동향 리포트/월간 동향 리포트

2021년 08월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 Top20

20218(81 ~ 831) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는Worm()이며 총 30,211 건이 탐지되었다.

 

[표 1] 2021년 8월 악성코드 탐지 Top 20

악성코드 진단 수 전월 비교

8월에는 악성코드 유형별로 7월과 비교하였을 때 Trojan, Virus, Worm Backdoor의 진단 수가 증가하고, Exploit의 진단 수가 감소했다.

 

[그림 1] 2021년 8월 악성코드 진단 수 전월 비교

 

주 단위 악성코드 진단 현황

8월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 7월에 비해 증가한 추이를 보이고 있다.

 

[그림 2] 2021년 8월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

20218(8 1 ~ 8 31) 한 달간 등장한 악성코드를 조사한 결과 Linux Windows 서버의 20개 이상의 취약점을 악용하여 유포되는 HolesWarm 코인마이너와 은행 업데이트 프로그램으로 위장한 Warsaw Warsan 악성코드가 발견됐다. 또한, 텔레그램 혹은 해커 포럼의 다운로드 링크를 통해 유포되고 있는 "Fatal" 악성코드와 해커 포럼에서 140달러에 판매중인 "Mars" 스틸러가 발견됐다.

 

HolesWarm - CoinMiner

리눅스 및 윈도우 서버의 취약점을 악용해 유포되는 HolesWarm 코인마이너가 발견됐다. 해당 악성코드는 기업에서 사용하는 제품의 고위험군 취약점을 악용해 서버를 감염하며 감염된 PC에서 불법적으로 암호화폐를 채굴한다. 또한, 텐센트 보안팀에 따르면 HolesWarm 코인마이너가 더 효율적인 암호화폐 채굴 및 백신 프로그램 탐지 우회를 위해 공격 방법을 지속적으로 업데이트한다고 밝혔다.

 

Warsan RAT

최근 은행 업데이트 프로그램으로 위장한 RAT 악성코드가 발견됐다. 사용자가 은행 업데이트 프로그램으로 위장한 Warsaw 악성코드를 실행하면 공격자의 서버로 연결해 Warsan RAT을 다운로드해 실행한다. Warsan RAT 실행 시 사용자 PC의 정보를 탈취하고, 공격자의 명령을 전달받아 추가적인 악성 행위를 수행한다.

 

[그림 3] Warsaw 악성코드의 가짜 은행 업데이트 화면

 

Fatal - RAT

최근 텔레그램 혹은 해커 포럼에서 유포되고 있는 "Fatal RAT이 발견됐다. 해당 악성코드는 암호를 무차별 대입해 네트워크에 연결된 PC에 접근하고, 분석을 방지하기 위해 보안 제품이 실행되고 있는지를 확인한다. 최종적으로 키로깅 및 정보 탈취 동작을 하며 공격자의 서버에서 명령을 받아 사용자의 PC를 원격으로 제어한다.

 

Mars - Stealer

해커 포럼에 러시아어로 작성된 악성코드 판매글이 게시됐다. 해당 글의 게시자는 "Mars" 악성코드를 140달러에 판매하고 있으며 관련 정보와 함께 탈취한 정보를 관리할 수 있는 패널의 이미지를 게시했다. 해당 악성코드는 사용자 PC의 언어를 확인해 해당 언어가 중앙 아시아 및 러시아라면 프로세스를 종료하며 최종적으로 브라우저, 암호화폐 지갑 시스템 정보 등 다양한 정보를 탈취해 공격자의 서버로 전송한다.

 

[그림 4] 해커 포럼에 게시된 Mars Stealer 판매글


 

 

 

댓글

댓글쓰기