Raspberry Robin 위협 그룹, 약 200개의 고유 C2 도메인 기반 인프라 드러나

Researchers Uncover ~200 Unique C2 Domains Linked to Raspberry Robin Access Broker

 

• 위협 개요
  • Raspberry Robin은 Storm-0856, Roshtyak, 또는 QNAP 웜으로도 알려진 악성코드로, Initial Access Broker(IAB) 역할을 수행하는 고도화된 위협 행위자
  • 다양한 범죄 그룹과 협력하며, 특히 러시아 연계 조직과의 관계가 두드러짐
  • Silent Push와 Team Cymru의 조사 결과, 약 200개의 고유한 C2(Command-and-Control) 도메인이 식별됨
• 주요 악성 활동
  • SocGholish, Dridex, LockBit, IcedID, BumbleBee, TrueBot 등 다양한 2차 페이로드를 배포하는 허브 역할 수행
  • PPI(Pay-Per-Install) 형태의 봇넷으로 운영되어, 다른 공격자에게 침해 시스템을 임대
  • 감염 기법으로 Discord 메신저 기반 첨부파일 유포, USB LNK 파일 활용, QNAP 장비 감염 등의 방법 사용
  • 1-day 취약점을 악용하여 로컬 권한 상승 공격 수행
• 공격 인프라 분석
  • 감염된 QNAP 장비 간 통신 중계에 사용되는 단일 IP 주소를 발견, 이 IP를 통해 180개 이상의 C2 도메인과 연결됨
  • 해당 IP는 Tor 중계 노드를 통해 통신하므로, 추적 및 차단이 어려움
  • 사용된 도메인은 짧고 무작위적으로 구성됨 (예: q2[.]rs, h0[.]wf, 2i[.]pm 등)
  • Fast Flux 기법을 통해 IP 및 도메인을 빠르게 회전시켜 탐지 및 차단 회피
• 주요 인프라 특징
  • 주로 사용하는 TLD(최상위 도메인): .wf, .pm, .re, .nz, .eu, .gy, .tw, .cx
  • 사용된 도메인 등록기관: Sarek Oy, 1API GmbH, NETIM, Epag.de, CentralNic Ltd, Open SRS
  • 대부분의 도메인이 ClouDNS(Bulgaria)의 네임서버에 호스팅됨
• 러시아 연계 위협과의 연계성
  • Raspberry Robin은 다음과 같은 위협 그룹과의 연계를 통해 공격 확장
    • LockBit, Dridex, SocGholish, Evil Corp(DEV-0243), Fauppod, FIN11, Clop Gang, Lace Tempest(TA505) 등
  • 미국 정부는 Cadet Blizzard(러시아 국가지원 위협 그룹)가 Raspberry Robin을 초기 침투 수단으로 활용한 정황을 보고함
• 결론
  • Raspberry Robin은 멀티 페이로드 유포 플랫폼이자 초기 접근 제공 서비스로 진화 중
  • 복잡한 인프라 및 빠른 C2 회전, Tor 기반 통신, USB 전파 기능 등을 통해 탐지 회피 및 지속성 확보 전략 강화
  • 인프라에 기반한 탐지 전략 및 C2 차단 룰 정비가 필요하며, QNAP 및 이동식 저장매체 관리도 중요