동향 리포트/월간 동향 리포트

2023년 06월 악성코드 동향 보고서

TACHYON & ISARC 2023. 7. 7. 09:34

1. 악성코드 통계                 

악성코드 Top10                                                 

20236(6 1 ~ 6 30) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [ 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Trojan(트로이 목마) 유형이며 총 216건이 탐지되었다.

 

[표  1] 2023 년  6 월 악성코드 탐지  Top 10

 

악성코드 진단 수 전월 비교

6월에는 악성코드 유형별로 5월과 비교하였을 때 Trojan, Ransom, Worm, Backdoor Suspicious의 진단 수가 증가했다.

 

[그림  1] 2023 년  6 월 악성코드 진단 수 전월 비교

 

주 단위 악성코드 진단 현황

6월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 셋째 주를 기점으로 감소에서 증가로 바뀌는 추이를 보였다.

 

[그림  2] 2023 년  6 월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

2023 6(6 1 ~ 6 30) 한 달간 등장한 악성코드를 조사한 결과, 웹메일 서비스의 자격 증명을 탈취하는 "Horabot" 악성코드와 암호화폐 지갑 정보를 훔치기 위해 "DoubleFinger" 로더 악성코드를 유포하는 캠페인이 발견됐다. 또한, 리비아 외교부 소속 사이트를 사칭해 "StealthSoldier" 악성코드를 유포하는 정황이 포착됐다. 이외에도 디스코드의 백업 코드 탈취 기능이 있는 "Skuld" 악성코드와 공격 범위를 리눅스로 확장한 "Akira" 랜섬웨어가 발견됐다.

 

Horabot - InfoStealer

6월 초, 라틴 아메리카에서 스페인어 사용자를 대상으로 "Horabot" 악성코드를 유포하는 캠페인이 발견됐다. 보안 업체 Cisco Talos는 해당 캠페인이 세금 관련 내용의 피싱 메일을 유포해 첨부 파일을 다운로드 하도록 유도한다고 밝혔다. 또한, "Horabot"을 실행하면 악성 HTML 스크립트를 첨부한 피싱 메일을 Outlook의 데이터 파일에서 수집한 주소로 보낼 수 있다고 언급했다. 이외에도 온라인 뱅킹 프로그램의 토큰을 탈취하거나 Yahoo, Gmail Hotmail 등 웹메일 서비스의 로그인 자격 증명을 탈취하는 악성코드를 사용한다고 덧붙였다.

 

StealthSoldier - Backdoor

북아프리카에 위치한 리비아를 대상으로 "StealthSoldier" 악성코드를 유포하는 정황이 발견됐다. 외신은 공격자가 리비아 외교부 소속 사이트를 사칭해 사용자의 유입을 유도한다고 보도했다. 현재까지 알려진 바에 의하면 해당 웹 사이트에서 다운로드한 파일을 실행하면 먼저 사용자를 속이기 위한 PDF 문서를 띄운다. 그다음, 공격자가 운영하는 C&C 서버에서 파일을 다운로드하고 작업 스케줄러에 등록해 지속성을 확보한다. 마지막으로 최종 페이로드인 "StealthSoldier"를 실행해 키보드로 입력한 기록을 탈취하거나 파일 업로드 또는 스크린샷 촬영 등의 행위를 수행한다. 보안 업체 CheckPoint는 여러 단계에 걸쳐 모듈로 구성한 악성코드를 사용한다는 점을 고려할 때 새로운 버전을 배포할 가능성이 높다고 주의를 요구했다.

 

DoubleFinger - Loader

사용자의 암호화폐 지갑 정보를 훔치기 위해 "DoubleFinger" 로더 악성코드를 유포하는 캠페인이 발견됐다. 보안 업체 Kaspersky는 이번 캠페인이 수신자가 메일의 첨부 파일을 열람함으로써 시작한다고 발표했다. 공격자는 해당 파일에 악의적인 셸코드를 추가한 후 사용자가 실행하도록 유도해 "DoubleFinger"를 유포한다. 이 과정에서 이미지 공유 플랫폼인 Imgur에 연결한 후 사전에 공격자가 등록한 PNG 파일을 다운로드한다. 이미지 파일은 스테가노그래피 기법을 사용해 암호화한 "GreetingGhoul" 악성코드의 바이너리 데이터와 로더 및 정상 파일을 숨기고 있다. 이후, "DoubleFinger'는 최종 페이로드인 "GreetingGhoul"를 사용자 PC에 설치해 피해자가 소유한 암호화폐 지갑의 크리덴셜을 탈취한다.

 

Skuld - InfoStealer

6월 중순 경 유럽, 동남아시아 및 미국 전역에서 윈도우 환경을 대상으로 데이터를 탈취하는 "Skuld" 악성코드가 발견됐다. "Skuld"는 가상 환경에서 실행 중인지 여부를 확인하고 정보 수집에 방해가 되는 프로세스를 종료한다. 이후 크로미움(Chromium)과 게코(Gecko) 기반의 브라우저 정보와 피해자 PC의 시스템 정보 및 시스템 파일을 수집한다. 또한, 소셜 플랫폼 디스코드의 보안 기능을 우회한 후 2단계 인증 코드를 분실했을 때 사용하는 백업 코드를 탈취한다. 보안 업체 Trellix 측은 이외에도 다양한 기능이 있지만 아직 개발 중인 것으로 파악되는 모듈도 있다고 전했다.

 

Akira - Ransomware / Linux

최근 "Akira" 랜섬웨어의 변종이 발견됐다. 보안 업체 Cyble "Akira" 측이 윈도우에서 리눅스로 공격 범위를 확장하며 VMware ESXi 가상 머신을 주요 공격 대상으로 삼았다고 알렸다. 해당 랜섬웨어는 실행 과정에서 인자 값을 사용해 암호화할 대상의 경로를 지정하거나 암호화 비율 등을 설정할 수 있다. 최종적으로 암호화를 완료한 파일에 ".akira" 확장자를 추가하고 "akira_readme.txt"라는 이름의 랜섬노트를 생성해 피해자에게 랜섬머니를 요구한다.