Racoon Stealer 악성코드, 우크라이나 전쟁으로 운영 중단

Racoon Stealer(암호 도용 멀웨어)를 개발한 사이버 범죄 그룹이 개발자 중 한 명이 우크라이나 침공으로 사망했다고 주장한 후 운영을 중단했습니다.

 

Racoon Stealer - $75/주 또는 $200/월에 MaaS(malware-as-a-service) 모델로 배포되는 정보 도용 트로이 목마 해당 서비스를 구독하는 위협 행위자는 멀웨어 커스터마이징, 도난당한 데이터(일명 로그)를 검색, 새로운 맬웨어 빌드 제작을 하기 위해서 관리자 패널에 액세스할 수 있다.

 

말웨어는 저장된 브라우저 자격 증명, 브라우저 정보, 암호 화폐 지갑, 신용 카드, 이메일 데이터 및 수많은 애플리케이션의 기타 데이터를 포함하여 감염된 장치에서 다양한 정보를 훔칠 수 있기 때문에 위협 행위자 사이에서 매우 인기가 있습니다 .

 

Racoon Stealer 운영 중단

보안 연구원 3xp0rt 가 처음 발견한 것처럼 Racoon Stealer의 배후 공격자는 러시아어를 사용하는 해킹 포럼(XSS)에 핵심 개발자 중 한 명이 우크라이나 침공으로 사망한 후 운영을 중단한다고 게시했습니다.

 

"고객님, 유감스럽게도 "특수 작전"으로 인해 Racoon Stealer 프로젝트를 종료해야 합니다. 제품 작동의 중요한 순간을 책임지는 우리 팀의 구성원은 더 이상 우리와 함께하지 않습니다. 우리는 프로젝트를 종료하게 되어 유감이며, 더 이상 스틸러의 안정적인 운영은 물리적으로 불가능합니다."

 

[그림1] Racoon Stealer 작업 중단 작업(출처: 3xp0rt)

 

그러나 잃어버린 구성 요소를 다시 만들고 몇 달 안에 다시 시작할 계획이라고 밝혔기 때문에 영원히 사라질 것 같지는 않습니다.

 

Racoon Stealer의 폐쇄와 함께 3xp0rt는 BleepingComputer에 위협 행위자가 Racoon과 유사한 서비스를 제공하는 Mars Stealer 작업으로 이동하고 있다고 말했습니다.

 

러시아어를 사용하는 해킹 포럼(XSS)의 게시물에 따르면 'MarsTeam'은 Racoon이 종료한다고 발표한 이후 요청이 밀려서 모두에게 응답하기가 어려운 상황입니다.

 

[그림2] Mars Stealer로 전환하는 위협 행위자

3xp0rt는 위협 행위자가 Racoon과 유사하게 작동하는 서비스로 이동함에 따라 곧 Mars Stealer 캠페인의 급증을 예상해야 한다고 말합니다.

우크라이나에는 활발한 사이버 범죄 커뮤니티가 있습니다.

우크라이나 침공은 우크라이나에 거주하고 있는 많은 위협 행위자를 포함해 사이버 범죄와 지하 해킹에 중대한 영향을 미쳤습니다.

 

최근에 발생한 ' Conti Leaks '는 범죄 조직이 러시아 편을 들고 우크라이나의 위협 행위자와 연구원을 화나게 한 것이 그 직접적인 원인이었습니다.

(출처:

https://www.bleepingcomputer.com/news/security/racoon-stealer-malware-suspends-operations-due-to-war-in-ukraine/)

 

보안관제센터 MIR Team