2024년 06월 악성코드 동향 보고서
1. 악성코드 통계
악성코드 유형별 비율
2024년 6월(6월 1일 ~ 6월 30일) 한 달간 잉카인터넷 대응팀은 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 “Trojan”이 48%로 가장 높은 비중을 차지했고, “Virus”가 11%로 그 뒤를 따랐다.
2. 악성코드 동향
2024년 6월(6월 1일 ~ 6월 30일) 한 달간 등장한 악성코드를 조사한 결과, 피싱 사이트를 이용해 유포된 "AdsExhaust" 애드웨어가 발견됐다. 또한, 해외 안드로이드 사용자를 공격하는 "Aridspy" 악성코드와 중국 기업을 대상으로 하는 "SquidLoader" 악성코드 유포 캠페인이 알려졌다. 이 외에도 리눅스 환경을 공격하는 "TargetCompany" 랜섬웨어 변종과 랜섬웨어를 유포하는 "P2Pinfect" 봇넷 변종의 등장 소식이 전해졌다.
TargetCompany – Ransomware
6월 초, 리눅스의 VMware ESXi 환경을 공격하는 "TargetCompany" 랜섬웨어 변종이 발견됐다. 보안 업체 Trend Micro 측은 시스템 정보를 텍스트 파일에 저장한 후 내용을 공격자의 C&C 서버로 전송하는 동작이 이전에 발견된 윈도우 버전과 유사하다고 설명했다. 하지만 신종 리눅스 변종은 공격자의 서버 두 곳에 데이터를 전송한다는 차이점이 있어 서버에 문제가 생기면 백업을 확보하려는 것으로 보인다고 덧붙였다. 이 외에도 쉘 스크립트를 사용해 랜섬웨어 페이로드를 다운로드, 실행 및 삭제하는 특징이 있다고 언급했다. 또한, 암호화가 완료된 파일에는 ".locked" 확장자를 추가하고 "HOW TO DECRYPT.txt" 이름으로 랜섬노트를 생성한다고 전했다.
Aridspy – Android
6월 중순, 보안 업체 ESET이 이집트와 팔레스타인의 안드로이드 사용자를 공격하는 "Aridspy" 악성코드 분석 보고서를 공개했다. 해당 악성코드는 취업 구인 공고 앱이나 메신저 앱으로 위장해 사용자가 다운로드한 후 실행하도록 유도한다. 실행된 앱은 사용자의 기기에서 백신 앱 설치 여부를 확인한 후 Google Play 업데이트 서비스를 가장한 최종 페이로드를 다운로드한다. 최종 페이로드는 공격자의 명령에 따라 기기의 위치와 연락처 목록 및 키로깅으로 데이터를 수집하고 공격자의 C&C 서버로 전송한다. ESET 측은 "Aridspy"가 계속해서 다른 버전으로 유지 관리 중이라고 언급하면서 새로운 기능을 탑재한 변종에 주의할 것을 당부했다.
SquidLoader – Loader
최근 중국 기업들을 대상으로 "SquidLoader" 악성코드를 유포하는 피싱 캠페인이 발견됐다. 보안 업체 LevelBlue는 공격자가 워드 문서로 위장한 악성코드를 피싱 메일에 첨부해 사용자에게 전송한다고 전했다. 사용자가 첨부 파일을 실행하면 악성코드는 공격자의 C&C 서버에서 다음 단계의 페이로드를 다운로드해 실행한다고 설명했다. 이때 다운로드된 페이로드는 암호화, 제어 흐름 그래프(CFG) 난독화 및 시스템 호출 방식을 이용해 탐지를 회피한다고 덧붙였다. 또한, 디버거와 안티 바이러스 소프트웨어의 설치 여부를 확인하고, 탐지되지 않았을 경우 추가 페이로드를 다운로드한다고 언급했다.
AdsExhaust – Adware
보안 업체 eSentire의 연구팀에서 정상 프로그램으로 위장한 "AdsExhaust" 애드웨어를 발견한 소식을 전했다. 공격자는 VR 관련 프로그램의 설치 페이지로 가장한 피싱 사이트를 이용해 사용자가 악성코드를 설치한 후 실행하도록 유도한다. 해당 악성코드는 특정 링크에 접속해 광고를 실행하고 사용자의 정보를 수집한 후 공격자의 C&C 서버로 전송한다. 또한, 마우스 움직임 등의 특정 행동을 감지하면 실행 중인 광고 페이지를 종료하고 악성코드를 실행하기 전의 스크린샷을 오버레이해 동작을 숨긴다. eSentire 측은 웹에서 파일을 다운로드하기 이전에 다운로드 페이지의 신뢰성을 확인할 필요가 있다고 당부했다.
P2Pinfect – Botnet
보안 업체 Cado Security가 크립토마이너와 랜섬웨어를 실행하는 "P2Pinfect" 봇넷의 변종을 발견했다. 해당 악성코드는 2023년 7월에 처음 발견됐으며, 당시 알려진 취약점을 이용해 Redis 서버를 공격한 것으로 알려졌다. 한편, 새로 발견된 변종은 감염된 기기에서 지정된 링크로 접속해 랜섬웨어 페이로드를 다운로드하고 실행한다고 전해졌다. Cado 측은 랜섬웨어 페이로드가 동작하면 데이터베이스와 문서 파일 등을 암호화한 후 파일명에 확장자를 추가하고 랜섬노트를 생성한다고 설명했다. 또한, "P2Pinfect"가 이전 버전에서는 휴면 상태로 보였던 XMR 채굴이 활성화된 상태이며 현재까지 약 10,000달러를 벌었다고 덧붙였다.