동향 리포트/월간 동향 리포트

2023년 12월 악성코드 동향 보고서

TACHYON & ISARC 2024. 1. 5. 15:36

1. 악성코드 통계

악성코드 진단 비율                                             

202312(121 ~ 12 31) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 진단명 별로 비교하였을 때 Renamer66%로 가장 높은 비중을 차지했고, AgentPadodor"가 각각 8% 7%로 그 뒤를 따랐다.

 

[그림 1] 2023년 12월 악성코드 진단 비율

 

악성코드 유형별 진단 비율 전월 비교

12월에는 악성코드 유형별로 11월과 비교하였을 때 Worm을 제외한 유형에서 증가하는 추이를 보였다.

 

[그림 2] 2023년 12월 악성코드 유형별 진단 수 비교

 

주 단위 악성코드 진단 현황

12월 한 달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 11월에 비해 둘째 주는 진단 수가 감소했지만 셋째 주부터 다시 증가하는 추이를 보였다.

 

[그림 3] 2023년 12월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

2023 12(12 1 ~ 12 31) 한 달간 등장한 악성코드를 조사한 결과, 디버거 회피와 포렌식 방지 기능이 추가된 "P2PInfect" 봇넷의 변종이 발견됐다. 또한, 시스템의 정보를 탈취하는 "MrAnon Stealer" 악성코드와 "JaskaGo" 악성코드가 알려졌다. 이 외에도 Android 사용자를 공격하는 "Chameleon" 악성 앱과 국제 수사 기관에 의해 "BlackCat" 랜섬웨어의 사이트가 압수된 정황이 포착됐다.

 

P2PInfect - Botnet / Linux

12월 초, 디버거 감지와 포렌식 방지 기능이 추가된 "P2PInfect" 봇넷 변종이 발견됐다. 새로 발견된 변종은 자신의 하위 프로세스에 할당된 TracerPID의 값을 이용해 디버거가 분석 중인지 감지하고 프로세스를 종료한다. 또한, 프로세스가 예기치 않게 종료되면 커널이 자동으로 생성하는 Linux 코어 덤프를 비활성화해 메모리에 악성코드의 정보가 남지 않도록 한다. 해당 변종은 공격자가 기존에 사용하던 SSH 외에도 비관계형 데이터베이스 관리 시스템인 Redis를 이용해 유포하는 정황이 알려졌다. 보안 업체 Cado Security "P2PInfect" 봇넷의 개발자가 악성코드 분석 방지를 위해 지속해서 업데이트하는 중이라고 언급했다.

 

MrAnon Stealer - InfoStealer

이메일의 첨부 파일을 이용해 "MrAnon Stealer" 악성코드가 유포되는 정황이 발견됐다. 공격자는 호텔 객실을 예약하려는 업체로 위장해 허위 예약 정보를 담은 PDF 파일을 메일로 전달한다. 메일 수신자가 PDF 파일을 실행하면 내재한 다운로드 링크를 이용해 최종 페이로드인 "MrAnon Stealer"가 설치된다. 해당 악성코드는 시스템에서 자격 증명과 시스템 정보 및 암호화폐 지갑 등의 데이터를 수집해 압축 파일을 생성한다. 이후, 파일 공유 웹사이트에 압축 파일을 업로드하고 공격자의 텔레그램 채널로 파일 다운로드 링크를 전송한다. 이에 대해 보안 업체 Fortinet은 피싱 메일과 출처가 불분명한 PDF 파일에 대한 주의를 권고했다.

 

JaskaGO - InfoStealer

12월 중순, Windows macOS 시스템을 대상으로 하는 Go 언어 기반의 스틸러 악성코드 "JaskaGO"가 발견됐다. "JaskaGO"는 정상 프로그램과 유사한 이름을 사용해 사용자의 다운로드 및 실행을 유도한다. 처음으로 악성코드가 실행되면 가상 환경 탐지, C&C 서버 연결 및 정보 탈취 등의 악성 동작을 수행한다. 이때 Windows 시스템에서는 서비스나 터미널 프로필을 생성하고, macOS에서는 데몬을 만들어 지속성을 획득한다. 한편, 보안 업체 AT&T Alien Labs "JaskaGO"가 자동 분석을 회피하는 등의 특징이 있어 주의가 필요하다고 언급했다.

 

BlackCat - Ransomware

미국의 법무부에서 "BlackCat" 랜섬웨어 조직이 운영하는 다크웹 사이트를 압수했다는 사실을 발표했다. 법무부는 미국과 덴마크 및 독일 등 여러 국가가 합동 수사를 진행해 FBI에서 조사 목적으로 "BlackCat" 측이 운영하던 웹사이트를 압수했다고 전했다. 이번 수사 과정에서 FBI 측은 조직이 웹사이트를 운영하는 데 사용한 946개의 공개키와 개인키 쌍을 수집했다고 밝혔다. 또한, 이를 이용해 500명 이상의 피해자가 시스템을 복구할 수 있는 암호 해독 도구를 개발해 약 6,800만 달러의 피해를 막았다고 언급했다. 현재, "BlackCat" 측이 운영하던 데이터 유출 사이트에 접속하면 국제 법 집행 조치의 일환으로 압수됐다는 문구와 함께 집행 기관의 로고를 보여준다.

 

Chameleon - Android

네덜란드의 보안 업체인 ThreatFabric이 최근 영국과 이탈리아 등을 대상으로 유포되는 "Chameleon" 악성 앱을 발견했다고 언급했다. "Chameleon"는 호주 국세청 및 암호화폐 거래소 등 실제 기관을 사칭해 신뢰성을 얻은 후 피싱 페이지를 통해 전파된다. 구글 크롬 앱으로 위장한 해당 악성 앱을 실행하면, 우선 안드로이드 버전이 13인지 확인 후 접근성 서비스를 활성화하도록 유도한다. 또한, 안드로이드 API로 잠금 화면 인증 메커니즘을 PIN으로 강제 변경해 생체 인증 과정을 우회한다. ThreatFabric은 해당 악성 앱으로 접근성 서비스를 사용해 장치 탈취를 실행하는 동시에 공격 대상 지역을 확장할 수 있다고 우려했다.