2021년 08월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 Top20

2021년8월(8월 1일 ~ 8월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는Worm(웜)이며 총 30,211 건이 탐지되었다.

 

[표 1] 2021년 8월 악성코드 탐지 Top 20

악성코드 진단 수 전월 비교

8월에는 악성코드 유형별로 7월과 비교하였을 때 Trojan, Virus, Worm 및 Backdoor의 진단 수가 증가하고, Exploit의 진단 수가 감소했다.

 

[그림 1] 2021년 8월 악성코드 진단 수 전월 비교

 

주 단위 악성코드 진단 현황

8월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 7월에 비해 증가한 추이를 보이고 있다.

 

[그림 2] 2021년 8월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

2021년 8월(8월 1일 ~ 8월 31일) 한 달간 등장한 악성코드를 조사한 결과 Linux 및 Windows 서버의 20개 이상의 취약점을 악용하여 유포되는 “HolesWarm” 코인마이너와 은행 업데이트 프로그램으로 위장한 “Warsaw” 및 “Warsan” 악성코드가 발견됐다. 또한, 텔레그램 혹은 해커 포럼의 다운로드 링크를 통해 유포되고 있는 "Fatal" 악성코드와 해커 포럼에서 140달러에 판매중인 "Mars" 스틸러가 발견됐다.

 

HolesWarm - CoinMiner

리눅스 및 윈도우 서버의 취약점을 악용해 유포되는 “HolesWarm” 코인마이너가 발견됐다. 해당 악성코드는 기업에서 사용하는 제품의 고위험군 취약점을 악용해 서버를 감염하며 감염된 PC에서 불법적으로 암호화폐를 채굴한다. 또한, 텐센트 보안팀에 따르면 “HolesWarm” 코인마이너가 더 효율적인 암호화폐 채굴 및 백신 프로그램 탐지 우회를 위해 공격 방법을 지속적으로 업데이트한다고 밝혔다.

 

Warsan – RAT

최근 은행 업데이트 프로그램으로 위장한 RAT 악성코드가 발견됐다. 사용자가 은행 업데이트 프로그램으로 위장한 “Warsaw” 악성코드를 실행하면 공격자의 서버로 연결해 “Warsan” RAT을 다운로드해 실행한다. “Warsan” RAT은 실행 시 사용자 PC의 정보를 탈취하고, 공격자의 명령을 전달받아 추가적인 악성 행위를 수행한다.

 

[그림 3] Warsaw 악성코드의 가짜 은행 업데이트 화면

 

Fatal - RAT

최근 텔레그램 혹은 해커 포럼에서 유포되고 있는 "Fatal” RAT이 발견됐다. 해당 악성코드는 암호를 무차별 대입해 네트워크에 연결된 PC에 접근하고, 분석을 방지하기 위해 보안 제품이 실행되고 있는지를 확인한다. 최종적으로 키로깅 및 정보 탈취 동작을 하며 공격자의 서버에서 명령을 받아 사용자의 PC를 원격으로 제어한다.

 

Mars - Stealer

해커 포럼에 러시아어로 작성된 악성코드 판매글이 게시됐다. 해당 글의 게시자는 "Mars" 악성코드를 140달러에 판매하고 있으며 관련 정보와 함께 탈취한 정보를 관리할 수 있는 패널의 이미지를 게시했다. 해당 악성코드는 사용자 PC의 언어를 확인해 해당 언어가 중앙 아시아 및 러시아라면 프로세스를 종료하며 최종적으로 브라우저, 암호화폐 지갑 및 시스템 정보 등 다양한 정보를 탈취해 공격자의 서버로 전송한다.

 

[그림 4] 해커 포럼에 게시된 Mars Stealer 판매글