2025년 08월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 유형별 비율

2025년 8월(8월 1일 ~ 8월 31일) 한 달간 잉카인터넷 시큐리티대응센터는 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 Trojan이 67%로 가장 높은 비중을 차지했고, Virus가 15%로 그 뒤를 따랐다.

 

[그림 1] 2025년 8월 악성코드 유형별 비율

 

 

2. 악성코드 동향

2025년 8월(8월 1일 ~ 8월 31일) 한 달간 등장한 악성코드를 조사한 결과, 북한 해커 그룹 APT37이 사용하는 RokRAT의 새로운 변종이 스테가노그래피 기법을 사용해 JPEG 이미지 파일 내에 내장된 방식으로 발견됐다. 또한, 다중 인증이 적용되지 않은 환경을 공격 대상으로 삼아 유포되는 Cephalus 랜섬웨어와 이메일 스팸 캠페인에서 활용되는 새로운 로더 QuirkyLoader가 등장했다. 이 외에도 MacOS 시스템을 공격 대상으로 삼아 ClickFix 기법으로 유포되고 있는 Odyssey Stealer와 랜섬웨어 기능이 추가된 안드로이드 뱅킹 트로이목마 Hook 버전 3 소식이 전해졌다.

 

RokRAT - RAT

8월 초, 리퍼로도 알려진 북한 해커 그룹 APT37이 사용하는 RokRAT의 새로운 변종이 발견됐다. 해당 악성코드는 "국가정보와 방첩원고"라는 이름으로 ZIP 아카이브 내의 LNK 파일 형태로 주로 한국에서 유포됐으며 LNK 파일에는 미끼 문서와 RokRAT 쉘코드를 포함한 여러 숨겨진 구성 요소가 포함됐다. 피해자가 압축 파일 내 LNK 파일을 실행하면 파워쉘 스크립트로 XOR 암호화된 쉘코드를 복호화하고 그림판이나 메모장 등의 정상 프로세스에 인젝션한다. 이후 스테가노그래피 기법을 사용해 JPEG 이미지 파일 내에 내장된 RokRAT 모듈을 로딩하며 공격자가 운영하는 C&C 서버와 통신해 정보를 탈취한다. 이에 대해 내신은 정기적인 사용자 교육과 엔드포인트 보안 강화 및 트래픽 모니터링 등의 여러 보안 조치를 권고했다.

 

Odyssey Stealer - MacOS

보안 업체 Forcepoint는 MacOS 시스템을 공격 대상으로 삼아 ClickFix 기법으로 유포되고 있는 Odyssey Stealer 캠페인을 발견했다. 공격자는 가짜 CAPTCHA 페이지를 제작해 피해자가 Base64로 암호화된 명령어를 실행하도록 유도한 뒤 난독화된 스크립트를 다운로드 및 실행한다. 스크립트는 Firefox 및 Chromium 기반 브라우저에서 암호화폐 지갑 데이터와 문서 파일을 수집 후 ZIP 파일로 압축해 공격자가 운영하는 C&C 서버로 전송한다. 추가로 데이터 전송 후 임시 디렉토리를 삭제해 공격 흔적을 제거한다. Forcepoint 측은 ClickFix 기법의 대상이 Windows에서 MacOS로 확장되고 있다고 언급하며 주의할 필요가 있다고 권고했다.

 

QuirkyLoader - Loader

8월 중순, 이메일 스팸 캠페인으로 유포되는 로더 QuirkyLoader를 발견됐다. 공격자는 스팸 메일에 정상 실행 파일과 악성 DLL 및 암호화된 페이로드를 포함하는 아카이브를 첨부해 배포하며 피해자에게 정상 파일 실행을 유도한다. 이후 DLL 사이드로딩 기법으로 악성 DLL 파일이 로드되며 Speck-128 암호 알고리즘으로 암호화된 페이로드를 복호화한다. 복호화된 페이로드는 정상 프로세스를 대상으로 프로세스 할로잉을 진행하고 최종 페이로드를 실행한다. IT 업체 IBM는 대만을 겨냥한 캠페인에서 Snake Keylogger가 유포되며 멕시코에서는 RemcosRAT 및 RsyncRAT가 발견됐다고 전했다.

 

Cephalus - Ransomware

다중 인증이 적용되지 않은 환경을 공격 대상으로 삼아 유포되는 새로운 랜섬웨어 Cephalus가 발견됐다. 보안 업체 Huntress는 공격자가 유출된 자격 증명을 악용해 원격 데스크톱 프로토콜로 공격 대상에게 접근한 뒤 DLL 사이드로딩으로 랜섬웨어를 실행한다고 밝혔다. Cephalus 랜섬웨어는 암호화 이전에 볼륨 섀도우 복사본을 삭제하며 시스템 복구를 비활성화하고 윈도우 디펜더에 예외 추가 및 비활성화한다. 그리고 피해자 시스템 내의 문서를 암호화하고 파일명에 .sss 확장자를 추가하며 recover.txt 이름의 랜섬노트를 생성한다. Huntress 측은 공격자가 랜섬노트 내용에 이전 침해 사례를 담은 가짜 뉴스 기사 링크를 첨부해 피해자에게 심리적 압박을 가하며 몸값을 요구한다고 밝혔다. 그리고 랜섬웨어가 파일을 암호화하는 방식보다 배포되기까지 발생하는 과정을 이해하면 공격을 탐지 및 대응할 수 있다고 전했다.

 

Hook - Andriod

8월 말, 소스코드가 공개된 ERMAC 뱅커의 변종인 악성 안드로이드 뱅커 Hook 버전 3이 발견됐다. 최신 버전의 Hook 뱅커는 107개의 원격 명령을 지원하며 랜섬웨어와 NFC 및 화면 잠금 등의 다양한 상황을 구현할 수 있는 오버레이 공격이 추가됐다. Hook 뱅커는 피싱 사이트와 GitHub 저장소로 배포되며 사용자가 이를 실행하면 악성 동작에 필요한 권한을 요구한다. 이후 오버레이 공격을 이용해 랜섬웨어에 감염된 것처럼 화면을 띄우고 경고 메시지와 함께 랜섬머니를 요구한다. 또한 가짜 금융앱 화면을 표시해 자격 증명을 입력하도록 유도하거나 공격자가 운영하는 C&C 서버에 연결한 후 감염된 장치를 원격으로 제어할 수 있다. Zimperium 측은 뱅킹 트로이목마가 스파이웨어와 랜섬웨어 기능을 결합하면서 기존 악성코드 범주 간 경계가 모호해지고 있다고 전했다.