[디지털비즈온 이호선 기자] 마이크로소프트는 미국 시간 10월 27일 USB 연결의 메모리·드라이브를 통해 감염되는 새로운 바이러스 '라즈베리 로빈(Raspberry Robin)' 에 대한 경고를 주의했다.

마이크로소프트는 지난 30일간에 1000개 가까운 조직의 3000대 근처의 디바이스에 바이러스가 기인하는 페이로드(payload) 관련 경고를 통지하고 있다고 외신들이 전했다.

‘Raspberry Robin’ 악성 코드는 과거에 "가짜 업데이트(FakeUpdates)"악성 코드를 사용하여 설치된 사례가 확인되었다. 가짜 업데이트는 러시아 사이버 범죄 그룹인 이블코프(EvilCorp)와 관련이 있다고 단정했다.

Raspberry Robin은 LockBit랜섬웨어 외에도 IcedID, Bumblebee, Truebot과 같은 악성 코드를 배포하는 데 사용된다. 그리고 이번, ‘클롭(Clop)랜섬웨어를 배포하는 목적으로도 이용되고 있는 것이 마이크로소프트에 의해 확인되었다.

MS는 Raspberry Robin을 이용한 Clop의 배포를 'DEV-0950'으로 추적하고 있는 그룹의 작업이라고 추측하고 있다. 또한 이 그룹의 활동은 FireEye가 'FIN11'로 추적하고 있는 고급 해킹 그룹의 것과 부분적으로 일치하고 있다고 전했다.

FIN11은 2021년 피해자의 데이터를 Clop 랜섬웨어 유출 사이트에서 공개하고 있다. MS 위협 인텔리전스센터(MSTIC)는, 블로그에 “DEV-0950은 지금까지 피싱 공격으로 많은 피해자를 만들어 왔다고 전했다.

이미 감염된 피해자에게 페이로드를 보내, 보다 신속하게 랜섬웨어의 단계로 공격 캠페인을 이행하는 것이 가능하게 된다”고 적혀 있다.

또한 보안 기업 Red Canary는 2021년 9월 Raspberry Robin을 발견했다. 이 회사에 따르면 이 바이러스는 폴더에 위장한 LNK 바로가기 파일이 저장된 USB 메모리·드라이브를 통해 'Windows' 시스템에 설치되는 경우가 많다고 했다.

그리고 이 바이러스는, 표적이 된 유저가 USB 메모리·드라이브를 접속하는 것으로 PC나 서버에 감염하게 되어 있다. Windows에서는 이동식 미디어의 자동 실행(autorun) 기능이 디폴트로 무효화되어 있지만, 많은 기업이 레거시 그룹 정책을 통해 이 기능을 활성화하고 있다고 MS는 지적했다.

MS에 따르면 Raspberry Robin은 자동 실행 기능을 악용하는 방법과 사용자를 속여 LNK(Windows 바로 가기 파일) 파일을 클릭시키는 방법을 병용하고 있다고 했다.

MS는 "Raspberry Robin이 장착된 USB 메모리·드라이브 중에는 LNK 파일과 실행 파일만 저장되어 있는 반면 과거에는 일종의 설정이 적용된 autorun.inf 파일이 보존되고 있는 것도 있었다”라고 적고 있다.

이 변화는, 쇼트 컷 파일의 이름이 recovery.lnk라고 하는 일반적인 것으로부터, USB 메모리·드라이브의 브랜드명으로 변경된 것에 관계가 있다고 말할 수 있다.

MS는 LNK 파일의 이름이 브랜드명이 되면 사용자 자신의 손에 의해 이 파일이 실행되기 쉬워지기 때문이라고 추측하고 있다.

또 이 LNK 파일은, 악의 있는 페이로드를 인스톨 하기 위해서, 해커의 손에 떨어진 QNAP의 스토리지 어플라이언스에 대한 호출을 실행하게 되어 있다고 지적했다.