2024년 10월 악성코드 동향 보고서
1. 악성코드 통계
악성코드 유형별 비율
2024년 10월(10월 1일 ~ 10월 31일) 한 달간 잉카인터넷 대응팀은 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 “Trojan”이 42%로 가장 높은 비중을 차지했고, “Virus”가 16%로 그 뒤를 따랐다.
2. 악성코드 동향
2024년 10월(10월 1일 ~ 10월 31일) 한 달간 등장한 악성코드를 조사한 결과, 최소 3년 동안 리눅스 서버를 공격한 "perfctl" 악성코드가 발견됐다. 또한, "Dark Angels" 랜섬웨어 변종과 "TrickMo" 안드로이드 악성코드의 분석 정보가 공개됐다. 이 외에도 "GHOSTPULSE" 로더의 변종이 발견됐으며, "Quad7" 봇넷에 대한 경고 소식이 전해졌다.
perfctl – Linux
10월 초, 최소 3년 동안 리눅스 서버를 공격한 "perfctl" 악성코드가 발견됐다. 공격자는 보안이 취약한 리눅스 서버에 침투해 원격 명령 실행 취약점과 권한 상승 취약점을 공격에 악용했다. 이 외에도 Unix 소켓을 사용해 내부 통신을 하고 외부로는 TOR를 사용해 공격자의 C&C 서버와 암호화된 통신을 했다. 이에 대해 보안 업체 Aqua 측은 "perfctl" 악성코드의 주요 목적이 암호화폐를 채굴하는 크립토마이닝이라고 전했다. 또한, 최근 몇 년 동안 수천 대의 리눅스 서버가 감염됐을 가능성이 있다고 언급했다.
Dark Angels – Rnasomware
보안 업체 Zscaler에서 2022년에 최초로 발견된 "Dark Angel" 랜섬웨어의 분석 정보를 공개했다. "Dark Angel"은 초기에 텔레그램을 이용해 탈취한 데이터를 공개했으며, 현재는 자체 데이터 유출 사이트를 만들어 게시하고 있다고 설명했다. 또한, Windows 시스템을 암호화할 때 "Babuk" 랜섬웨어와 "RTM Locker" 랜섬웨어 변형을 사용하는 점이 발견됐다고 전했다. 반면, Linux/ESXi 시스템의 파일을 암호화하는 과정에서는 "RagnarLocker" 랜섬웨어의 변형을 사용한다고 덧붙였다. 이 외에도 "Dark Angel"은 파일 암호화가 피해 업체에 미칠 영향을 고려해 랜섬웨어 배포 여부를 선택한다고 언급했다. 만약 랜섬웨어를 배포하지 않을 때에는 데이터를 탈취해 이를 공개한다는 빌미로 피해 업체에 랜섬머니를 요구한다고 이야기했다.
TrickMo – Android
10월 중순, 보안 업체 Zimperium에서 "TrickMo" 안드로이드 악성코드의 변종에 대한 심층 분석 결과를 공개했다. "TrickMo" 악성코드는 화면 녹화와 자동 권한 부여 및 메시지 자동 클릭 등으로 은행 계좌와 금융 거래에 무단으로 접속할 수 있다고 설명했다. 또한, 공격자가 외부 웹사이트에 안드로이드 잠금 화면을 모방한 HTML 페이지를 만들고, 사용자의 장치에서 전체 화면 모드로 해당 페이지를 실행해 정상 잠금 화면으로 속인다고 전했다. 만약 사용자가 패턴 또는 PIN 정보를 입력하면, 그 정보와 함께 고유 기기 식별자(Android ID)를 공격자의 C&C 서버로 전송한다고 덧붙였다. 이에 대해 Zimperium 측은 공격자의 C&C 서버에서 피해자로 추정되는 IP 주소 파일을 확인했으며, 은행 정보 외에도 VPN과 웹 사이트 자격 증명 등도 함께 발견했다고 언급했다.
GHOSTPULSE – Loader
보안 업체 Elastic Security Labs에서 PNG 파일 형태로 유포되는 "GHOSTPULSE" 로더의 변종을 발견했다. 공격자는 CAPTCHA 페이지와 인증 안내 메시지를 이용해 사용자가 악성 파일을 다운로드하는 악성 스크립트를 복사하고 실행하도록 유도한다. 이때, 기존 악성코드는 EXE와 DLL 및 PNG 파일이 압축된 형식이며, PNG 파일 내에 암호화된 데이터를 추출해 복호화한다. 반면, 이번에 발견된 변종에서는 PNG 형식의 데이터를 포함한 실행 파일 형식이며, 파일 내의 RGB 값을 추출한 뒤 XOR 연산으로 복호화한다는 차이가 있다. 이에 대해 Elastic Security Labs 측은 "GHOSTPULSE"가 2023년에 처음 등장한 이후로 최근까지도 업데이트되고 있어 지속해서 대응책이 필요하다고 전했다.
Quad7 – Botnet
10월 말, Microsoft는 손상된 SOHO 라우터를 사용해 암호 스프레이 공격으로 자격 증명을 수집하는 "Quad7" 봇넷에 대해 경고했다. 공격자는 손상된 라우터에서 접근 권한을 획득한 후, Telnet을 이용해 "xlogin"이라고도 불리는 "Quad7" 봇넷을 다운로드한다. 이때, 봇넷은 TCP 포트를 사용해 제어 명령 쉘을 실행하고, RAT 및 프록시 도구를 이용한 외부 명령 실행을 준비한다. 이후에는 자격 증명을 탈취하고, 이를 이용해 네트워크에서 데이터를 탈취한다. Microsoft 측은 여러 중국 위협 행위자가 "Quad7"를 이용해 수집된 자격 증명을 사용한 정황도 발견했다고 전했다.