2024년 07월 악성코드 동향 보고서
1. 악성코드 통계
악성코드 유형별 비율
2024년 7월(7월 1일 ~ 7월 31일) 한 달간 잉카인터넷 대응팀은 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 “Trojan”이 50%로 가장 높은 비중을 차지했고, “Virus”가 14%로 그 뒤를 따랐다.
2. 악성코드 동향
2024년 7월(7월 1일 ~ 7월 31일) 한 달간 등장한 악성코드를 조사한 결과, 국내 안드로이드 사용자의 금융 정보를 노리는 "Anatsa" 악성 앱이 발견됐다. 또한, Microsoft의 SmartScreen 보안 기능을 우회하는 "FakeBat" 로더와 "ACR Stealer" 악성코드가 알려졌다. 이 외에도 메일에 첨부한 파일 속 링크를 악용한 "Poco RAT" 악성코드와 광고 차단 프로그램으로 위장한 "HotPage" 애드웨어의 소식이 전해졌다.
FakeBat – Loader
7월 초, 보안 업체 Sekoia에서 드라이브 바이 다운로드(drive-by download) 기법으로 유포되는 "FakeBat" 로더를 발견한 소식을 전했다. 공격자는 사용자가 손상된 웹 사이트나 악성 광고 사이트 등을 클릭하도록 유도하는 방식으로 해당 악성코드를 유포한다. 이때 설치된 파일은 MSI나 MSIX 형식이며, 특히 MSIX 형식의 파일은 인증서 서명을 추가해 Microsoft의 SmartScreen 보안 기능을 우회한다는 특징이 있다. 설치된 파일을 실행할 경우에는 공격자의 C&C 서버와 통신하면서 "IcedID", "Lumma" 및 "SectopRAT" 등의 추가 악성 페이로드를 다운로드하고 실행한다. 이에 대해 Sekoia는 현재까지 확인된 C&C 서버 주소를 모두 공개했으며, 지속적으로 등장하는 변종을 주의해야 한다고 당부했다.
Anatsa – Android
국내 금융보안원에서 안드로이드 기기의 금융 정보를 탈취하는 "Anatsa" 악성 앱이 국내로 공격 범위를 확장했다는 정황을 전했다. 공격자는 구글 플레이 스토어에 PDF 리더와 QR코드 스캐너 등의 정상 서비스로 위장한 앱을 등록해 사용자의 다운로드를 유도한다. 사용자가 앱을 설치하면, 업데이트를 가장해 "Anatsa" 악성 앱을 다운로드하고 공격자의 C&C 서버와 연결한다. 이후 서버에서 명령을 전달 받은 앱은 기기를 제어하고 정보를 탈취하는 등의 공격을 수행한다. 이에 대해 금융보안원은 운영체제와 모바일 백신의 최신 버전을 사용하고 주기적으로 검사할 것을 권고했다.
Poco RAT – RAT
7월 중순, 광업과 제조 및 호텔 등의 공익 산업 분야를 대상으로 "Poco RAT" 악성코드를 배포하는 피싱 이메일 캠페인이 발견됐다. 보안 업체 Cofense 측은 공격자가 사용자에게 금융 관련 내용을 포함한 피싱 메일을 송부한다고 전했다. 이때, 메일에 첨부된 PDF와 HTML 파일에 포함된 Google Drive 링크를 클릭하면 악성코드 실행 파일이 다운로드된다고 언급했다. 이후에 사용자가 파일을 실행하면 악성코드가 공격자의 C&C 서버와 연결해 추가 페이로드를 다운로드 받는다고 덧붙였다. Cofense 측은 메일의 첨부 파일에 내장된 링크를 이용해 악성 파일을 유포하기에 보안 이메일 게이트웨이(SEG)를 우회하는 특징이 있다고 설명했다.
HotPage – Adware
보안 업체 ESET에서 광고 차단 프로그램으로 위장한 "HotPage" 애드웨어의 분석 보고서를 공개했다. "HotPage"의 유포 경로는 확실치 않지만, 광고와 악성 웹사이트를 차단하는 인터넷 카페 보안 솔루션으로 광고됐다고 전했다. 또한, 주요 기능은 시스템에서 요청한 페이지의 내용을 수정하거나 다른 페이지로 리디렉션해 게임 관련 광고를 띄우는 것이라고 설명했다. 이 외에도 시스템의 정보를 수집해 공격자의 원격 서버로 전송하거나 시스템 권한을 획득해 임의의 코드를 실행하기도 한다고 덧붙였다. 한편, ESET 측은 공격자가 서명된 드라이버를 사용한다는 점이 확장 검증 인증서의 남용 문제를 상기시킨다고 언급했다.
ACR Stealer – InfoStealer
7월 말, 보안 업체 Fortinet에서 인포스틸러 악성코드인 "ACR Stealer"를 유포하는 캠페인을 발견했다. 캠페인 유포 과정에서 CVE-2024-21412로 번호가 매겨진 Microsoft Windows SmartScreen 보안 우회 취약점이 이용됐다고 설명했다. 또한, 공격자가 합법적인 웹 서비스로 알려진 Steam 커뮤니티 웹 사이트에 숨겨둔 C&C 서버의 정보를 발견했다고 전했다. "ACR Stealer"는 해당 서버 정보를 이용해 공격자의 C&C 서버와 연결을 유지하면서 브라우저와 암호화폐 지갑 등에서 탈취한 정보를 전송한 것으로 알려졌다. 이에 대해 Fortinet 측은 검증되지 않은 출처에서 파일을 다운로드하고 실행하는 것에 대한 위험성을 주의했다.