2022년 11월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 Top10

2022년 11월(11월 1일 ~ 11월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 15,735건이 탐지되었다.

 

[표 1] 2022년 11월 악성코드 탐지 Top 10

 

악성코드 진단 수 전월 비교

11월에는 악성코드 유형별로 10월과 비교하였을 때 Virus, Suspicious의 진단 수가 증가했고, Trojan, Worm 및 Backdoor의 진단 수가 감소했다.

 

[그림 1] 2022년 11월 악성코드 진단 수 전월 비교

 

주 단위 악성코드 진단 현황

11월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 첫째 주는 10월에 비해 진단 수가 증가했지만, 둘째 주부터 전체적으로 감소하는 추이를 보이고 있다.

 

[그림 2] 2022년 11월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

2022년 11월(11월 1일 ~ 11월 30일) 한 달간 등장한 악성코드를 조사한 결과, 구글 광고를 악용해 유포되는 "Vidar" 인포스틸러와 정상 프로그램으로 위장해 사용자의 데이터를 탈취하는 "Dtrack" 악성코드가 발견됐다. 또한, 크롬 브라우저를 원격으로 제어하는 "Cloud9"과 암호화폐 채굴 및 DDoS 공격 등을 수행하는 "KmsdBot" 봇넷 악성코드가 발견됐다. 마지막으로 실행 중인 프로세스에 주입해 설치되는 "XMRminer" 악성코드가 발견됐다.

 

Vidar - Info Stealer

지난 11월경, Google Ads를 악용해 피싱 사이트 접속을 유도하고 "Vidar" 인포스틸러를 유포하는 정황이 포착됐다. 외신에 따르면, 공격자가 구글 광고와 연결된 URL을 피싱사이트로 설정해 해당 악성코드를 유포한 것으로 알려졌다. 사용자가 피싱 사이트에 접속하면 정상 프로그램으로 위장한 “Vidar”를 다운로드해 실행한다. 이 악성코드가 실행되면, 공격자가 운영하는 C&C 서버에 접속해 악성 행위에 필요한 DLL 및 압축 파일을 다운로드한다. 이후, 사용자 PC에서 브라우저 암호와 쿠키, 암호화폐 지갑 및 텔레그램 계정 등을 탈취해 공격자 서버로 전송한다.

 

Cloud9 - Botnet

크롬 브라우저를 원격으로 제어할 수 있는 "Cloud9" 봇넷이 발견됐다. "Cloud9"은 Chromium 기반 브라우저를 대상으로 공격하는 악성 브라우저 확장 프로그램으로, Adobe Flash Player 업데이트 페이지로 위장한 악성 웹 사이트를 통해 유포된다. 해당 악성코드는 피해자 PC에서 시스템 정보 수집과 브라우저 익스플로잇, 암호화폐 채굴 및 DDoS 공격 등의 악성 행위를 수행한다. 또한, 키로거와 클리퍼 모듈을 사용해 사용자의 패스워드, 신용카드 정보 등의 중요 정보 탈취를 시도하는 것으로 알려졌다.

 

KmsdBot - Botnet

지난 11월 초, 암호화폐 채굴 및 DDoS 공격을 수행하는 "KmsdBot" 악성코드가 발견됐다. 보안 업체 Akamai에 따르면, 공격자가 “KmsdBot”을 사용해 게임, 제조 및 보안 업체 등을 대상으로 공격했으며, 취약한 SSH 계정을 통해 이 악성코드를 유포하는 것으로 알려졌다. 해당 악성코드에 감염될 경우, DDoS 공격을 시도하고 암호화폐 채굴 도구인 "XMRig"를 사용해 암호화폐를 채굴한다. Akamai는 이러한 악성코드로부터 시스템을 보호하기 위해 SSH 연결에 공개키 인증을 사용할 것을 권고했다.

 

Dtrack - Backdoor

11월 중순, 북한의 해커 그룹 "Lazarus"가 새로운 버전의 "Dtrack" 백도어를 사용해 유럽과 남아메리카를 공격하는 정황이 발견됐다. 보안 업체 Kaspersky에 따르면, 해당 악성코드는 정상 프로그램으로 위장해 유포되는 것으로 알려졌다. 실행된 “Dtrack” 악성코드는 피해자 시스템에서 파일 업로드, 다운로드 및 삭제 등의 행위를 수행하며, 키로깅 및 스크린샷 등의 동작에 필요한 추가 악성 모듈을 다운로드해 정보 탈취를 시도한다.

 

XMRminer - Coin Miner

최근, 모니터링 도구로 위장한 암호화폐 채굴 악성코드가 유포되는 정황이 발견됐다. 보안 업체 Cyble에 따르면, 공격자가 MSI 사를 사칭한 피싱 사이트에서 그래픽 카드 모니터링 도구인 MSI Afterburner의 설치 프로그램과 함께 악성코드를 유포한다고 알려졌다. 이 프로그램을 설치할 경우, 내부에 포함된 쉘코드를 통해 해당 악성코드를 다운로드한다. 이때, 보안 제품의 탐지를 우회하기 위해 다운로드한 데이터를 파일로 저장하지 않고 정상 프로세스의 메모리에 인젝션해 실행한다. 이후, 감염된 시스템에서 암호화폐 채굴과 정보 탈취 등의 악성 행위를 수행한다.