동향 리포트/월간 동향 리포트

2021년 10월 악성코드 동향 보고서

2021. 11. 3. 17:17

1. 악성코드 통계

악성코드 Top20

202110(101 ~ 1031) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Worm()이며 총 39,999 건이 탐지되었다.

 

[표 1] 2021년 10월 악성코드 탐지 Top 20

 

악성코드 진단 수 전월 비교

10월에는 악성코드 유형별로 9월과 비교하였을 때 Virus, Worm Backdoor의 진단 수가 증가하고, Trojan Exploit의 진단 수가 감소했다.

 

[그림 1] 2021년 10월 악성코드 진단 수 전월 비교

 

주 단위 악성코드 진단 현황

10월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 9월에 비해 감소한 추이를 보이고 있다.

 

[그림 2] 2021년 10월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

202110(101~ 1031) 한 달간 등장한 악성코드를 조사한 결과, 웹하트에서 성인 게임을 위장해 유포되는 "UDP RAT" 악성코드와 오픈 소스 소셜 미디어 네트워크 "Mastodon"을 공격자의 C&C 서버로 사용하는  "Vidar" 인포스틸러의 변종이 발견됐다. 또한, 비디오 레코더 Visual Tools DVR의 취약점을 악용한 "FreakOut"의 변종과 Cobalt Strike를 다운로드하는 "Squirrelwaffle" 로더 악성코드가 발견됐다.

 

UDP - RAT

지난 10월 초, 웹하드에서 성인 게임을 위장해 유포된 악성코드가 발견됐다. 해당 파일을 실행하면 실제 게임이 실행돼 사용자가 정상적인 파일로 인지하도록 유도한다. 하지만 악성코드도 함께 실행돼 DDoS 공격 기능이 있는 오픈 소스 악성코드 "UDP RAT" 악성코드를 다운로드한다.

 

Vidar - InfoStealer

최근 "Vidar" 악성코드의 변종이 발견됐다. 이번 변종은 소셜 네트워크 서비스인 Mastodon을 악용해 공격자 C&C 서버의 정보를 획득 및 연결하는 특징이 있다. 해당 악성코드가 실행되면 공격자가 생성한 Mastodon 계정의 프로필 정보에서 C&C 서버의 IP를 획득한다. 이후, 사용자 PC에서 브라우저 로그인 정보 등의 데이터를 수집하고 이전 단계에서 획득한 IP로 데이터를 탈취한다.

 

FreakOut - Backdoor

지난 10월경, "FreakOut" 악성코드의 변종이 발견됐다. 공격자가 이번 변종 악성코드를 유포하기 위해 사용한 취약점은 CVE-2021-42071, 감시 카메라 시스템에 사용되는 비디오 레코더인 Visual Tools DVR 제품에서 HTTP 요청을 제대로 처리하지 않아 발생하는 임의 코드 실행 취약점이다. 이후, 사용자 PC에서 "FreakOut" 악성코드가 실행되면 사용자의 PC를 조작하거나 불법적으로 암호화폐를 채굴할 수 잇다.

 

Squirrelwaffle Loader

최근 Cobalt Strike를 다운로드 받아 실행하는 "Squirrelwaffle" 악성코드가 발견됐다. 해당 악성코드는 주로 메일로 유포되며, 메일에 작성된 다운로드 링크에서 다운로드한 문서 파일을 실행하면 "Squrrelwaffle" 다운로드를 위한 VBS 파일과 파워쉘 스크립트를 생성 및 실행한다. 이후, "Squrrelwaffle" 악성코드는 Cobalt Strike를 다운로드한 후 실행해 최종 페이로드의 다운로드를 시도한다.

 

2021.10.26 - [분석 정보/악성코드 분석 정보] - Squirrelwaffle 로더를 사용하는 캠페인 발견

 

[그림 3] Squirrelwaffle C&C 서버 연결 코드