2023년 11월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 진단 비율

2023년 11월(11월 1일 ~ 11월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 진단명 별로 비교하였을 때 “Renamer”가 72%로 가장 높은 비중을 차지했고, “Agent”와 “Yotoon”이 8%로 그 뒤를 따랐다.

 

[그림 1] 2023년 11월 악성코드 진단 비율

 

악성코드 유형별 진단 비율 전월 비교

11월에는 악성코드 유형별로 10월과 비교하였을 때 “Virus”를 제외한 유형에서 감소하는 추이를 보였다.

 

[그림 2] 2023년 11월 악성코드 유형별 진단 수 비교

 

주 단위 악성코드 진단 현황

11월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 10월에 비해 첫째 주는 진단 수가 증가했지만 둘째 주부터 감소하는 추이를 보였다.

 

[그림 3] 2023년 11월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

2023년 11월(11월 1일 ~ 11월 30일) 한 달간 등장한 악성코드를 조사한 결과, 페이스북 계정을 노리는 "NodeStealer" 악성코드가 발견됐다. 또한, 해외 APT 조직에서 사용한 것으로 추정되는 "BiBi" 악성코드와 "WailingCrab" 악성코드가 알려졌다. 이 외에도 워드 문서를 이용한 "KonniRAT" 악성코드와 도커를 악용한 "OracleIV" 봇넷이 포착됐다.

 

BiBi - Wiper / Linux

11월 초, 이스라엘 기업을 대상으로 "BiBi" 라는 리눅스 기반의 와이퍼 악성코드가 유포된 정황이 발견됐다. "BiBi"는 확장자가 .out 또는 .so인 파일을 공격 대상에서 제외하고 해당하지 않는 파일은 임의의 데이터로 내용을 덮어쓴 후 '[랜덤 문자열].BiBi[랜덤 숫자]'로 파일명을 변경한다. 또한, nohup 명령어로 백그라운드에서 동작하도록 실행해 현재 세션이 종료되더라도 프로세스가 중단되지 않도록 한다. 한편, 외신에서는 악성코드 이름으로 사용한 BiBi가 이스라엘 총리가 사용하는 별명이라고 언급하며, 해당 공격이 이스라엘-하마스 전쟁과 관련된 핵티비스트 단체의 소행이라고 추정하고 있다.

 

NodeStealer – InfoStealer

페이스북 광고를 사용해 "NodeStealer" 악성코드의 최신 버전을 유포하는 캠페인이 발견됐다. 이번 캠페인은 공격자가 페이스북의 비즈니스 계정을 하이재킹해 광고를 제공하고 사용자가 그 광고를 클릭하도록 유도하는 방식으로 악성코드를 유포한다. 사용자가 광고를 클릭해 다운로드한 파일은 최종 페이로드인 "NodeStealer" 악성코드를 드롭하며 사용자 PC에서 웹 브라우저의 쿠키와 세션 및 페이스북 계정 등을 수집해 공격자에게 전송한다. 외신은 공격자가 탈취한 페이스북 계정이 다양한 사기 범죄에 악용될 수 있으니 비밀번호 변경을 권고했다.

 

OracleIV – Botnet

11월 중순, 도커 엔진 API 인스턴스를 사용해 "OracleIV" 봇넷을 유포하는 캠페인이 발견됐다. 보안 업체 CADO는 공격자가 도커 API를 사용해 컨테이너 라이브러리인 도커 허브에서 이미지를 다운로드 후 컨테이너를 생성한다고 전했다. 또한, 이 과정에서 생성한 도커 컨테이너는 Python으로 작성해 Cython으로 컴파일한 ELF 파일을 포함하고 있다고 언급했다. 생성된 ELF 파일을 실행하면 공격자의 C&C 서버에 접속해 악성 쉘 스크립트를 다운로드한 후 DDoS 공격을 수행한다. 한편, CADO는 해당 캠페인에서 암호화폐 채굴 프로그램을 실행하는 명령어를 발견했지만, 실제 동작은 관찰하지 못했다고 덧붙였다.

 

KonniRAT – RAT

러시아어로 작성된 워드 문서를 이용해 "KonniRAT" 악성코드를 유포하는 캠페인이 발견됐다. 보안 업체 Fortinet은 공격자가 워드 문서에 악성 매크로를 추가해 배포하며, 사용자가 문서 내의 매크로를 활성화하면 배치 파일이 실행된다고 언급했다. 실행된 배치 파일은 사용자의 시스템에서 원격 연결 세션과 운영체제 등을 확인한 후, 정상적인 윈도우 업데이트 프로그램을 악용해 사용자 계정 컨트롤(UAC)을 우회하는 모듈을 실행한다. 우회에 성공하면 인터넷 인쇄 공급자 서비스로 위장한 악성 서비스를 시스템에 등록하고 최종적으로 공격자의 C&C 서버와 연결해 시스템 정보 탈취와 명령 수행을 한다. Fortinet 측은 9월에 작성된 악성 문서 파일에서 발견한 C&C 서버가 11월까지 동작 중인 것을 확인했다고 언급하며 의심스러운 문서 파일의 사용은 주의할 것을 권고했다.

 

WailingCrab – Downloader

11월 말, "WailingCrab" 악성코드의 변종이 발견돼 이전 버전과의 차이를 분석한 보고서가 공개됐다. 보안 업체 IBM X-Force는 "WailingCrab" 악성코드는 TA544 조직에서 백도어를 배포할 때 사용한 다운로더라고 소개했다. 또한, 공격자가 이전 버전에서 사용한 MQTT 프로토콜의 주제 지정 방식을 단일 주제에서 개별 주제로 변경해 클라이언트마다 다른 메시지를 전달했다고 언급했다. 여기서 사용한 MQTT 프로토콜은 장비 간의 통신에서 발생하는 여러 메시지를 클라이언트가 지정한 주제로 필터링하는 특징이 있어 동일한 주제를 정하면 같은 메시지를 전달받는다. 이에 대해 X-Force 측은 주제를 이용한 메시지 모니터링이 어려워졌다고 전하며 MQTT 프로토콜이 불필요한 경우 차단할 것을 권고했다.