2022년 10월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 Top10

2022년 10월(10월 1일 ~ 10월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 9,727건이 탐지되었다.

 

[표 1] 2022년 10월 악성코드 탐지 Top 10

 

악성코드 진단 수 전월 비교

10월에는 악성코드 유형별로 9월과 비교하였을 때 Trojan, Virus, Worm, Suspicious 및 Backdoor의 진단 수가 증가했다.

 

[그림 1] 2022년 10월 악성코드 진단 수 전월 비교

 

주 단위 악성코드 진단 현황

10월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 9월에 비해 전체적으로 증가한 추이를 보이고 있다.

 

[그림 2] 2022년 10월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

2022년 10월(10월 1일 ~ 10월 31일) 한 달간 등장한 악성코드를 조사한 결과, Microsoft SQL 서버를 대상으로 하는 “Maggie”와 텔레그램을 통해 판매되는 “LilithBot”이 발견됐다. 또한, 불법 복제 소프트웨어로 위장해 유포되는 “Temp Stealer”와 피싱 메일을 통해 유포되는 “Ursnif”가 발견됐다. 마지막으로 인도의 국세청 앱으로 위장한 “Drinik” 안드로이드 악성 앱이 발견됐다.

 

Maggie – Backdoor

지난 10월 초, Microsoft SQL 서버를 대상으로 하는 “Maggie” 악성코드가 발견됐다. 해당 악성코드는 국내 소프트웨어 개발 업체의 인증서로 서명됐으며, “sqlmaggieAntiVirus_64.dll”라는 파일명으로 위장하고 있다. 이 악성코드에 감염될 경우, SQL 쿼리문을 통해 시스템을 제어하고 시스템 정보 수집과 IP 스캔 등의 악성 행위를 수행한다. 또한, 무차별 대입 공격을 통해 다른 SQL 서버의 관리자 계정 탈취를 시도하며, 탈취에 성공할 경우 악성 행위를 위한 백도어 계정을 생성한다고 알려졌다.

 

LilithBot – Botnet

10월경, 텔레그램을 통해 판매되는 “LilithBot” 악성코드가 발견됐다. 해당 악성코드에는 봇넷 기능 외에도 암호화폐 채굴 및 정보 탈취 등의 다양한 기능이 포함돼 있다. 정보 탈취 기능의 경우 피해자 PC의 브라우저 기록과 스크린샷 등의 정보를 수집한 뒤 ZIP 파일로 압축해 공격자 C&C 서버로 전송한다고 알려졌다. 또한, 탐지 및 분석을 피하기 위해 가짜 Microsoft 인증서로 인증돼 있으며 가상환경 탐지 등의 기능을 포함하고 있다.

 

Temp Stealer – Info Stealer

크랙 및 불법 복제 소프트웨어로 위장해 유포되는 “Temp Stealer” 악성코드가 발견됐다. 해당 악성코드는 다크웹에서 약 15달러에 판매되고 있으며, BinanceChain 등 40개 이상의 암호화폐 지갑 정보를 탈취하는 것으로 알려졌다. 또한, 스팀 계정 비밀번호와 프로필 정보, 디스코드 토큰 파일 및 텔레그램 메시지 등을 탈취해 공격자 C&C 서버로 전송한다. 추가로, 공격자는 감염된 시스템의 IP 주소를 기반으로 피해자의 실제 위치를 추적하는 것으로 밝혀졌다.

 

Ursnif – Backdoor

지난 10월 중순, 미국의 보안 업체 Mandiant가 “Ursnif” 악성코드의 변종을 발견했다. 해당 변종은 주로 금융 정보를 탈취하던 이전 버전과는 달리 일반적인 백도어로 발견됐다. 공격자는 채용 공고로 위장한 피싱 메일에 포함된 악성 사이트 링크를 통해 해당 악성코드를 유포한다. 악성 사이트에 접속할 경우 캡챠(CAPTCHA) 인증창을 통해 사용자로부터 의심을 피하고 채용 공고문으로 위장한 엑셀 파일 다운로드를 유도한다. 해당 엑셀 파일을 실행할 경우 내부의 악성 매크로를 통해 “Ursnif” 악성코드를 다운로드 후 실행하고 시스템 정보 수집 등의 악성 행위를 수행한다.

 

Drinik – Android Malware

최근, 인도의 국세청 앱으로 위장한 “Drinik” 안드로이드 악성 앱 변종이 발견됐다. 새롭게 발견된 악성코드에는 피해자 은행 계정과 개인 식별 번호를 탈취하는 기능이 추가된 것으로 알려졌다. 해당 앱을 실행할 경우, 실제 인도 국세청 사이트에 연결돼 사용자의 로그인 및 금융 정보 입력을 유도한다. 이때, 공격자는 사용자가 입력한 모든 키 정보를 탈취하는 키로거 기능과 화면 녹화를 통해 사용자가 입력한 계정 정보와 금융 정보를 탈취한다.