닫기
메뉴

Vex 연구원들에게 계속해서 나타나는 신비한 새 Windows 맬웨어

  • 사이버 보안 연구원들이 새로운 맬웨어를 발견했지만 그 목적을 밝히지 못했습니다.
  • 최종 게임을 이해하는 것은 도움이 되지만 확산을 억제하는 데 중요하지 않습니다. 다른 전문가에게 제안하십시오.
  • 맬웨어가 감염된 USB 디스크를 통해 확산되기 때문에 사람들은 알 수 없는 이동식 드라이브를 PC에 연결하지 않는 것이 좋습니다.
노트북에 연결하는 USB 드라이브

칼 타팔레스 / 게티 이미지

새로운 Windows 맬웨어가 돌고 있지만 아무도 그 의도를 확신하지 못합니다.

Red Canary의 사이버 보안 연구원은 최근에 그들이 명명한 새로운 웜 유사 맬웨어를 발견했습니다. 라즈베리 로빈, 감염된 USB 드라이브를 통해 확산됩니다. 그들은 멀웨어의 작동을 관찰하고 연구할 수 있었지만 아직 그 궁극적인 목적을 파악하지 못했습니다.

"[Raspberry Robin]은 궁극적인 위협 프로필이 아직 결정되지 않은 흥미로운 이야기입니다." 팀 헬밍, 보안 전도사 도메인 도구, 이메일을 통해 Lifewire에 말했습니다. "공황 버튼을 누르기에는 알려지지 않은 것이 너무 많지만 강력한 탐지 기능을 구축하고 상식적인 보안 조치를 취하는 것이 그 어느 때보다 중요하다는 것을 상기시켜줍니다."

어둠 속에서 촬영

Helming은 맬웨어의 궁극적인 목표를 이해하면 위험 수준을 평가하는 데 도움이 된다고 설명했습니다.

예를 들어, 경우에 따라 QNAP 네트워크 연결 저장 장치와 같은 손상된 장치가 Raspberry Robin, DDoS(분산 서비스 거부)를 탑재하기 위해 대규모 봇넷에 모집 캠페인. 또는 손상된 장치가 암호화폐 채굴에 사용될 수 있습니다.

두 경우 모두 감염된 장치에 대한 데이터 손실의 즉각적인 위협은 없습니다. 그러나 라즈베리 로빈이 랜섬웨어 봇넷 조립을 돕고 있다면 감염된 장치와 해당 장치가 연결된 LAN(Local Area Network)의 위험 수준이 매우 높을 수 있다고 Helming은 말했습니다.

펠릭스 에메, 위협 인텔리전스 및 보안 연구원 세코이아 트위터 DM을 통해 Lifewire에 악성 코드 분석의 그러한 "지능 격차"가 업계에서 전례가 없는 일이 아니라고 말했습니다. 그러나 걱정스럽게도 그는 Raspberry Robin이 다른 여러 사이버 보안 매체에서 탐지되고 있다고 덧붙였습니다(Sekoia는 이를

큐냅 웜), 이는 악성코드가 구축하려는 봇넷이 상당히 크며 아마도 "손상된 호스트 수십만 개"를 포함할 수 있음을 알려줍니다.

Raspberry Robin 사가에서 중요한 것은 사이 후다, 사이버보안기업 대표이사 사이버캐치, USB 드라이브를 사용하여 은밀하게 악성코드를 설치한 다음 영구 파일을 생성합니다. 인터넷에 연결하여 공격자와 통신하는 다른 맬웨어를 다운로드합니다. 서버.

“USB는 위험하고 허용되어서는 안 된다”고 강조 마그다 첼리 박사, 최고 정보 보안 책임자 책임 있는 사이버. “맬웨어가 한 컴퓨터에서 다른 컴퓨터로 쉽게 퍼질 수 있는 방법을 제공합니다. 그렇기 때문에 컴퓨터에 최신 보안 소프트웨어를 설치하고 신뢰할 수 없는 USB를 연결하지 않는 것이 중요합니다.”

Lifewire와의 이메일 교환에서, 사이먼 하틀리, CISSP 및 사이버 보안 전문가 양자 USB 드라이브는 공격자가 공용 인터넷에 연결되지 않은 시스템에 대한 소위 "에어 갭" 보안을 깨는 데 사용하는 기술의 일부라고 말했습니다.

“민감한 환경에서는 완전히 금지되거나 특별한 통제와 검증이 필요합니다. 숨겨진 맬웨어를 도입할 뿐만 아니라 공공연한 방식으로 데이터를 추가하거나 제거할 가능성에 대해 공유합니다." 하틀리.

동기는 중요하지 않다

주요 도시에서 떠오르는 빨간색 광섬유 케이블로 우주에서 본 추상적인 북미

상상 / 게티 이미지

멜리사 비쇼핑, 엔드포인트 보안 연구 전문가 타늄, 이메일을 통해 Lifewire에 맬웨어의 동기를 이해하는 것이 도움이 될 수 있지만 연구자들은 여러 가지 맬웨어가 남기는 동작 및 아티팩트를 분석하여 탐지를 생성하는 기능 능력.

"동기를 이해하는 것은 위협 모델링 및 추가 연구를 위한 귀중한 도구가 될 수 있지만, 인텔리전스는 기존 아티팩트 및 탐지 기능의 가치를 무효화하지 않습니다"라고 설명했습니다. 비쇼핑.

쿠마르 사우라브, CEO 및 공동 설립자 로직허브, 동의했습니다. 그는 이메일을 통해 라이프와이어에 해커의 목표나 동기를 이해하려고 하면 흥미로운 소식을 얻을 수 있지만 보안 관점에서는 그다지 유용하지 않다고 말했습니다.

Saurabh는 Raspberry Robin 악성 코드가 원격 코드를 포함하여 위험한 공격의 모든 특성을 가지고 있다고 덧붙였습니다. 경보를 울리기에 충분한 증거가 되는 실행, 끈기 및 회피 확산.

Saurabh는 "사이버 보안 팀이 공격의 초기 선구자를 발견하는 즉시 조치를 취하는 것이 필수적입니다."라고 강조했습니다. "랜섬웨어, 데이터 도용, 서비스 중단과 같은 궁극적인 목표나 동기를 이해하기를 기다리면 너무 늦을 것입니다."