2022년 06월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 Top10

2022년 6월(6월 1일 ~ 6월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Trojan 유형이며 총 354건이 탐지되었다.

 

[표 1] 2022년 6월 악성코드 탐지 Top 10

 

악성코드 진단 수 전월 비교

6월에는 악성코드 유형별로 5월과 비교하였을 때 Virus의 진단 수가 증가하고, Trojan, Worm, Backdoor 및 Adware의 진단 수가 감소했다.

 

[그림 1] 2022년 6월 악성코드 진단 수 전월 비교

 

주 단위 악성코드 진단 현황

6월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 5월에 비해 증가한 추이를 보이고 있다.

 

[그림 2] 2022년 6월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

2022년 6월(6월 1일 ~ 6월 30일) 한 달간 등장한 악성코드를 조사한 결과, 사용자 몰래 전화 요금을 추가하는 악성 앱 "SMSFactory" 악성코드가 발견됐다. 또한, 새롭게 등장한 피싱 캠페인을 통해 "SVCReady" 악성코드를 유포한 정황이 드러났으며 리눅스 서버를 대상으로 악성 동작을 수행하는 “Syslogk/Rekoobe” 및 “Panchan” 악성코드가 새롭게 등장했다. 마지막으로 유튜브 이용자를 대상으로 정보를 탈취하는 "YTStealer" 악성코드가 발견됐다.

 

SMSFactory - Android Malware

지난 6월 초, 사용자 몰래 전화 요금을 추가하는 "SMSFactory" 안드로이드 악성 앱이 발견됐다. 해당 악성 앱은 주로 무료 비디오 스트리밍 사이트에서 홍보 및 유포되고 있다고 알려졌다. “SMSFactory”를 설치할 경우 앱 아이콘을 지우고 이름을 공백으로 사용해 사용자로부터 탐지와 제거를 어렵게 한다. 또한, 실행 시 전화와 SMS 관련 권한을 요청하고, 프리미엄 요금을 부과하는 전화와 SMS를 발신해 피해자의 전화 요금을 인상시킨다. 이와 관련해 보안 업체는 검증된 앱 스토어를 통해 어플리케이션을 설치하고 모바일 장치에 바이러스 백신을 설치할 것을 권고했다.

 

SVCReady - Loader

“SVCReady” 악성코드가 피싱 공격 캠페인에 사용된 정황이 발견됐다. 해당 캠페인은 악성 워드 파일이 첨부된 피싱 메일을 사용자에게 유포해 첨부파일 다운로드를 유도한다. 이후, 첨부된 문서 파일을 실행하면 VBA 매크로를 사용해 파일 속성에 숨어 있는 쉘코드를 실행한다. 실행된 쉘코드는 “rundll32.exe” 파일로 위장해 “SVCReady” 악성코드를 드롭하고, 실행한다. 최종적으로 악성코드는 공격자의 C&C 서버와 통신을 시도하며 연결되면 사용자 PC에서 수집한 시스템 정보를 전송하고, 파일을 다운로드한다.

 

Syslogk/Rekoobe - RootKit/Backdoor

6월경, 오픈 소스인 “Adore_Ng” 루트킷을 기반으로 한 "Syslogk" 악성코드가 발견됐다. 해당 악성코드는 리눅스 커널 모듈로 설치되며 설치된 모듈 목록에서 리눅스 명령을 가로채 디렉토리, 프로세스 및 네트워크 트래픽을 숨긴다. 또한, 공격자로부터 서버 정보가 저장된 특수한 패킷을 전달 받아 “Rekoobe” 백도어를 설치하고 실행하는 것으로 알려졌다. “Rekoobe” 백도어 악성코드는 감염된 시스템의 정보를 탈취하거나 공격자가 지정한 명령을 실행할 수 있는 원격 쉘을 공격자에게 제공한다.

 

Panchan - Botnet

리눅스 서버를 대상으로 하고, Go언어 기반으로 제작된 "Panchan" P2P 봇넷을 발견됐다. 해당 악성코드는 SSH 사전 공격(Dictionary attack)을 통해 SSH 키를 수집하며, 봇넷에 감염된 PC는 불법적인 암호화폐 채굴에 사용되도록 설계됐다. 또한, “Panchan”은 “XMRig” 및 “nbhash” 암호화폐 채굴 툴을 사용하고 해당 툴들은 탐지를 피하기 위해 메모리에서 실행한다.

 

YTStealer – Info Stealer

보안 업체 “Intezer”는 유튜브 콘텐츠 제작자의 인증 쿠키를 탈취하는 “YTStealer”를 발견했다. 해당 업체에 따르면 “YTStealer” 악성코드는 동영상 편집 프로그램과 콘텐츠 역할을 하는 소프트웨어 등의 설치 프로그램으로 위장해 유포된다고 알려졌다. 또한, “YTStealer”가 실행되면 브라우저의 데이터베이스 파일에서 쿠키를 추출해 사용자의 유튜브 계정 정보 탈취를 시도하며, 분석을 회피하기 위해 안티 디버깅 등의 기술이 적용됐다고 덧붙였다.