2024년 01월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 진단 비율

2024년 1월(1월 1일 ~ 1월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 진단명 별로 비교하였을 때 “Renamer”가 64%로 가장 높은 비중을 차지했고, “Glupteba”가 31%로 그 뒤를 따랐다.

 

* 해당 통계는 진단 수를 바탕으로 집계되었기 때문에, 실제 감염된 PC의 수량과는 차이가 있음.  

[그림 1] 2024년 1월 악성코드 진단 비율

 

악성코드 유형별 진단 비율 전월 비교

1월에는 악성코드 유형별로 12월과 비교하였을 때 모든 유형에서 증가하는 추이를 보였다.

 

[그림 2] 2024년 1월 악성코드 유형별 진단 수 비교

 

주 단위 악성코드 진단 현황

1월 한 달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 12월에 비해 셋째 주는 진단 수가 감소했지만 넷째 주에 다시 증가하는 추이를 보였다.

 

[그림 3] 2024년 1월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

2024년 1월(1월 1일 ~ 1월 31일) 한 달간 등장한 악성코드를 조사한 결과, 무료 랜섬웨어 복호화 도구인 "White Phoenix"의 온라인 버전이 공개됐다. 또한, 크랙 소프트웨어를 이용해 유포하는 "LummaC2" 악성코드와 "NS-Stealer" 악성코드가 발견됐다. 이 외에도 암호화폐 채굴 캠페인이 유포한 "NoaBot" 악성코드와 멕시코의 대기업을 공격한 "AllaKoreRAT" 악성코드 변종이 포착됐다.

 

LummaC2 – InfoStealer

1월 초, 최근 크랙 소프트웨어와 관련된 유튜브 동영상을 이용해 "LummaC2" 악성코드의 다운로드를 유도하는 캠페인이 발견됐다. 공격자는 유튜버의 계정을 탈취한 후 ZIP 파일을 다운로드할 수 있는 악성 링크와 함께 미끼 동영상을 업로드한다. 이때 ZIP 파일이 포함한 LNK 파일은 파워쉘과 GitHub 플랫폼을 이용해 "LummaC2" 악성코드를 실행한다. 해당 악성코드는 사용자 자격 증명, 브라우저 데이터 및 확장 프로그램을 포함한 민감 정보를 탈취한 후 공격자의 C&C 서버로 데이터를 전송한다. 보안 업체 Fortinet은 불분명한 소스가 아닌 안전하고 합법적인 출처에서 소프트웨어를 다운로드 할 것을 당부했다.

 

NoaBot – Botnet

1월 중순, 최근 보안 업체 Akamai의 연구원이 2023년 초부터 활동해 온 암호화폐 채굴 캠페인을 발견했다. 해당 캠페인은 2016년에 소스 코드가 유출된 Mirai 봇넷을 기반으로 한 새로운 "NoaBot" 악성코드를 SSH 프로토콜로 유포한다. "NoaBot"은 자체 확산, 추가 페이로드 다운로드 및 SSH 키 백도어를 포함하고 있다. 또한 사전 공격을 이용해 취약한 서버에 침입한 후, 암호화폐 채굴기를 다운로드 및 실행한다. Akamai 연구원은 "NoaBot"이 난독화와 사용자 지정 코드를 사용해 공격자의 정보가 노출되는 것을 방지하고 있다고 언급했다.

 

NS-Stealer – InfoStealer

디스코드 봇을 이용해 탈취한 데이터를 유출하는 "NS-Stealer" 악성코드가 발견됐다. 공격자는 Java를 기반으로 한 "NS-Stealer" 악성코드를 유포할 때 크랙 소프트웨어로 위장한 ZIP 파일을 이용한 것으로 알려졌다. 악성코드는 화면을 캡처하고 브라우저에 저장된 쿠키와 자격 증명 및 시스템 정보를 수집해 압축한다. 이후 디스코드 봇을 이용해 공격자의 채널에 압축한 파일을 업로드하면서 유출한다. 한편, 보안 업체 Trellix 측은 디스코드 봇을 이용하는 이러한 방식은 탈취한 데이터를 유포할 때 자주 사용되는 방식이라고 언급했다.

 

AllaKoreRAT – RAT

금전적 이득을 위해 멕시코의 대기업을 공격하는 "AllaKoreRAT" 악성코드의 변종이 발견됐다. 보안 업체 BlackBerry는 "AllaKoreRAT"이 키로그와 화면 캡처 및 원격 제어 등으로 금융 데이터를 탈취한다고 소개했다. 공격자는 IMSS(Mexican Social Security Institute) 지불 시스템과 소프트웨어 업데이트 파일 등 합법적인 자원을 이용해 악성코드를 유포했다. 특히 이번에 발견된 샘플에서는 멕시코 금융 기관을 표적으로 하는 명령어와 함께 IP 위치 서비스로 사용자의 지리적 위치를 확인하는 동작이 확인됐다. 또한, 파일을 다운로드하고 실행하는 로더의 기능이 추가돼 악성 바이너리에 하드 코딩되지 않은 구성 요소도 설치하는 것으로 알려졌다. BlackBerry 측은 공격자가 해당 악성코드를 사용해 2년이 넘는 기간 동안 공격하고 있으며 현재는 멈출 기미가 보이지 않는다고 언급했다.

 

White Phoenix – Ransomware

1월 말, 무료 랜섬웨어 복호화 프로그램인 "White Phoenix"의 온라인 버전이 공개됐다. 보안 업체 CyberArk는 "White Phoenix"가 간헐적으로 암호화된 파일의 구문을 분석해 복구한다고 소개했다. 이때 복구할 수 있는 파일의 종류로는 PDF, Word 문서 및 ZIP 파일을 포함한 5가지 유형으로 알려졌다. 또한, 현재까지 BlackCat과 Play 등 6개의 랜섬웨어가 암호화한 파일을 복호화했다고 전해졌다. 한편, CyberArk 측은 온라인 버전에서 복구할 수 있는 파일의 크기가 10MB로 제한돼 용량이 큰 파일은 GitHub 플랫폼에서 공유 중인 오프라인 버전의 사용을 권장했다.