2022년 01월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 Top20

2022년 1월(1월 1일 ~ 1월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan이며 총 20,710 건이 탐지되었다.

 

[표 1] 2022년 1월 악성코드 탐지 Top 20

 

악성코드 진단 수 전월 비교

1월에는 악성코드 유형별로 12월과 비교하였을 때 Worm, Ransom의 진단 수가 증가하고, Trojan, Exploit 및 Backdoor의 진단 수가 감소했다.

 

[그림 1] 2022년 1월 악성코드 진단 수 전월 비교

 

주 단위 악성코드 진단 현황

1월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 12월에 비해 감소한 추이를 보이고 있다.

 

[그림 2] 2022년 1월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

2022년 1월(1월 1일 ~ 1월 31일) 한 달간 등장한 악성코드를 조사한 결과, 정상적인 메신저 프로그램으로 위장한 "Purplefox"와 .NET 디버거인 dnSpy로 위장한 "Quasar" 악성코드가 발견됐다. 또한, 암호화폐 지갑 정보 등을 탈취하는 "BHUNT" 악성코드와 법률 및 회계 사무소를 대상으로 공격하는 "GootLoader" 로더가 발견됐다. 마지막으로 암호화폐 채굴에 활용되는 "Xanthe" 봇넷 악성코드도 발견됐다.

 

PurpleFox - RAT

지난 1월 초, 메신저 프로그램인 Telegram으로 위장한 "PurpleFox" 악성코드의 변종이 발견됐다. 보안 업체 Minerva에 따르면 이번 변종은 사용자 PC에 정상 프로그램인 Telegram 설치 파일과 추가 파일 다운로드 동작을 하는 악성코드를 드롭 및 실행하는 것으로 알려졌다. 이후, 추가로 다운로드 한 파일을 실행해 자동 실행 등록, 백신 프로그램 탐지 우회 등을 수행한 후, 다시 한 번 C&C 서버에서 다운로드 한다. 최종 페이로드는 "PurpleFox" 악성코드로 수집한 정보를 공격자가 운영하는 C&C 서버로 전송하거나 C&C 서버로부터 명령을 수신해 사용자 PC를 조작할 수 있다.

 

[그림 3] Telegram 설치 파일로 위장한 PurpleFox 악성코드

 

Quasar - RAT

정상 .NET 디버거인 dnSpy로 위장한 "Quasar" 악성코드의 변종이 발견됐다. 외신은 공격자들이 GitHub에 게시된 dnSpy의 원본 코드를 수정해 "Quasar" 등 다수의 악성코드를 사용자 PC에 설치할 수 있도록 수정했다고 언급했다. 또한, 'dnSpy[.]net'이라는 사이트를 생성해 사용자의 접속을 유도한 것으로 알려졌다. 보안 전문가는 이번 사건과 같이 소스 코드를 훔치거나 공개되지 않은 취약점 등을 사용하는 공격 방식이 점점 더 많아지고 있고 주의할 것을 권고했다.

 

Xanthe - Botnet

지난 1월 중순, 최근 암호화폐 채굴에 활용되는 봇넷인 "Xanthe" 악성코드가 발견됐다. 보안 업체 Cado Security는 해당 악성코드와 2021년 11월에 발견된 디도스 공격 목적의 봇넷인 "Abcbot"이 같은 C&C 서버를 사용한다고 알렸다. 또한, 두 악성코드에서 사용하는 코드 형태도 유사해 동일 세력일 가능성이 높다고 전했다.

 

GootLoader - Loader

지난 1월 말, 법률 및 회계 사무소를 대상으로 공격하는 "GootLoader"가 발견됐다. 보안 업체 eSentire는 해당 악성코드가 주로 검색 결과 창을 조작해 악성코드를 호스팅한 사이트가 상단에 나타나도록 하는 SEO 포이즈닝 공격을 통해 유포된다고 알렸다. 또한, 사용자 PC에서 랜섬웨어 등의 추가 페이로드를 다운로드 및 실행한다고 언급했다. 추가로, 이러한 공격을 완화하기 위해서 신뢰할 수 있는 사이트에서만 문서를 실행하고 다운로드한 콘텐츠의 정상 유무를 확인해야 한다고 강조했다.

 

BHUNT - InfoStealer

최근 암호화폐 지갑 등에서 정보를 탈취하는 "BHUNT" 악성코드가 발견됐다. 보안 업체 BitDefender는 해당 악성코드가 윈도우 파일 및 레지스트리 삭제 프로그램인 CCleaner를 제작한 Piriform 사에서 훔친 디지털 서명을 사용한다고 알렸다. 또한, 해당 악성코드를 실행하면 공격자가 사용자 PC에서 암호화폐 관련 정보와 브라우저 암호 등을 탈취할 수 있다고 언급했다.