2023년 04월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 Top10

2023년 4월(4월 1일 ~ 4월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Trojan(트로이 목마) 유형이며 총 847건이 탐지되었다.

 

[표 1] 2023년 4월 악성코드 탐지 Top 10

 

악성코드 진단 수 전월 비교

4월에는 악성코드 유형별로 3월과 비교하였을 때 Trojan, Suspicious 및 Backdoor의 진단 수가 증가했고, Virus와 Worm의 진단 수가 감소했다.

 

[그림 1] 2023년 4월 악성코드 진단 수 전월 비교

 

주 단위 악성코드 진단 현황

4월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 둘째 주까지는 3월에 비해 진단 수가 증가했지만, 셋째 주에는 감소했다가 다시 크게 증가하는 추이를 보이고 있다.

 

[그림 2] 2023년 4월 주 단위 악성코드 진단 현황

 

 

2. 악성코드 동향

2023년 4월(4월 1일 ~ 4월 30일) 한 달간 등장한 악성코드를 조사한 결과, 취약점을 악용해 유포되는 “Moobot” 봇넷 악성코드가 발견됐다. 또한, 정상 프로그램으로 위장해 암호화폐 지갑 등의 중요 정보를 탈취하는 “Opcjacker”와 “Rilide” 스틸러가 발견됐다. 마지막으로 유튜브 동영상을 통해 악성코드를 유포하는 “Invalid Printer” 로더가 발견됐다.

 

Moobot - Botnet

지난 4월 초, “Mirai” 봇넷의 변종인 “Moobot” 봇넷이 취약점을 악용해 유포되는 정황이 포착됐다. 보안 업체 Fortinet에 따르면, 공격자가 Cacti 및 Realtek 사의 제품에서 발생하는 원격 코드 실행 취약점을 악용해 서버에 침투하고, 악성 스크립트를 실행해 악성코드를 다운로드하는 것으로 알려졌다. 이후, 실행된 “Moobot”은 공격자의 C&C 서버와 통신해 피해자 PC를 DDoS 봇으로 제어하고, 해당 PC를 공격에 사용한 것으로 밝혀졌다. Fortinet의 연구원은 “Moobot”이 다른 봇넷 프로세스를 종료하고 무차별 대입 공격을 수행할 수 있다는 점을 언급하며 암호를 주기적으로 변경할 것을 권고했다.

 

Opcjacker - Stealer

지난 4월, VPN 프로그램으로 위장해 “Opcjacker” 악성코드를 유포하는 새로운 멀버타이징 캠페인이 발견됐다. 공격자는 직접 제작한 가짜 웹 사이트에서 해당 악성코드가 포함된 VPN 설치 프로그램을 배포해 사용자들의 다운로드를 유도했다. 해당 악성코드에는 스크린샷, 키로깅 및 클립보드 주소 교체 등의 기능이 있어 사용자 PC를 통해 암호화폐 지갑을 탈취할 수 있다. 또한, 실행된 “Opcjacker”는 hVNC, NetSupport RAT와 같은 모듈을 로드해 원격 액세스를 제공하는 등 추가 악성 행위를 수행할 수 있다.

 

Rilide - Stealer

Google Drive 확장 프로그램으로 위장해 유포되는 “Rilide” 악성코드가 발견됐다. 보안 업체 Trustwave에 따르면, 해당 악성코드는 크로미움(Chromium) 기반 브라우저를 대상으로 Google Drive 확장 프로그램으로 위장해 유포되는 것으로 알려졌다. 공격자는 Discord CDN 또는 PUB 파일을 사용해 “Rilide” 악성코드를 설치하는 로더를 다운로드하고 실행한다. Rust로 작성된 악성 로더는 실행 이후 “Rilide”를 드롭하고, 크로미움 기반의 브라우저가 발견되면 브라우저를 여는 LNK 파일을 변조해 드롭된 악성코드를 실행한다. 최종적으로 실행된 악성코드는 피해자 PC에서 검색 기록을 모니터링하고 스크린샷, 악성 스크립트 실행 및 암호화폐 탈취 등의 악성 행위를 수행한다.

 

Remcos – RAT

지난 4월 중순, 회계 법인 및 세무 대리인을 대상으로 “Remcos” 악성코드를 유포하는 피싱 캠페인이 발견됐다. 이번 캠페인에서는 공격자가 미국의 세금 신고 기간 동안 세금 환급과 관련한 내용의 피싱 메일을 발송한 것으로 알려졌다. 피싱 메일에는 악성 ZIP 파일을 다운로드하는 링크가 포함돼 있으며, 압축 파일 내부에는 PDF 파일로 위장한 바로가기 파일들이 포함돼 있다. 이후, 사용자가 바로가기 파일을 실행하면 Powershell 스크립트와 악성 VBS 파일 및 “GuLoader” 악성코드가 연쇄적으로 다운로드 및 실행돼 최종적으로는 “Remcos” 악성코드가 설치된다. 최종적으로 실행된 “Remcos” 악성코드는 데이터를 탈취하고 추가 악성코드를 배포하거나 악성코드가 실행된 시스템을 원격으로 제어할 수 있다.

 

Invalid Printer - Loader

최근, 유튜브 동영상을 통해 “Aurora” 스틸러를 유포하는 “Invalid Printer” 로더가 발견됐다. 보안 업체 Morphisec에 따르면, 공격자가 유튜브 계정을 탈취하고 악성 링크가 포함된 유튜브 동영상을 게시해 해당 악성코드를 유포한 것으로 알려졌다. 동영상에 포함된 링크는 정상 사이트로 위장한 피싱 사이트 링크로, 사용자에게 개인 정보 입력을 유도하거나 악성코드가 포함된 프로그램을 다운로드하도록 유도한다. 다운로드된 “Invalid Printer”는 실행 이후 공격자 C&C 서버와 통신해 “Aurora” 스틸러를 다운로드하고 실행한다. 또한, 발견된 로더는 그래픽 카드의 벤더 ID를 활용해 샌드박스 환경에서의 실행을 회피하며, 현재 국내외 백신 솔루션에서 매우 낮은 탐지율을 보이고 있다.