동향 리포트/월간 동향 리포트

2024년 09월 악성코드 동향 보고서

TACHYON & ISARC 2024. 10. 8. 10:02

1. 악성코드 통계

악성코드 유형별 비율

20249(91 ~ 930) 한 달간 잉카인터넷 대응팀은 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 “Trojan”43%로 가장 높은 비중을 차지했고, “Virus”12%로 그 뒤를 따랐다.

 

[그림  1] 2024 년  9 월 악성코드 유형별 비율

 

 

2. 악성코드 동향

2024 9(9 1 ~ 9 30) 한 달간 등장한 악성코드를 조사한 결과, 검색 결과를 스푸핑해 "WailingCrab" 악성코드를 배포한 캠페인이 발견됐다. 또한, 다양한 시스템 유틸리티의 이름을 사칭한 "KTLVdoor" 백도어와 유명인 스캔들 관련 파일로 위장한 "PDiddySploit" 악성코드가 알려졌다. 이 외에도 리눅스 시스템을 공격하는 "Hadooken" 악성코드와 안드로이드 시스템을 공격하는 "Necro" 악성코드가 발견된 소식이 전해졌다.

 

WailingCrab Loader

9월 초, 보안 업체 Palo Alto Networks Unit42에서 검색 결과를 악용해 "WailingCrab" 악성코드 변종을 배포한 캠페인 분석 결과를 발표했다. 공격자가 기존에 피싱 메일을 사용하던 방법에서 사용자의 소프트웨어 검색 결과를 스푸핑하는 SEO Poisoning 방법으로 유포 방식을 바꿨다고 전했다. 해당 방법으로 악성 사이트가 검색 결과 상위에 노출되게 만들어 사용자의 접속을 유도한 후 정상 파일로 위장한 악성 설치 파일을 제공한다고 언급했다. 이때 다운로드된 파일은 "WailingCrab" 악성코드를 설치하며, 이 과정에서 클라우드 기반의 Git 저장소와 정상 소프트웨어 이름을 악용한 악성 사이트가 사용됐다고 덧붙였다. 이 외에도 사용자에게 접근하는 최초 접근 브로커(IAB)를 최소 두 개 이상 사용한 것으로 추정되며, 분석 방지와 엔드포이트 탐지 및 대응 기술을 사용하는 특징이 있다고 설명했다.

 

KTLVdoor Backdoor

다양한 시스템 유틸리티의 이름과 유사한 도구를 사칭해 유포되고 있는 "KTLVdoor" 백도어가 새롭게 발견됐다. 해당 백도어는 동적 링크 라이브러리(.dll)나 공유 객체(.so) 형태에 난독화된 상태로 배포된 사실이 밝혀졌다. 또한, Go 언어로 작성돼 윈도우와 리눅스 시스템 모두를 공격할 수 있다는 특징이 있는 것으로 알려졌다. 이 외에도 50개가 넘는 공격자의 C&C 서버와 암호화된 통신을 하면서 명령 실행과 파일 다운로드 및 원격 포트 스캔 등의 동작을 수행한다고 전해졌다. 이에 대해 보안 업체 Trend Micro 측은 공격자의 C&C 서버 인프라 정보를 바탕으로 중국의 해커 그룹 Earth Lusca와 연관됐을 가능성이 높다고 언급했다.

 

Hadooken Linux

9월 중순, 클라우드 보안 업체 Aqua에서 리눅스 환경을 공격해 암호화폐 채굴을 실시하는 악성코드 캠페인을 발표했다. 공격자는 알려진 보안 취약점과 잘못된 구성을 악용해 취약한 인스턴스에서 임의의 코드를 실행한다고 전했다. 이후에는 공격자의 원격 서버에서 암호화폐 채굴기와 DDoS 봇넷을 내장한 "Hadooken" 악성코드를 다운받는다고 언급했다. "Hadooken" 악성코드는 크론 작업을 생성해 지속적으로 암호화폐 채굴기를 실행하며, 아티팩트를 삭제해 악의적인 활동을 숨기는 등의 방어 회피 기능도 있다고 덧붙였다. 이에 대해 Aqua 측은 해당 캠페인이 특히 Oracle Weblogic 서버를 표적으로 삼고 있으며, 공격 과정에 리눅스 랜섬웨어가 도입될 가능성이 있다고 밝혔다.

 

Necro Android

9월 말, 구글 플레이 스토어에서 "Necro" 악성코드를 정상 앱으로 속여 배포한 캠페인이 발견됐다. 보안 업체 Kaspersky 측은 해당 악성코드가 소프트웨어 개발 키트(SDK)를 이용해 악성코드에 광고 기능을 통합했다고 전했다. 또한, 스테가노그래피 기법을 이용해 이미지 파일에 페이로드를 숨겨두는 특징이 있다고 덧붙였다. 이 외에도 공격자의 C&C 서버에서 추가로 DEX 파일을 다운로드해 실행하고, 사용자의 기기에서 유료 서비스를 구독하는 등의 동작을 수행한다고 언급했다. 이에 대해 사용자의 장치에 신뢰할 수 있는 보안 솔루션을 사용해 악성 소프트웨어를 설치하려는 시도를 방지하라고 권고했다.

 

PDiddySploit RAT

보안 업체 Veriti에서 유명인 스캔들 관련 파일로 위장해 사용자에게 "PDiddySploit" 악성코드를 유포한 정황을 발견했다. 공격자는 주로 SNS에서 유명인 스캔들 관련 게시물과 댓글을 이용해 사용자가 악성코드를 다운로드하고 실행하도록 유도했다. 해당 악성코드는 오픈 소스 기반의 "PySilon RAT"의 변형이며, 원격에서 명령을 실행한다. 이 외에도 키로깅과 화면 녹화 및 민감 정보 탈취 등의 기능이 있다고 알려졌다. 이에 대해 Veriti 측은 삭제된 게시물이나 유명인 스캔들과 관련된 독점 콘텐츠를 포함한다고 주장하는 파일을 다운로드하기 전에 출처를 확인하라고 당부했다.