2024년 04월 악성코드 동향 보고서
1. 악성코드 통계
악성코드 유형별 비율
2024년 4월(4월 1일 ~ 4월 30일) 한 달간 잉카인터넷 대응팀은 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 “Trojan”이 43%로 가장 높은 비중을 차지했고, “Worm”과 “Virus”가 각각 11%와 10%로 그 뒤를 따랐다.
2. 악성코드 동향
2024년 4월(4월 1일 ~ 4월 30일) 한 달간 등장한 악성코드를 조사한 결과, 금융 기관을 표적으로 하는 "JsOutProx" 악성코드가 발견됐다. 또한, 피싱 이메일을 이용해 유포되는 "Latrodectus"와 "SSLoad" 악성코드가 알려졌다. 이 외에도 국내 안드로이드 사용자를 공격하는 "SoumniBot" 악성코드와 새로운 이름으로 등장한 "HelloGookie" 랜섬웨어의 소식이 전해졌다.
JsOutProx - RAT
4월 초, 금융 기관을 표적으로 삼는 "JsOutProx" 악성 코드의 새로운 버전이 발견됐다. 보안 업체 Resecurity는 공격자가 합법적인 기관을 사칭하는 이메일을 통해 사용자에게 가짜 결제 알림을 보낸다고 전했다. 사용자가 이메일의 첨부 파일을 실행하면 GitLab 저장소에서 "JsOutProx" 페이로드가 다운로드된다. 이후 공격자는 사용자의 민감 데이터에 접근하고 추가 페이로드를 다운로드하는 등의 공격을 수행한다. 분석가들은 해당 캠페인의 정교함과 지리적 위치 등을 기반으로 중국 또는 중국 관련 공격자가 배후에 있을 것이라고 추정했다.
Latrodectus - Downloader
보안 업체 Proofpoint는 최근 피싱 이메일을 이용한 캠페인에서 "Latrodectus" 다운로더의 사용이 증가하고 있다고 전했다. 해커 그룹은 정상적인 기업으로 위장해 사용자에게 저작권 침해와 관련된 내용의 악성 링크에 접속하도록 유도한다. 이후 다운로드 된 악성코드는 샌드박스 보안 탐지 회피 기술과 RC4 암호화를 이용해 C&C 서버와 통신한다는 특징이 있다. 외신은 악성코드가 전달하는 구체적인 페이로드는 아직 알려지지 않았지만, 다운로더 기능을 통해 공격 도구들을 배포할 수 있다고 언급했다.
SoumniBot - Android
4월 중순, 국내 안드로이드 사용자를 대상으로 공격하는 "SoumniBot" 트로이 목마가 발견됐다. 보안 업체 Kaspersky의 연구원은 해당 악성코드가 국내 정부와 온라인 증권 거래소에서 사용하는 디지털 서명 인증서를 탈취한다고 전했다. 이를 악용하면 공격자는 사용자의 온라인 뱅킹 서비스에 로그인하거나 거내 내역을 확인할 수 있다고 덧붙였다. 또한, "SoumniBot"은 연락처 추가와 삭제, 안드로이드 디버그 모드 활성화 등의 기능이 있으며, 기기에서 앱을 숨겨 제거하기 어렵게 만든다고 언급했다.
HelloGookie - Ransomware
2023년에 활동을 중단한 "HelloKitty" 랜섬웨어가 "HelloGookie"라는 이름으로 발견됐다. 새로 발견된 데이터 유출 사이트에는 이전에 사용했던 암호화 도구의 복호화키 4개가 공개됐다. 이 외에도 전에 탈취했던 CD Projekt Red와 Cisco의 데이터를 공개한 게시글이 확인된다. 한편, 아직 새로운 조직명으로 공격한 증거나 소식은 없는 것으로 전해졌다. 외신은 "HelloKitty"의 최초 개발자라고 주장하는 해커가 "HelloGookie"를 만들었다고 보도했다.
SSLoad - Loader
4월 말, 피싱 이메일을 이용해 "SSLoad" 악성코드를 유포하는 캠페인이 알려졌다. "SSLoad" 악성코드는 여러 개의 백도어와 페이로드를 설치해 탐지를 회피한 것으로 알려졌다. 또한, 감염된 시스템에서 민감 정보를 수집해 공격자에게 전송하도록 설계됐다고 전해졌다. 한편, 보안 업체 Securonix 측은 해당 캠페인에서 ConnectWiseScreenConnect와 CobaltStrike 같은 도구가 추가로 사용됐다고 언급했다. 이에 대해 캠페인의 시작이 피싱 메일 속의 악성 링크라고 언급하면서 출처가 불분명한 이메일에 주의할 것을 권장했다.