2024년 08월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 유형별 비율

2024년 8월(8월 1일 ~ 8월 31일) 한 달간 잉카인터넷 대응팀은 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 “Trojan”이 48%로 가장 높은 비중을 차지했고, “Virus”가 11%로 그 뒤를 따랐다.

 

[그림 1] 2024년 8월 악성코드 유형별 비율

 

2. 악성코드 동향

2024년 8월(8월 1일 ~ 8월 31일) 한 달간 등장한 악성코드를 조사한 결과, 중국 사용자를 대상으로 유포된 "ValleyRAT" 악성코드가 발견됐다. 또한, 불법 복제 영화 파일로 위장해 유포된 "PEAKLIGHT" 악성코드와 러시아 업체의 홈페이지에서 유포된 "CMoon" 악성코드가 알려졌다. 이 외에도 사용자의 시스템에서 정보를 탈취하는 "Lumma Stealer" 악성코드와 "Cthulhu Stealer" 악성코드가 발견된 소식이 전해졌다.

 

Lumma Stealer – InfoStealer

8월 초, 보안 업체 TrendMicro에서 페이스북에 악성 광고를 게시해 "Lumma Stealer" 악성코드를 배포하는 캠페인을 발견했다. 공격자는 페이스북 페이지 관리자에게 메일을 보내 피싱 사이트로 접속하도록 이끌어 자격 증명을 탈취한다. 이후, 탈취한 계정 정보를 이용해 AI 이미지 편집 프로그램으로 위장한 악성 광고를 게시해 사용자의 접속과 설치를 유도한다. 설치된 파일은 추가 페이로드인 "Lumma Stealer" 악성코드를 설치하고 실행해 사용자의 자격 증명과 암호화폐 지갑 등의 민감 정보를 탈취한다. 이에 대해, TrendMicro 측은 소셜 미디어 계정에서 다중 인증(MFA)을 활성화하고 개인 정보나 로그인 자격 증명을 요구하는 링크는 주의해야 한다고 경고했다.

 

CMoon – Worm

보안 업체 Kaspersky에서 러시아의 가스 공급 회사 홈페이지에 등록된 문서 파일을 악용해 "CMoon"이라는 자체 확산 웜을 배포한 캠페인을 발견했다. 해당 웜은 Windows 시작 폴더에 바로 가기 파일을 생성해 시스템이 시작될 때마다 악성코드가 자동으로 실행되도록 지속성을 설정한다. 또한, 감염된 시스템의 USB 드라이브를 모니터링하면서 새로 연결된 드라이브의 'LNK'와 'EXE' 확장자를 제외한 모든 파일을 악성코드의 바로 가기 파일로 변경한다. 이 외에도 추가 페이로드 다운로드와 실행, 정보 탈취 및 DDoS 등의 추가 공격을 수행하기도 한다.

 

ValleyRAT – RAT

8월 중순, 중국 사용자를 대상으로 "ValleyRAT"이라는 악성코드를 유포한 캠페인이 발견됐다. 공격자는 금융 및 비즈니스 관련 문서에 MS 오피스의 아이콘을 사용한 가짜 파일을 생성해 사용자의 실행을 유도한다. 해당 파일을 실행하면 사용자의 시스템이 공격자의 C&C 서버를 연결하면서 "ValleyRAT" 페이로드를 다운로드하고 실행한다. 설치된 "ValleyRAT"은 시스템에 설치된 보안 프로그램을 비활성화한 후, 공격자로부터 추가 명령을 수신해 정보 탈취와 악성 페이로드 실행 등의 공격을 수행한다. 이에 대해 보안 업체 Fortinet 측은 해당 악성코드가 주로 셸코드를 사용해 메모리에서 직접 실행하는 특징이 있다고 언급했다.

 

Cthulhu Stealer - InfoStealer

보안 업체 CadoSecurity가 Mac 운영체제를 대상으로 공격하는 "Cthulhu Stealer" 악성코드를 발견했다. 공격자는 악성코드를 정상 프로그램이나 게임으로 위장해 사용자의 다운로드와 실행을 유도한다. 이후, 시스템 정보와 브라우저에 저장된 자격 증명 및 암호화폐 지갑 등을 수집해 공격자의 C&C 서버로 전송한다. 추가로, 해당 악성 코드의 기능과 특징이 이전에 발견된 "Atomic Stealer"와 유사하다고 덧붙였다. CadoSecurity는 사용자에게 앱스토어나 공식 웹사이트 등의 신뢰할 수 있는 사이트에서 다운로드하는 것을 권장했다.

 

PEAKLIGHT - Downloader

지난 8월 말, 불법 복제 영화 파일로 위장한 악성 파일이 "PEAKLIGHT" 다운로더를 유포한 정황이 발견됐다. 보안 업체 Mandiant 측은 "PEAKLIGHT"를 PowerShell 기반의 난독화된 다운로더라고 설명했다. 해당 다운로더는 실행 시 실제 영화 예고편 파일을 함께 배포해 정상적인 파일인 척 사용자를 속인다고 언급했다. 이때, 설치 과정에서 “LUMMAC.V2”, “SHADOWADDER”, “CRYPTBOT” 등의 악성 페이로드를 유포한다고 전했다. 이 외에도 다운로더를 배포하고 추가 페이로드를 설치하는 과정에서 콘텐츠 전송 네트워크(CDN)를 남용한 특징이 있다고 덧붙였다.