동향 리포트/월간 동향 리포트

2022년 08월 악성코드 동향 보고서

TACHYON & ISARC 2022. 9. 8. 13:55

1. 악성코드 통계

악성코드 Top10

2022년 8월(8월 1일 ~ 8월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 12,648건이 탐지되었다.

 

[표 1] 2022년 8월 악성코드 탐지 Top 10

 

악성코드 진단 수 전월 비교

8월에는 악성코드 유형별로 7월과 비교하였을 때 Virus, Suspicious 및 Backdoor의 진단 수가 증가했고, Trojan 및 Worm의 진단 수가 감소했다. 

 

[그림 1] 2022년 8월 악성코드 진단 수 전월 비교

 

주 단위 악성코드 진단 현황

8월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 7월에 비해 감소한 추이를 보이고 있다.

 

[그림 2] 2022년 8월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

2022년 8월(8월 1일 ~ 8월 31일) 한 달간 등장한 악성코드를 조사한 결과, 정상 사이트를 사칭해 유포된 "Mars Stealer"와 사이버 범죄 포럼에서 판매 중인 “LOLI Stealer” 정보 탈취 악성코드가 발견됐다. 또한, DDoS 보호 기능을 악용해 "Raccoon Stealer"를 다운로드하는 캠페인과 GO 언어를 사용해 제작된 “WEBBFUSCATOR” 악성코드도 발견됐다. 추가로 리눅스 시스템을 대상으로 "RapperBot" 봇넷 악성코드가 사용된 정황이 드러났다.

 

Mars Stealer - Stealer

8월 초, 암호화폐 지갑을 탈취하는 "Mars Stealer" 악성코드를 발견했다. 해당 악성코드는 암호화폐 지갑 플랫폼인 Atomic Wallet을 사칭한 사이트를 통해 유포되며 위장 사이트에서 다운받은 Atomic Wallet을 실행할 경우, 악성 배치 파일을 통해 "Mars Stealer"를 다운로드 및 설치한다. 이후, 해당 악성코드는 감염된 PC에서 암호화폐 지갑 주소를 포함한 정보를 탈취해 공격자의 C&C 서버에 전송한다.

 

LOLI Stealer – Stealer

사이버 범죄 포럼에서 판매 중인 "LOLI Stealer" 악성코드가 발견됐다. 해당 악성코드는 GO 언어로 제작됐으며, 실행할 경우 사용자의 PC에서 암호화폐 지갑 정보와 브라우저 쿠키 등의 데이터를 수집한다. 이후, 수집한 모든 데이터를 공격자의 C&C 서버에 전송하고, 전송 완료한 데이터는 사용자의 PC에서 삭제한다. 이에 대해 보안 업체는 “LOLI Stealer”가 기업의 네트워크를 손상시키고, 초기 액세스 권한을 얻는 등 추가 사이버 공격이 있을 수 있다고 발표했다.

 

Raccoon Stealer - Stealer

DDoS 보호 기능을 악용해 "Raccoon Stealer" 악성코드를 다운로드하는 캠페인이 발견됐다. 보안 업체 Sucuri에 따르면 공격자들이 취약한 WordPress 사이트에 악성 JavaScript를 삽입해 DDoS 공격과 봇을 확인하는 가짜 DDoS 보호 팝업을 생성한다고 알려졌다. 해당 사이트에 접속할 경우 정상 프로그램으로 위장한 ISO 파일이 다운로드되고 인증 코드 입력을 요구하는 팝업을 띄운다. 이후, 코드를 입력하기 위해 ISO 파일 내부의 EXE 파일을 실행할 경우 "Raccoon Stealer" 악성코드가 설치되고 사용자의 계정 정보 등의 데이터를 탈취한다.

 

WEBBFUSCATOR – Backdoor

Go 언어를 기반으로 제작된 "WEBBFUSCATOR" 악성코드가 발견됐다. 보안 업체 Securonix에 따르면 해당 악성코드는 악성 문서가 첨부된 피싱 메일을 통해 유포된다고 알려졌다. 이 악성 문서를 실행할 경우 내부의 매크로를 통해 페이로드가 포함된 JPG 파일을 다운로드 한다. 이후, JPG 파일 내부에 포함된 데이터를 Base64로 디코딩해 "WEBBFUSCATOR" 악성코드를 드롭한 후 실행한다. 최종적으로 공격자는 네트워크 정보와 사용자 이름 및 도메인 등의 데이터를 탈취하고, 지속적으로 C&C 서버와 연결을 시도한다.

 

RapperBot - Linux / Botnet

"RapperBot" 이라는 새로운 봇넷을 사용해 Linux SSH 서버를 공격하는 캠페인이 발견됐다. 보안 업체에 따르면 해당 봇넷은 "Mirai" 악성코드의 변형으로 자체 명령 기능이 추가됐다. 또한, 호스트의 "~/.ssh/authorized_keys"에 SSH 키를 추가하고, Cron 작업을 생성하거나 난독화 등을 추가하는 등의 변화를 보인 것으로 알려졌다. 보안 업체는 "RapperBot" 악성코드가 DDoS 기능을 제한적으로 유지하거나 기능을 제거 및 추가하는 과정을 근거로 공격 대상이 명확하지 않다고 알렸다.