동향 리포트/월간 동향 리포트

2022년 04월 악성코드 동향 보고서

2022. 5. 4. 15:51

1. 악성코드 통계

악성코드 Top10

20224(41 ~ 430) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [ 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Worm() 유형이며 총 3,981 건이 탐지되었다.

 

[표 1] 2022년 4월 악성코드 탐지 Top 10

 

악성코드 진단 수 전월 비교

4월에는 악성코드 유형별로 3월과 비교하였을 때 Suspicious, Trojan, Worm의 진단 수가 증가하고, Virus Ransom의 진단 수가 감소했다.

 

[그림 1] 2022년 4월 악성코드 진단 수 전월 비교

 

주 단위 악성코드 진단 현황

4월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 3월에 비해 증가한 추이를 보이고 있다.

 

[그림 2] 2022년 4월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

20224(4 1 ~ 430) 한 달간 등장한 악성코드를 조사한 결과, LILIN 사의 보안 카메라 DVR 장치를 대상으로 감염시키는 BotenaGo 봇넷의 변종이 발견됐다. 또한, 해킹 그룹 Haskers Gang이 무료로 배포하는 "Zingo"와 해커 포럼에서 판매중인 BlackGuard, 키로깅 및 클리퍼 동작까지 수행하는 Prynt 정보 탈취 악성코드가 발견됐다. 마지막으로 아프리카 은행을 대상으로 Remcos RAT를 배포하는 캠페인이 발견됐다.

 

BotenaGo Botnet

최근 오픈 소스 프로그래밍 언어인 Go로 제작된 BotenaGo의 새로운 변종이 발견됐다. 이번 변종은 대만의 IP 영상 솔루션 제공 업체인 LILIN 사의 보안 카메라 DVR(digital video recorder) 장치를 대상으로 봇넷 동작을 수행하는 기능이 추가됐다. 또한, 외부 스캔 도구를 통해 감염된 장치의 IP 주소 목록을 만들고, 해당 IPPC에 접근해 사용자의 시스템을 제어할 수 있다.

Zingo - Info Stealer

최근 "Haskers Gang" "Zingo" 정보 탈취 악성코드를 무료로 배포하기 시작했다. "Haskers Gang" 300루블(4.40 달러)을 추가로 지불할 경우 "ExoCrypt" 암호화 악성코드를 사용하는 파일 암호화 옵션을 추가할 수 있으며, 이를 통해 백신 프로그램에서 "Zingo" 악성코드를 탐지하는 것을 우회할 수 있다고 홍보했다. 외신은 "Zingo" 악성코드가 게임 치트 및 불법 복제 소프트웨어로 위장해 유포됐으며, 주로 러시아어를 사용하는 사용자들에게서 피해가 발생했다고 알렸다. 또한, 민감한 정보를 훔칠 수 있을 뿐만 아니라 추가 악성코드를 다운로드할 수 있어 주의가 필요하다고 언급했다.

 

BlackGuard - Info Stealer

러시아 해킹 포럼에서 판매되고 있는 "BlackGuard" 정보 탈취 악성코드가 발견됐다. 해당 악성코드는 약 200~700달러에 판매 중이며 사용자 PC에서 암호 화폐 지갑, 설치된 메신저 및 장치에 저장된 브라우저 자격 증명 등의 정보를 수집한다. 이후, 악성코드가 수집한 데이터는 ZIP 아카이브로 압축해 공격자가 운영하는 C&C 서버로 전송된다.

 

Remcos RAT

4월경, 아프리카 은행을 대상으로 "Remcos" 악성코드를 배포하는 캠페인이 발견됐다. 이번 캠페인에서는 공격자가 피싱 메일의 첨부 파일 기능을 악용해 악성코드를 유포한 후, 사용자의 다운로드를 유도하는 방식을 사용했다. 해당 메일의 첨부파일은 ISO 형식으로 압축된 파일로, 압축 파일 내부에는 악성 페이로드가 작성된 VBS 파일이 포함됐다. 이후, 사용자가 다운로드한 첨부파일을 실행하면 최종적으로 공격 대상 시스템에서 "Remcos" 악성코드를 실행해 공격자가 정보를 탈취하거나 악성코드가 실행된 시스템을 원격으로 제어할 수 있다.

 

Prynt - Info Stealer

지난 4월 말, 다크웹에서 판매되고 있는 Prynt 정보 탈취 악성코드가 발견됐다. 해당 악성코드는 정액제로 100~900달러 가격에 판매되고 있으며 브라우저 정보, 메신저 프로그램 및 암호화폐 지갑 정보 등을 탈취한다. 또한, 사용자의 PC에서 5KB 미만의 문서, 이미지 및 소스 코드 파일을 수집하며, 최종적으로 수집한 데이터는 공격자의 텔레그램 봇으로 전송된다.