2022년 05월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 Top10

2022년 5월(5월 1일 ~ 5월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Trojan 유형이며 총 1,605건이 탐지되었다.

 

[표 1] 2022 년  5 월 악성코드 탐지  Top 10

 

악성코드 진단 수 전월 비교

5월에는 악성코드 유형별로 4월과 비교하였을 때 Adware의 진단 수가 증가하고, Trojan, Virus, Worm 및 Backdoor의 진단 수가 감소했다.

 

[그림  1] 2022 년  5 월 악성코드 진단 수 전월 비교

 

주 단위 악성코드 진단 현황

5월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 4월에 비해 감소한 추이를 보이고 있다.

 

[그림  2] 2022 년  5 월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

2022년 5월(5월 1일 ~ 5월 31일) 한 달간 등장한 악성코드를 조사한 결과, 사용자 PC에서 정보를 탈취하는"SaintStealer"와 "BluStealer" 악성코드의 변종이 발견됐다. 또한, Go 언어로 작성된 "Nerbian RAT" 악성코드와 디스코드를 사용해 유포되는 "SYK Crypter" 크립터 악성코드가 발견됐다. 마지막으로 우크라이나 전쟁 이슈를 악용해 독일어 사용자를 대상으로 "PowerShell RAT"를 배포하는 캠페인이 발견됐다.

 

SaintStealer - InfoStealer

지난 5월 초, .NET 기반의 정보 탈취형 악성코드 "SaintStealer"가 발견됐다. 해당 악성코드는 사용자 PC에서 브라우저 및 신용 카드 정보 등을 수집한 후, 수집한 정보를 비밀번호가 설정된 ZIP 파일로 압축한다. 이후, 압축한 파일은 공격자의 텔레그램 계정으로 전송하고, 탈취한 정보와 관련된 메타데이터를 공격자가 운영하는 C&C 서버로 전송한다. 보안 업체 Cyble은 정보 탈취형 악성코드로 인해 개인 및 대규모 조직의 정보가 유출될 수 있으며, 이에 따라 심각한 영향을 미칠 수 있으므로 주의할 것을 권고했다.

 

BluStealer - InfoStealer

“BluStealer” 악성코드의 변종이 발견됐다. 최근 유포된 버전의 경우 PDF 아이콘을 사용해 사용자를 속이며, NSIS 포맷의 설치 파일로 내부에 최종 페이로드인 “BluStealer” 악성코드와 해당 파일을 실행할 로더가 압축 파일로 저장됐다. 해당 파일을 실행하면 임시 폴더에 파일을 드롭한 뒤 로더를 실행하고, 자동 실행되도록 Run 레지스트리에 등록한다. 이후, 로더를 통해 최종적으로 실행된 “BluStealer”은 웹 브라우저 자격 증명과 암호화폐 지갑 정보 등을 수집한 후, 공격자의 C&C 서버로 전송한다.

 

Nerbian RAT - RAT

지난 5월 중순, 피싱 메일을 통해 Go 언어로 작성된 "Nerbian RAT" 악성코드를 유포하는 캠페인이 발견됐다. 해당 캠페인의 공격자는 세계보건기구(WHO)에서 COVID-19 관련 내용의 메일을 보낸 것으로 위장해 사용자가 첨부된 문서 파일을 다운로드하도록 유도했다. 피싱 메일에 첨부된 파일을 실행하면 문서 내부의 매크로가 실행돼 공격자의 C&C 서버에서 "UpdateUAV.exe"란 파일명을 지닌 다운로더 악성코드를 다운로드한다. 다운로드한 파일은 최종 페이로드인 "Nerbian RAT" 악성코드를 다운로드해 사용자 PC에서 실행하며, 해당 악성코드 실행 시 공격자의 명령에 따라 키로깅 및 화면 캡처 등의 행위를 수행한다.

 

SYK Crypter - Crypter

보안 업체 Morphisec이 디스코드를 통해 유포되는 "SYK Crypter" 크립터 악성코드를 발견했다. 해당 악성코드의 캠페인은 구매 주문 내용이 작성된 피싱 메일에 악성 파일을 첨부해 유포하는 방식으로 사용자의 첨부 파일 실행을 유도했다. 메일에 첨부된 파일은 .NET으로 작성된 로더 악성코드로, 공격자가 운영하는 Discord CDN에서 "SYK Crypter" 크립터 악성코드를 다운로드해 실행한다. "SYK Crypter"는 리소스에 저장된 최종 페이로드를 디코딩한 후 실행하며, 현재까지 알려진 최종 페이로드는 "RedLine Stealer", "Async RAT", "WarZone RAT" 등의 악성코드가 있다.

 

PowerShell RAT - RAT

최근 우크라이나 전쟁 이슈를 악용해 독일어 사용자를 대상으로 공격하는 캠페인이 발견됐다. 해당 캠페인의 공격자는 우크라이나의 전쟁 상황에 대한 정보 공개 관련 사이트를 제작해 사용자를 유인한 후, 악성 파일을 다운로드하도록 유도했다. 다운로드한 ZIP 파일에는 윈도우 도움말 파일(CHM)이 압축돼 있으며, 해당 파일을 실행할 경우 가짜 오류 메시지를 표시하고, 백그라운드에서 파워쉘 코드를 실행해 "PowerShell RAT"를 다운로드 및 실행한다. 최종적으로 실행된 "PowerShell RAT" 악성코드는 공격자와 통신을 시도하며, 파일 다운로드, 업로드 및 파워쉘 스크립트 실행 등의 악성 행위를 할 수 있다.