CVE-2023-29360, CVE-2023-36802 타임라인 (출처:checkpoint) 

라즈베리 로빈

라즈베리 로빈(Raspberry Robin)은 2021년 Red Canary이 처음 식별된 웜으로, 주로 USB 드라이브와 같은 이동식 저장 장치를 통해 확산되어 감염된 시스템에 발판을 마련하고 추가 페이로드를 쉽게 배포할 수 있습니다. 그러나 라즈베리 로빈의 최신 버전은 더욱 은밀하고 취약한 시스템에만 배포되는 사이드로딩 공격, 0-day 취약점 공격 등을 구현합니다.

사이드로딩 공격은 합법적인 프로그램을 악용하여 악성 DLL 파일을 로딩을 하는 기법입니다. 최근에는 OleView.exe 파일을 악용하는 사례가 있었으며, 0-day 취약점 공격은 알려지지 않는 0-day 취약점을 악용하여 시스템 권한 상승(CVE-2023-36802 및 CVE-2023-29360)을 시켜 라즈베리 로빈을 설치합니다. 이러한 공격의 최종 목표는 데이터 도난, 암호화 랜섬웨어 공격, CVE-2023-29360, CVE-2023-36802 타임라인 (출처:checkpoint) 기타 악성 활동 등 다양한 악영향을 가져올 수 있습니다. 

Raspberry Robin 공격 흐름  

Discord를 이용한 라즈베리 로빈 공격 흐름

최근 Discord 플랫폼을 이용하여 공격 대상자에게 링크를 이메일로 보낸 후 악성 압축 파일을 업로드하여 이루어지는 공격입니다. 파일은 File.Chapter-1.rar와 유사한 이름을 가지고 있지만, 위장을 위해 다른 이름으로 변형될 수 있습니다. 공격자는 다양한 방법을 사용하여 피해자를 속여 해당 파일을 다운로드하고 실행하도록 유도합니다. 파일을 실행하면, OleViw.exe라는 정상적인 Microsoft 실행 파일이 실행되면서 압축된 악성 Raspberry Robin DLL 파일을 로딩을 합니다. 이 DLL 파일은 외부적으로는 정상적인 Microsoft 서명을 가진 것 처럼 보이지만, 실제로는 유효하지 않습니다. 로딩된 DLL 파일은 시스템 내의 취약점을 악용하여 권한 상승을 시도합니다. 최근의 공격에서는 알려지지 않은 0-day 취약점을 이용한 것으로 알려져 있으며, 권한 상승에 성공하면 공격자는 네트워크 내의 다른 시스템으로 이동하고 악성 코드를 설치하여 지속적인 접근을 유지합니다.  

Raspberry Robin 변종에서 볼 수 있는 시스템(출처:checkpoint) 

결론

라즈베리 로빈(Raspberry Robin)은 최근 급속하게 성장한 멀웨어이며, 복잡한 공격의 단계를 간단히 해결해주고 권한 상승이라는 취약점 공격이 꾸준히 추가되면 그 이후에도 여러 유형의 공격을 쉽게 시작 할 수 있기 때문에 Evil Corp나 TA 505와 같은 악명 높은 사이버 범죄 집단들이 라즈베리 로빈을 즐겨 사용하는 것으로 알려져 있습니다. 라즈베리 로빈의 예전 버전은 주로 USB 드라이브로 배포를 했다면, 최근에는 디스코드 RAR 파일을 통해 배포를 합니다. 또한, 이전 버전에 업데이트를 하여 추가적인 기능 몇가지가 포함 되어있으며 공격에 당하면 데이터 도난, 암호화 랜섬웨어 공격, 기타 악성 활동 등 다양한 악영향을 가져올 수 있기 때문에 주의를 해야합니다. 

사용자는 출처가 분명하지 않은 파일을 다운로드 수락 또는 실행해서는 안되며, 알 수 없거나 신뢰할 수 없는 출처에서 제공한 웹사이트를 방문하거나 링크를 클릭하지 않아야 합니다.