동향 리포트/월간 동향 리포트

2022년 7월 악성코드 동향 보고서

TACHYON & ISARC 2022. 8. 5. 16:33

1. 악성코드 통계

악성코드 Top10

2022년 7월(7월 1일 ~ 7월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 8,848건이 탐지되었다.

 

[표 1] 2022년 7월 악성코드 탐지 Top 10

 

악성코드 진단 수 전월 비교

7월에는 악성코드 유형별로 6월과 비교하였을 때 Trojan, Virus, Worm 및 Suspicious가 증가했고, Backdoor의 진단 수가 감소했다. 

 

[그림 1] 2022년 7월 악성코드 진단 수 전월 비교

 

주 단위 악성코드 진단 현황

7월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 6월에 비해 증가한 추이를 보이고 있다.

 

[그림 2] 2022년 7월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

2022년 7월(7월 1일 ~ 7월 31일) 한 달간 등장한 악성코드를 조사한 결과, 리눅스 환경에서 사용자의 정보를 유출하는 "Lightning Framework" 악성코드가 발견됐다. 또한, 우크라이나 소프트웨어 개발 업체를 대상으로 "GoMet" 백도어 악성코드가 사용된 정황이 드러났으며, 텔레그램을 통해 판매 중인 "ApolloRAT"과 Rust 언어로 작성된 "Luca Stealer"도 발견됐다. 마지막으로 Windows 7 환경에서 계산기 프로그램을 악용하는 "Qbot" 악성코드가 발견됐다.

 

Lightning Framework - Linux

미국의 보안 업체 Intezer에서 새로운 Linux 악성코드인 "Lightning Framework"를 발견했다. 해당 악성코드는 모듈식으로 구성돼 공격자의 C&C 서버에서 루트킷과 플러그인을 다운로드한 후 사용자 PC에 설치해 악성행위를 수행한다. 이 과정에서 암호 및 암호키 관리자 소프트웨어 Seahorse의 디렉토리 경로인 '/usr/lib64/seahorses/'에 파일을 다운로드해 숨긴다. 이후, 공격자로부터 받은 명령에 따라 파일을 다운로드하거나 사용자 PC의 정보를 유출할 수 있다.

 

GoMet - Backdoor

지난 7월 말, 우크라이나의 소프트웨어 개발 업체를 대상으로 공격하는 "GoMet" 백도어 악성코드의 변종이 발견됐다. 해당 변종은 Go 언어로 작성된 "GoMet" 백도어의 오픈소스를 기반으로 난독화 등의 기능이 추가됐다. 또한, 해당 악성코드 실행 시 공격자의 C&C 서버에 2초마다 연결을 시도하도록 수정됐으며, 연결에 성공할 경우 파일 다운로드 등의 명령을 수행할 수 있다. 이에 대해 Cisco Talos는 "GoMet" 변종을 악용한 공급망 공격 등의 가능성이 있으니 주의할 것을 권고했다.

 

ApolloRAT - RAT

텔레그램을 통해 판매 중인 "ApolloRAT" 악성코드가 발견됐다. 해당 악성코드는 음성 채팅을 위해 제작된 프로그램인 디스코드(Discord)의 웹훅 기능을 사용해 공격자와 통신한다. 또한, 공격자로부터 받은 명령에 따라 파일을 다운로드하거나 브라우저 기록을 수집하는 등의 악성 행위를 시도한다. 추가로, "ApolloRAT"은 파이썬 컴파일러인 Nuitka를 사용해 C 소스 코드로 변환 후, 컴파일하는데 이 과정에서 파일 크기가 증가해 분석을 어렵게 한다고 알려졌다.

 

Qbot - Backdoor

Windows 7의 계산기를 악용해 "Qbot" 악성코드를 실행하는 캠페인이 발견됐다. 미국의 보안 업체 Cyble에 따르면 공격자들이 악성 HTML 파일을 첨부한 스팸 메일을 통해 악성코드를 유포한다고 알려졌다. 해당 HTML 파일을 실행할 경우 ISO 파일을 포함하고 있는 압축 파일을 다운로드한다. 이후, 다운로드한 파일의 압축을 해제하고 ISO 파일 내부의 LNK 파일을 사용해 "calc.exe"를 실행한다. 이때 DLL 하이재킹 기법으로 "Qbot"을 실행하는 악성 DLL 파일을 로드하고 최종적으로 사용자 PC에 "QBot" 악성코드를 설치한다.

 

Luca Stealer - Stealer

최근, 해커 포럼에 Rust로 작성된 "Luca Stealer" 악성코드의 소스 코드가 무료로 공개됐다. 해당 악성코드를 실행하면 크로미움 기반의 웹 브라우저에서 데이터 탈취를 시도한다. 또한, 스팀, 디스코드 및 유플레이 등에서 데이터를 수집하고 스크린샷을 캡쳐해 PNG 파일로 저장한다. 이후, 수집된 정보의 용량이 50MB 이상인지 여부에 따라 디스코드 웹훅 또는 텔레그램 봇을 사용해 공격자에게 전송한다.