2021년 07월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 Top20

2021년7월(7월 1일 ~ 7월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로잔) 유형이며 총 1,950 건이 탐지되었다.

 

[표 1] 2021년 7월 악성코드 탐지 Top 20

 

악성코드 진단 수 전월 비교

7월에는 악성코드 유형별로 6월과 비교하였을 때 Trojan, Exploit, Virus, Worm 및 Backdoor의 진단 수가 감소하였다.

 

[그림 1] 2021년 7월 악성코드 진단 수 전월 비교

 

주 단위 악성코드 진단 현황

7월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 6월에 비해 감소한 추이를 보이고 있다.

 

[그림2] 2021년 7월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

2021년 7월(7월 1일 ~ 7월 31일) 한 달간 등장한 악성코드를 조사한 결과 이란의 교통부와 철도 시스템을 공격한  "Meteor" 악성코드와 중동의 석유 및 가스 산업을 대상으로 공격하는 "Milum" 악성코드의 변종이 발견됐다. 또한 스페인어 사용 국가를 대상으로 공격한 "Bandook" 악성코드와 온라인 도박 사이트를 통해 유포된 파이썬 기반 "BIOPASS" 악성코드가 발견됐다.

 

Meteor - Wiper

7월 초 "MeteorExpress"라고 불리는 사이버 공격으로 인해 이란 교통부의 웹사이트와 철도 시스템 운영이 중단됐다. 이번 공격에 사용된 악성코드는 "Meteor" 악성코드로 윈도우 그룹 정책을 사용해 악성코드를 배포 및 실행한다. 해당 악성코드가 실행되면 사용자 PC의 파일을 삭제하고 화면을 사용하지 못하도록 잠근 후, MBR을 손상시켜 재부팅이 정상으로 이뤄지지 않게 한다.

 

[그림 3] 이란 사이버 공격 트위터 게시글

사진 출처 : https://twitter.com/IranIntl_En/status/1413574416953401344

 

Milum - RAT

중동의 석유 및 가스 산업을 대상으로 공격하는 "Milum" 악성코드의 변종이 발견됐다. "Milum" 악성코드는 "WildPressure"라는 그룹에서 사용한 것으로 알려졌으며, 최근 발견된 변종은 파이썬 기반으로 만들어졌다. 해당 변종 악성코드는 "Guard"라는 이름으로 불리며 윈도우와 macOS 모두에서 임의의 파일을 다운로드 및 업로드하고 명령을 실행할 수 있다.

 

Bandook - RAT

스페인어를 사용하는 국가를 대상으로 사용자 PC를 조작하기 위한 "Bandook" 악성코드가 발견됐다. 해당 악성코드는 먼저 사용자에게 악성 PDF 파일이 첨부된 메일을 보내 첨부파일을 다운로드하도록 유도한다. 다음으로 사용자가 다운로드한 첨부파일 내부의 링크를 클릭하면 "Bandook" 악성코드를 다운로드한다. 그 후, "Bandook" 악성코드를 실행하면 사용자 PC에서 정보 탈취, 파일 조작 및 다운로드 등의 추가적인 악성 행위를 수행할 수 있다.

 

[그림 4] Bandook 악성코드 유포 메일 및 첨부파일

 

BIOPASS - RAT

7월 중순 온라인 도박 사이트를 통해 유포된 파이썬 기반 "BIOPASS" 악성코드가 발견됐다. 사용자가 해당 웹 사이트에 방문하면 미리 작성된 자바스크립트 코드가 실행돼 "Adobe Flash Player" 또는 "Microsoft Silverlight" 설치 프로그램으로 위장한 악성코드를 다운로드한다. 다운로드한 악성코드는 "BIOPASS"로 불리며 웹 브라우저의 쿠키 및 로그인 정보 탈취와 원격 데스크톱 연결 등의 기능이 있어 공격자가 사용자의 PC를 조작할 수 있다.