2023년 01월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 Top10

2023년 1월(1월 1일 ~ 1월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 9,445건이 탐지되었다.

 

[표 1] 2023년 1월 악성코드 탐지 Top 10

 

악성코드 진단 수 전월 비교

1월에는 악성코드 유형별로 12월과 비교하였을 때 모든 유형의 진단 수가 전체적으로 감소했고, 특히 Worm과 Suspicious의 진단 수가 크게 감소했다.

 

[그림 1] 2023년 1월 악성코드 진단 수 전월 비교

 

주 단위 악성코드 진단 현황

1월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 첫째 주부터 12월에 비해 진단 수가 전체적으로 감소했지만, 넷째 주부터 증가하는 추이를 보이고 있다.

 

[그림 2] 2023년 1월 주 단위 악성코드 진단 현황

 

 

2. 악성코드 동향

2023년 1월(1월 1일 ~ 1월 31일) 한 달간 등장한 악성코드를 조사한 결과, 사전에 탈취한 금융 정보를 악용해 은행 사용자들을 공격하는 “BitRAT”와 유럽의 금융 기관들을 표적으로 하는 “Raspberry Robin” 웜 악성코드가 발견됐다. 또한, 정상 프로그램으로 위장해 사용자 정보를 탈취하는 “Vidar”와 텔레그램 채널을 통해 판매 중인 “Titan” 인포스틸러가 발견됐다. 마지막으로 검색 결과의 첫 페이지에 악성 웹 사이트를 노출시켜 유포되는 “GootKit” 악성코드가 발견됐다.

 

BitRAT - RAT

지난 1월 초, 사전에 탈취한 은행 정보를 미끼로 “BitRAT” 악성코드를 유포하는 피싱 메일이 발견됐다. “BitRAT” 악성코드는 21년부터 해킹 포럼에서 20달러에 판매되어 최근까지도 공격에 사용되고 있다. 보안 업체 Qualys에 따르면, 공격자가 사용자를 속이기 위해 사전에 탈취한 은행 데이터로 피싱 메일을 작성하고 악성 엑셀 파일을 첨부해 유포한 것으로 알려졌다. 이 파일을 실행할 경우, 내부의 매크로를 통해 Github 저장소에서 “BitRAT” 악성코드를 다운 받고 실행한다. 해당 악성코드는 감염된 시스템에서 암호화폐 채굴, 웹캠 녹화 및 마이크 녹음 등의 악성 행위를 수행한다.

 

Raspberry Robin - Worm

유럽의 금융 기관들을 공격하는 “Raspberry Robin” 악성코드의 변종이 발견됐다. 해당 악성코드는 ZIP 또는 MSI 파일 형태로 악성 광고 등을 통해 유포된 것으로 알려졌다. 또한, 이번 변종에는 탐지를 회피하기 위해 Discord 서버로부터 악성코드를 다운로드하거나, 난독화 및 가상환경 탐지 등의 기능이 추가됐다. “Raspberry Robin”은 주로 공격자가 사전 공격 단계에서 네트워크에 침투해 악성코드를 다운로드하는 수단으로 사용한다고 알려져 있다. 이번에 발견된 변종은 피해 시스템의 사용자명과 MAC 주소 등 더 다양한 시스템 정보를 수집해 피해자를 식별하는 것으로 밝혀졌다.

 

Vidar - Stealer

원격 데스크톱 프로그램인 AnyDesk를 사칭해 “Vidar” 인포스틸러를 유포하는 피싱 캠페인이 발견됐다. 보안 연구원에 따르면, 공격자가 AnyDesk를 사칭한 피싱 사이트를 통해 악성코드를 유포하는 것으로 알려졌다. 공격자는 타이포스쿼팅 기법으로 Anyaesk, Anybesk 등의 유사한 도메인을 갖는 웹 페이지를 호스팅했으며, 해당 주소 모두 동일한 피싱 사이트로 연결되는 것으로 밝혀졌다. 이 사이트에 접속해 다운로드 링크를 클릭할 경우, 드롭박스 링크로 사용자를 리디렉션해 AnyDesk 프로그램으로 위장한 “Vidar” 악성코드를 다운로드한다. 해당 악성코드가 설치되면, 피해자 PC에서 브라우저 기록과 비밀번호, 암호화폐 지갑 데이터, 은행 정보 등의 민감한 데이터를 탈취한다.

 

Titan - Stealer

지난 1월 말부터 텔레그램 채널을 통해 “Titan” 인포스틸러가 판매되고 있다. 해당 악성코드는 Go언어로 작성됐으며, 크랙 버전 소프트웨어, 피싱 및 악성 광고 등을 통해 유포되는 것으로 추정되고 있다. 또한, 공격자는 판매자가 제공하는 빌더를 사용해 탈취할 파일 확장자와 대상 도메인 등을 지정한 “Titan” 악성코드를 제작할 수 있다. “Titan”은 실행 이후, 피해자 PC에서 브라우저 세션 쿠키와 암호, 설치된 프로그램 목록 및 스크린샷 등의 정보를 수집하고, 탈취한 암호화폐 지갑의 자격 증명과 함께 공격자 C&C 서버로 전송한다.

 

GootKit - Loader

최근, 난독화 기능이 추가된 “Gootkit” 악성코드의 변종을 사용한 공격이 발견됐다. 공격자는 SEO Poisoning 기법을 사용해 검색 엔진의 상위 검색 결과에 악성 웹 사이트를 노출시키고 사용자의 접속을 유도한다. 해당 사이트에 접속할 경우, 문서 템플릿으로 위장한 악성 ZIP 파일의 다운로드를 유도한다. 이후, 파일을 압축해제 후 실행하면 내부의 “GootKit” 악성코드가 실행된다. 해당 악성코드는 예약 작업을 통해 지속성을 확보하고 추가 악성코드를 다운로드해 실행하는 등의 악성 동작을 수행한다.