2024년 05월 악성코드 동향 보고서
1. 악성코드 통계
악성코드 유형별 비율
2024년 5월(5월 1일 ~ 5월 31일) 한 달간 잉카인터넷 대응팀은 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 “Trojan”이 51%로 가장 높은 비중을 차지했고, “Ransom”과 “Virus”가 각각 14%와 7%로 그 뒤를 따랐다.
2. 악성코드 동향
2024년 5월(5월 1일 ~ 5월 31일) 한 달간 등장한 악성코드를 조사한 결과, 해킹 포럼에서 "INC Ransom" 랜섬웨어의 소스 코드 판매 소식이 전해졌다. 또한, 10년 전에 발견된 취약점을 이용한 "Goldoon"과 Google Play 업데이트 앱으로 위장한 "Antidot" 악성코드가 알려졌다. 이 외에도 이스라엘 시스템과 ASEAN 정부를 각각 표적으로 하는 "BiBi" 악성코드 변종과 "BloodAlchemy" 악성코드가 발견됐다.
Goldoon - Botnet / Linux
5월 초, 보안 업체 Fortinet에서 "Goldoon"이라는 새로운 리눅스 봇넷을 발표했다. "Goldoon" 봇넷은 감염시킨 시스템과 공격자의 C&C 서버가 지속적으로 연결될 수 있도록 설정한다고 전했다. 또한, 봇넷의 유포 과정에서 10년 전에 발견된 D-Link 라우터의 CVE-2015-2051 취약점을 사용한다는 특징이 있다고 설명했다. 해당 취약점을 악용하면 공격자는 HTTP 요청을 이용해 감염된 시스템에서 임의의 명령을 실행할 수 있다고 덧붙였다. 이에 대해 Fortinet 측은 봇넷이 계속해서 진화하고 있어 가능할 때마다 패치와 업데이트를 적용할 것을 권고했다.
INC Ransom – Ransomware
5월 중순, "INC Ransom"의 소스 코드 판매 게시글이 해킹 포럼에서 발견된 소식이 전해졌다. 해당 게시글에서 언급된 기술 세부 사항은 실제로 "INC Ransom"의 공개 분석 내용과 일치한 것으로 밝혀졌다. 이 외에도 랜섬웨어 조직의 데이터 유출 사이트에 2~3개월 이내에 사이트가 폐쇄될 예정이라는 문구와 함께 이전할 사이트 주소가 공지된 것으로 알려졌다. 현재는 해당 조직의 기존 사이트에 접속이 가능한 상태이나 사이트 폐쇄와 소스 코드 판매에 관한 내용은 확인되지 않는다. 또한, 새로운 데이터 유출 사이트에는 약 80개의 피해 업체 게시글이 확인된다.
Antidot – Android
보안 업체 Cyble의 연구팀에서 Google Play 업데이트 앱으로 위장한 "Antidot" 뱅킹 트로이 목마를 발견했다. 공격자는 Google로 위장해 보안 업데이트를 촉구하는 문구와 함께 해당 악성코드의 다운로드 링크를 전송한다. 사용자가 악성코드를 설치해 실행하면 은행 앱 화면을 사칭한 오버레이 공격과 화면 캡쳐 및 키로깅 공격으로 금융 정보를 수집한다. 이에 대해 연구팀은 알 수 없는 발신자가 보낸 링크나 첨부 파일을 주의하고 공식 스토어에서만 앱을 설치할 것을 권장했다.
BiBi – Wiper
최근 이스라엘 시스템을 중점으로 공격하는 "BiBi" 악성코드의 변종이 발견됐다. 해당 악성코드는 비시스템 파일을 무작위 데이터로 손상시킨 후 "BiBi" 문자열을 포함한 랜덤 확장자를 추가한다. 또한, 디스크에서 파티션 정보를 제거해 사용자가 데이터를 복구하는 것을 더욱 어렵게 만든다. 보안 업체 Check Point 측은 리눅스와 윈도우 모두 변종이 발견됐으며 각각 고유한 특성을 가지면서 동작의 차이가 있다고 덧붙였다. 특히 리눅스 버전은 사용 가능한 CPU 코어 수에 따라 스레드를 생성하며, 윈도우 버전은 특정 확장자를 공격 대상에서 제외하는 특징이 있다고 전했다.
BloodAlchemy – RAT
보안 업체 ITOCHU의 연구원이 ASEAN 정부를 대상으로 유포된 "BloodAlchemy" 악성코드를 발견했다. 공격자는 손상된 VPN 관리자 계정을 이용해 네트워크에 침입한 후 정상 프로세스에 악성 DLL을 로딩한다. 악성 DLL은 바이너리 파일에서 최종 페이로드인 "BloodAlchemy"를 추출해 실행하는 로더의 역할을 수행한다. ITOCHU 측은 해당 악성코드가 샌드박스 환경을 탐지하면 실행을 중단하는 분석 방지 기능을 갖췄다고 설명했다. 또한, "Deed RAT"의 변종이며 중국 정부가 후원하는 것으로 알려진 해킹 그룹에서 자주 사용하는 도구라고 덧붙였다.