2021년 09월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 Top20

2021년9월(9월 1일 ~ 9월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Worm(웜)이며 총 30,238 건이 탐지되었다.

 

[표 1] 2021년 9월 악성코드 탐지 Top 20

 

악성코드 진단 수 전월 비교

9월에는 악성코드 유형별로 8월과 비교하였을 때 Trojan, Exploit 및 Virus의 진단 수가 증가하고, Worm 및 Backdoor의 진단 수가 감소했다.

 

[그림 1] 2021년 9월 악성코드 진단 수 전월 비교

 

주 단위 악성코드 진단 현황

9월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 8월에 비해 증가한 추이를 보이고 있다.

 

[그림 2] 2021년 9월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

2021년 9월(9월 1일 ~ 9월 30일) 한 달간 등장한 악성코드를 조사한 결과, 전 세계의 호텔을 대상으로 프록시로그온(ProxyLogon) 취약점을 악용해 유포되는 "SparrowDoor" 백도어와 기업 내의 서버를 대상으로 정보를 탈취하기 위해 만들어진 "FoggyWeb" 악성코드가 발견됐다. 또한, UEFI 부트킷을 사용해 실행한 후 사용자의 정보를 탈취하는 "FinSpy"와 약 40달러에 판매중인 "BloodyStealer" 스틸러 악성코드가 발견됐다. 마지막으로 JavaScript로 작성된 "JsOutProx RAT" 악성코드도 발견됐다.

 

JsOutProx - RAT

지난 9월 초, JavaScript로 작성된 "JsOutProx RAT" 악성코드의 변종이 발견됐다. Solar Spider라고 불리는 해커 그룹에서 사용하는 것으로 알려진 해당 악성코드는 과거 아시아 태평양 지역의 금융 기관을 대상으로 한 공격에 사용된 적이 있는 것으로 알려졌다. 이번에 발견된 변종은 JavaScript 코드를 PDF 파일로 위장한 파일이 첨부된 피싱 메일을 통해 유포됐으며, 이전 버전에 난독화 및 안티 디버깅 기능이 추가됐고, 공격자가 사용하는 명령도 기존 버전과 차이 있다고 한다.

 

SparrowDoor - Backdoor

브라질, 캐나다 및 태국 등 전 세계의 호텔을 대상으로 한 공격에 사용된 악성코드가 발견됐다. "SparrowDoor" 악성코드가 실행되면 공격자가 공격 대상 서버에서 디렉토리 생성, 프로세스 종료 및 리버스 셸 등의 기능을 수행할 수 있다. 이셋(ESET)에 따르면 해당 악성코드는 FamousSparrow APT 그룹이 사용하며, 이들 그룹이 유포 및 침투 과정에서 마이크로소프트 익스체인지(Microsoft Exchange) 서버의 프록시로그온(ProxyLogon) 취약점(CVE-2021-26855)을 악용한 것으로 알려졌다.

2021.09.30 - 전 세계 호텔을 주 타겟으로 공격하는 FamousSparrow 그룹

 

FoggyWeb - Backdoor

기업 내 서버에서 정보 탈취를 목적으로 사용하는 "FoggyWeb" 악성코드가 발견됐다. 마이크로소프트(Microsoft)에 따르면 해당 악성코드는 러시아어를 사용하는 Nobelium APT 그룹이 사용하는 것으로 알려졌으며, AD FS(Active Directory Federation Services) 서버를 대상으로 토큰 서명 인증서 및 토큰 암호 해독 인증서 등의 데이터를 탈취할 수 있다. 또한, 공격자의 C&C 서버에서 추가 페이로드를 다운로드해 감염된 서버에서 실행할 수 있다.

 

BloodyStealer - InfoStealer

지난 9월 말, 러시아어를 사용하는 다크웹 포럼에 유명 게임 플랫폼을 대상으로 정보를 탈취하는 "BloodyStealer" 악성코드 판매 글이 게시됐다. 게시 글에 따르면 사용 기한에 따라 최소 10 달러에서 최대 40달러까지 판매하고 있으며 감염된 환경에서 게임 플랫폼과 관련된 비밀번호, 개인 및 금융 관련 정보 등을 탈취 할 수 있다고 알려졌다. 또한, 해당 악성코드를 분석한 카스퍼스키(Kaspersky)는 이중 인증 등의 보안 기능을 사용해 계정을 보호하고 보안 솔루션을 사용할 것을 권고했다.

 

FinSpy - InfoStealer

최근 발견된 핀스파이(FinSpy) 악성코드 변종의 분석 글이 공개됐다. 카스퍼스키(Kaspersky)에 따르면 핀스파이의 실행을 위해 UEFI 부트킷을 사용했으며, 탐지 우회를 위해 난독화 등의 기술이 적용돼 탐지가 어려운 것으로 알려졌다. 또한, 해당 악성코드를 실행하면 파일 목록, 웹캠 데이터 등의 사용자 데이터를 탈취할 수 있어 주의가 필요하다.