2022년 03월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 Top10

2022년 3월(3월 1일 ~ 3월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Trojan 유형이며 총 2,329 건이 탐지되었다.

 

[표 1] 2022년 3월 악성코드 탐지 Top 10

 

악성코드 진단 수 전월 비교

3월에는 악성코드 유형별로 2월과 비교하였을 때 Suspicious, Trojan, Worm 및 Ransom의 진단 수가 증가했다.

 

[그림 1] 2022년 3월 악성코드 진단 수 전월 비교

 

주 단위 악성코드 진단 현황

3월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 2월에 비해 증가한 추이를 보이고 있다.

 

[그림 2] 2022년 3월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

2022년 3월(3월 1일 ~ 3월 31일) 한 달간 등장한 악성코드를 조사한 결과, 프랑스 정부 기관을 대상으로 공격하는 캠페인에 사용된 “Serpent” 악성코드와, “JSSLoader” 악성코드의 변종이 발견됐다.  또한, 유명 호스팅 업체 GoDaddy가 호스팅 하는 WordPress 사이트에서 백도어 감염이 급증한 이슈가 있었고, 다크웹에서 판매 중인 Mars 스틸러 악성코드의 변종이 발견됐다. 마지막으로 피해자의 시스템에서 암호화폐를 채굴하는 프로그램을 설치하는 "Verblecon" 로더 악성코드도 발견됐다.

 

Serpent - Backdoor

최근 프랑스 정부 기관을 대상으로 공격하는 캠페인이 발견됐다. 보안 업체 ProofPoint는 해당 캠페인에서 윈도우용 패키지 관리자인 Chocolatey로 위장한 "Serpent" 백도어 악성코드를 사용했다고 전했다. 또한, Serpent가 유럽 연합의 GDPR 기관을 사칭하는 피싱 메일로 유포되며, 메일에 첨부된 문서를 실행하면 스테가노그래피 기술로 파워쉘 스크립트를 숨긴 이미지 파일을 다운로드 및 실행한다고 언급했다. 이후, Serpent 악성코드가 실행돼 공격자의 C&C 서버와 통신을 시도하며, 정상적으로 통신이 될 경우 감염된 환경에서 명령을 수신하거나 추가 악성코드를 다운로드한다고 알렸다.

 

JSSLoader - Loader

최근 이스라엘의 보안 회사 Morphisec이 "JSSLoader"의 변종을 발견했다. 해당 업체는 "JSSLoader"가 ".XLL" 또는 ".XLM" 확장자를 가진 엑셀 추가 기능 파일을 피싱 메일에 첨부해 유포된다고 언급했다. 또한, 첨부 파일을 실행하면 공격자의 C&C 서버에서 추가 페이로드를 다운로드해 악성 행위를 시도하며, 이 과정에서 다운로드한 페이로드가 "JSSLoader" 악성코드라고 알렸다. 

 

GoDaddy - Backdoor

최근 Wordfence의 연구원들이 유명 호스팅 업체 GoDaddy가 호스팅 하는 WordPress 사이트에서 백도어 감염이 급증하는 것을 발견했다. Wordfence는 해당 사이트 중 일부의 워드 프레스 설정 파일인 wp-config.php가 변조된 정황을 발견했다고 알렸다. 또한, 변조된 설정 파일에는 감염된 사이트가 검색 결과의 최상단에 노출되도록 조작하는 코드와 함께 공격자의 C&C 서버에서 악성 링크가 포함된 템플릿을 다운로드하는 코드도 포함됐다고 언급했다. 이들은 이번 사건과 관련해 GoDaddy에서 호스팅하는 사이트일 경우 wp-config.php 파일을 수동으로 확인하거나, 악성코드 탐지 솔루션을 통해 사이트 감염 여부를 확인할 것을 권고했다.

 

Mars - Stealer

최근 다크웹에서 판매 중인 Mars Stealer 악성코드의 변종이 발견됐다. 보안 업체 Morphisec는 공격자가 악성코드의 배포를 위해 아파치 사의 오피스 제품군인 OpenOffice 사이트로 위장한 악성 사이트를 제작한 후, Google Ads 광고를 사용해 사용자가 Open Office를 검색할 경우 최상단에 배치되도록 설정했다고 언급했다. 또한, 이 캠페인에서 사용된 악성코드가 브라우저 사용자 데이터 및 암호화폐 지갑 등이 정보를 탈취한다고 알렸다.

 

Verblecon - Loader

최근 미국의 보안 업체 Symantec이 "Verblecon"이라는 로더 악성코드를 발견했다. Symantec은 해당 업체 "Verblecon" 악성코드가 피해자의 시스템에 불법적으로 암호화폐를 채굴하는 프로그램을 설치하는 것을 목표로 하며, 채팅 프로그램인 디스코드의 액세스 토큰을 탈취하기도 한다고 알렸다. 또한, 가상환경 탐지 등의 안티 기법이 적용돼 있고 추후 랜섬웨어 등의 공격에 사용될 가능성이 있다고 언급했다.