동향 리포트/월간 동향 리포트

2021년 04월 악성코드 동향 보고서

TACHYON & ISARC 2021. 5. 10. 15:32

1. 악성코드 통계

악성코드 Top20

20214(4 1 ~ 4 30) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [ 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로잔) 유형이며 총 7,962 건이 탐지되었다.

 

[표 1] 2021년 4월 악성코드 탐지 Top 20

 

 

악성코드 진단 수 전월 비교

4월에는 악성코드 유형별로 3월과 비교하였을 때 Worm의 진단 수가 증가하였고, Trojan, Virus, Exploit Backdoor의 진단 수가 감소하였다.

[그림 1] 2021년 4월 악성코드 진단 수 전월 비교

 

 

주 단위 악성코드 진단 현황

4월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 3월에 비해 감소한 추이를 보이고 있다.

[그림2] 2021년 4월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

2021 4(4 1 ~ 4 30) 한 달간 등장한 악성코드를 조사한 결과 게임 패치 프로그램으로 위장한 "XtremeRAT" LinkedIn의 메시지 기능을 사용해 유포되는 "SideTwist" "MoreEggs"가 발견됐다. 또한, MS Exchange Server의 취약점을 악용해 암호 화폐를 불법 채굴하는 코인마이너 악성코드인 "Prometei"와 사용자의 암호화폐 지갑 주소를 탈취하는 "WeSteal"도 발견됐다.

 

RAT – XtremeRAT

최근 게임 패치 파일로 위장해 게이머를 공격하는 "XtremeRAT" 악성코드가 발견됐다. 해당 악성코드는 사용자 PC의 제어가 가능하도록 공격자의 C&C 서버와 연결한 후 명령을 대기한다. 그 후, 공격자는 사용자 PC에서 정보 탈취, 스크린 샷 캡처 및 원격 셸 실행 등의 다양한 명령을 수행할 수 있다. 현재 태국, 필리핀, 대만 등 여러 게임 이용자를 대상으로 약 수십 만 명의 게이머가 “XtremeRAT”의 피해를 본 것으로 알려졌다.

 

[그림 3] XtremeRAT 판매 사이트

 

Backdoor – SideTwist, MoreEggs

지난 4월경, 이란의 사이버 공격 그룹 APT34(OilRig)에서 사용하는 것으로 알려진 “SideTwist” 악성코드가 발견됐다. 이들은 사용자의 PC를 제어하기 위해 LinkedIn 메시지로 미국 클라우드 데이터베이스 회사의 취업 설명서로 위장한 문서 파일을 보내 “SideTwist”의 다운로드 및 실행을 유도했다.

비슷한 시기에 “SideTwist” 악성코드와 동일한 유포 방법을 사용하는 “MoreEggs”가 발견됐다. 해당 악성코드는 공격 대상이 된 구직자의 직업명과 직급에 맞춘 파일명으로 유포돼 많은 피해자의 혼란을 야기시켰다.

사용자가 메시지로 온 파일을 다운로드한 후 실행하면 두 악성코드 모두 공격자의 C&C 서버와 연결해 공격자가 감염된 PC에서 정보 수집, 파일 다운로드 및 업로드 등의 명령을 수행할 수 있다.

 

CoinMiner – Prometei (MS Exchange Server)

MS Exchange 서버의 취약점을 악용하여 모네로(XMR) 암호화폐 불법 채굴을 시도하는 “Prometei” 악성코드가 발견됐다. 해당 악성코드는 윈도우와 리눅스 시스템 모두 실행되며 공격자가 사용자 PC를 제어해 모네로 암호화폐를 채굴할 수 있도록 백도어를 설치한다. 또한, 공격자는 사용자 PC에 명령을 보내 정보를 탈취하거나 추가적인 악성코드를 다운로드할 수 있다.

 

CoinStealer – WeSteal

4월 말, 암호화폐 탈취를 위해 제작된 “WeSteal” 악성코드가 발견됐다. 해당 악성코드는 파이썬 프로그래밍 언어를 기반으로 만들어졌으며, 감염된 PC의 권한을 획득하고 클립 보드에 복사된 암호화폐 지갑 주소와 관련된 문자열을 검색해 암호화폐 탈취를 시도한다. 현재, 공격자는 자신들이 운영하는 웹사이트에서 악성코드를 판매 중이며 감염된 PC에서 비트코인 외 다수의 암호화폐를 훔칠 수 있다고 홍보하고 있다.

 

[그림 4] 웹사이트에서 판매중인 WeSteal 악성코드