2023년 03월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 Top10

2023년 3월(3월 1일 ~ 3월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 232건이 탐지되었다.

 

[표 1] 2023년 3월 악성코드 탐지 Top 10

 

악성코드 진단 수 전월 비교

3월에는 악성코드 유형별로 2월과 비교하였을 때 Trojan, Worm 및 Backdoor의 진단 수가 증가했고, Virus와 Suspicious의 진단 수가 감소했다.

 

[그림 1] 2023년 3월 악성코드 진단 수 전월 비교

 

주 단위 악성코드 진단 현황

3월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 둘째 주까지는 2월에 비해 진단 수가 증가했지만, 셋째 주에는 감소했다가 다시 증가하는 추이를 보이고 있다.

 

[그림 2] 2023년 3월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

2023년 3월(3월 1일 ~ 3월 31일) 한 달간 등장한 악성코드를 조사한 결과, 스팸 메일에 첨부된 문서 파일을 통해 유포되는 “Emotet”과 DDoS 공격을 수행하는 “HinataBot” 봇넷 악성코드가 발견됐다. 또한, 유럽의 은행 사용자를 대상으로 하는 “Xenomorph” 안드로이드 악성코드와 macOS를 대상으로 하는 “MacStealer” 스틸러가 발견됐다. 마지막으로 클라우드 저장소로부터 추가 악성코드를 다운로드하는 “DBatLoader” 악성코드가 발견됐다.

 

Emotet - Botnet

지난 3월 초부터 스팸 메일을 통해 “Emotet” 악성코드를 유포하는 공격이 재개됐다. 해당 악성코드는 3개월 만에 재등장해 지난 한 달간 꾸준히 발견되고 있으며, 주로 스팸 메일에 첨부된 워드나 원노트 파일을 통해 유포된 것으로 알려졌다. 첨부 파일에는 VBScript 또는 JavaScript 등의 악성 스크립트가 포함돼 있어, 실행될 경우 “Emotet” 악성코드를 다운로드해 실행한다. 실행된 “Emotet”은 사용자의 이메일 및 연락처를 탈취하거나 공격자의 C&C 서버로부터 후속 공격을 위한 추가 명령을 기다린다. 또한, 백신 탐지를 회피하기 위해 대용량의 패딩 영역을 추가해 파일 크기를 비정상적으로 키운 형태를 갖는다. 

 

Xenomorph - Android Malware

비트코인과 모바일 뱅킹 앱 사용자를 노리는 “Xenomorph” 악성 앱 변종이 발견됐다. 발견된 변종은 환율 계산기 앱으로 위장한 “Zombinder” 드롭퍼 악성코드를 통해 유포되는 것으로 알려졌다. “Xenomorph” 악성코드는 “Zombinder”가 설치된 이후 앱의 업데이트를 통해 다운로드 되며, 구글에서 제공하는 안드로이드용 보안 서비스 “Play Protect”로 위장했다. 다운로드된 “Xenomorph”는 실행 이후 ATS 모듈을 사용해 인증 앱으로부터 MFA 인증 토큰 및 사용자 인증 코드를 탈취한다. 이후, 탈취한 정보를 사용해 거래 및 자금 이체 등의 악성 행위를 수행할 수 있다.

 

HinataBot - Botnet

지난 3월 중순, Go언어로 작성된 “HinataBot” 봇넷 악성코드의 변종이 발견됐다. 이 악성코드는 “Mirai” 악성코드를 기반으로 제작됐으며, 올해 1월 첫 등장 이후 지속적으로 업데이트되고 있다. 해당 악성코드는 취약한 자격 증명을 사용하는 HTTP, SSH 서버를 대상으로 무차별 대입 공격을 수행하거나 취약점을 악용해 대상 시스템에 침입을 시도한다. 이후, 침입에 성공할 경우 “HinataBot” 악성코드를 다운로드하는 셸 스크립트를 실행해 감염시킨다. 또한, 3월에 발견된 최신 버전의 악성코드는 이전 버전에는 있었던 ICMP 및 TCP 플러딩 기능을 없애고, 실행을 위해 암호를 요구하는 등 일부 기능을 수정했다.

 

MacStealer - Stealer

지난 3월 말, macOS를 대상으로 하는 “MacStealer” 악성코드가 발견됐다. 보안 업체 Uptycs에 따르면, 이 악성코드는 다크웹에서 100달러에 판매됐으며 macOS 전용 실행 파일인 DMG 파일을 통해 유포되는 것으로 알려졌다. 악성 DMG 파일을 실행하면, 사용자에게 시스템 비밀번호를 요구하는 가짜 프롬프트 창을 띄워 비밀번호 탈취를 시도한다. 또한, Firefox와 Google Chrome 등의 웹 브라우저에서 쿠키와 신용 카드 등의 정보를 수집한다. 이후, 텔레그램 봇을 사용해 수집한 데이터와 시스템 정보를 압축 파일 형태로 공격자에게 전송한다.

 

DBatLoader - Loader

최근, 유럽에서 “DBatLoader” 로더를 사용해 악성코드를 유포하는 공격 캠페인이 발견됐다. 이번 캠페인에서 공격자는 주문서, 택배 송장 및 견적서 등으로 위장한 피싱 메일을 발송하고, 첨부된 문서 파일을 통해 해당 악성코드의 다운로드를 유도했다. 이때 공격자는 백신 탐지를 회피하기 위해 PDF, HTML 및 OneNote와 같은 다양한 파일 포맷과 난독화 방법을 사용한다. 다운로드된 “DBatLoader”는 실행 이후 OneDrive나 Google Drive 등의 클라우드 저장소를 악용해 “Remcos RAT” 또는 “Formbook” 등의 악성코드를 다운로드하며, DLL 하이재킹 취약점을 악용해 악성코드를 실행한다.