조직의 네트워크를 암호화하기 위해 CIop 랜섬웨어를 사용하고 있습니다.
Raspberry Robin은 이동식 USB 장치를 통해 확산되는 Windows 웜입니다. 이 웜은 Windows 설치 관리자를 사용하여 QNAP 관련 도메인에 액세스하고 악성 DLL을 다운로드합니다. 그런 다음 이 멀웨어는 TOR 출구 노드를 백업 C2 인프라로 사용합니다.
이 악성 코드는 cmd.exe를 사용하여 감염된 외장 드라이브에 저장된 파일을 읽고 실행합니다. 이 악성 코드는 외부 네트워크 통신에 msiexec.exe를 사용하여 악성 도메인과 통신하며, 이 도메인은 DLL 라이브러리 파일을 다운로드하고 설치하기 위해 C2로 사용됩니다.
이 맬웨어는 DEV-0950과 연결된 손상 후 활동에 사용되었지만, 엔드포인트용 Microsoft Defender에서 수집한 데이터에 따르면 지난 30일 동안 약 1,000개 조직에서 약 3,500개의 디바이스가 손상되어 최소 한 번 이상의 RaspberryRobin 페이로드 관련 경고가 발생한 것으로 나타났습니다.
DEV-0950에 의해 수행된 공격은 코발트 스트라이크 비콘을 사용하도록 유도했습니다. 다른 경우에는 공격자가 라즈베리 로빈 감염과 코발트 스트라이크 배포 사이에 트루봇 멀웨어를 전달했습니다. 조사 결과, 전문가들은 2022년 9월 19일부터 IcedID 범블비와 TrueBot 페이로드를 사용한 웜 감염이 관찰되었으며, 공격의 마지막 단계는 CIop 랜섬웨어 배포였다고 밝혔습니다.
하지만 이 취약점을 악용하여 조직을 대상으로 랜섬웨어 공격을 감행하는 위협 행위자는 DEV-0950뿐이 아닙니다. 연구원들은 라즈베리 로빈 멀웨어를 통해 가짜 업데이트가 확산되는 것을 관찰했습니다. Microsoft 연구진에 따르면 DEV-0206으로 확인된 또 다른 위협 행위자는 이 웜을 사용하여 Evil Corp TTP를 사용하는 위협 행위자가 제어하는 네트워크에 다운로더를 배포하는 역할을 담당했다고 합니다.
연구원들은 DEV-0206이 멀웨어 광고 캠페인을 사용하여 기업 네트워크를 손상시키는 액세스 브로커라고 설명했습니다.
"DEV-0950은 전통적으로 피싱을 사용하여 대부분의 피해자를 확보하기 때문에, 라즈베리 로빈을 사용하는 이 주목할 만한 변화는 기존 감염에 페이로드를 전달하고 캠페인을 랜섬웨어 단계로 더 빠르게 이동할 수 있게 해줍니다. 사이버 범죄 경제의 상호 연결된 특성을 고려할 때, 일반적으로 악성 광고나 이메일과 같은 다른 수단을 통해 배포되는 이러한 라즈베리 로빈 관련 멀웨어 캠페인의 배후에 있는 공격자들이 멀웨어 설치 대가로 라즈베리 로빈 운영자에게 돈을 지불하고 있을 가능성이 있습니다."라고 Microsoft에서 발표한 보고서에서 설명합니다.
이 글의 출처는 SecurityAffairs의 기사입니다.
