2024년 12월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 유형별 비율

2024년 12월(12월 1일 ~ 12월 31일) 한 달간 잉카인터넷 대응팀은 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 “Trojan”이 61%로 가장 높은 비중을 차지했고, “Virus”가 9%로 그 뒤를 따랐다.

 

 

[그림 1] 2024년 12월 악성코드 유형별 비율

 

 

2. 악성코드 동향

2024년 12월(12월 1일 ~ 12월 31일) 한 달간 등장한 악성코드를 조사한 결과, Mirai 봇넷의 변종이 등장했다. 또한, 대만의 업체를 공격한 "SmokeLoader" 악성코드와 러시아 금융 업체를 공격한 "RedLine Infostealer" 악성코드를 유포한 캠페인이 발견됐다. 이 외에도 유튜브 게임 관련 동영상 시청자를 겨냥한 "NodeLoader" 악성코드와 소프트웨어 개발자를 대상으로 한 "OtterCookie" 악성코드 소식이 전해졌다.

 

SmokeLoader – DownLoader

12월 초, 보안 업체 Fortinet 측에서 대만의 제조, 의료 및 정보 기술 업체를 공격하는 "SmokeLoader" 악성코드를 발견했다. 공격자가 Microsoft Office의 취약점을 이용한 엑셀 파일을 피싱 메일에 첨부하는 방식으로 악성코드를 유포했다고 설명했다. 또한, "SmokeLoader"는 주로 다운로더 역할을 하지만, 이번에는 C&C 서버에서 플러그인을 다운로드해 직접 공격을 수행했다고 전했다. 이에 대해 다양한 요구에 적응할 수 있는 모듈식 구성을 이용해 광범위한 공격이 가능한 것이라고 언급했다. Fortinet 측은 해당 악성코드의 유연성을 근거로 잘 알려진 악성코드를 살펴보더라도 주의가 필요하다고 강조했다.

 

RedLine Infostealer - Infostealer

12월 중순, 보안 업체 Kaspersky가 러시아의 금융 업체를 대상으로 정보 탈취 악성코드인 "RedLine Infostealer"를 유포한 캠페인에 대해 보고했다. 공격자는 회계 관련 포럼에 악성코드가 포함된 업무 자동화 프로그램의 무료 설치 링크를 공유해 사용자의 접속과 설치를 유도했다. 이때, 사용자가 설치 프로그램을 실행하면 악성 라이브러리를 로드하고, 함께 설치되는 DLL 파일을 이용해 최종 페이로드인 "RedLine Infostealer"를 실행한다. 이후에는 사용자의 웹 브라우저에 저장된 데이터와 암호화폐 지갑 정보 등을 탈취한다. 이에 대해 Kaspersky 측은 불법 복제 소프트웨어 사용을 지양하고 업체에서는 정식 라이선스가 있는 프로그램을 사용하도록 권장했다.

 

NodeLoader – Loader

보안 업체 Zscaler에서 코인 마이너와 정보 탈취 악성코드를 실행하는 Node.js 기반의 "NodeLoader"를 발견했다. 공격자는 유튜브 게임 관련 동영상 설명에 게임 유틸리티인 Korepi로 위장한 "NodeLoader" 다운로드 링크를 추가해 사용자의 설치와 실행을 유도했다. 해당 악성코드는 sudo-prompt 패키지를 사용해 권한을 상승시킨 후 윈도우 디펜더를 비활성화하고 이벤트 로그 서비스를 중지시키는 특징이 있다. 또한, "XMRig" 코인 마이너 외에도 정보를 탈취하는 "Phemedrone" 와 "Lumma Stealer" 악성코드 등을 2단계 페이로드로 다운로드해 실행한다. Zscaler 측은 최근 게임 스트리밍과 관련된 커뮤니티 플랫폼이 인기가 많아지는 추세임을 악용한 악성코드가 등장할 수 있어 주의를 당부했다.

 

Mirai – Botnet

12월 말, 새로운 Mirai 봇넷의 변종이 오래된 펌웨어가 설치된 네트워크 비디오 레코더(NVR)와 라우터를 공격하는 정황이 발견됐다. 보안 업체 Akami 측은 NVR에서 사용자 입력을 제대로 검증하지 않아 발생하는 원격 코드 실행 취약점을 이용해 HTTP POST 요청에 명령이 삽입됐다고 설명했다. 명령이 성공하면 공격자는 외부 서버에서 악성 바이너리를 가져와 감염된 장비에 봇넷을 등록한다고 덧붙였다. 또한, 장비가 손상되면 DDoS 공격을 실행하거나 취약점과 자격 증명 목록을 사용해 다른 장비로 공격을 확산한다고 전했다. 이에 대해 새로운 Mirai 봇넷의 변종은 XOR과 ChaCha20 암호화를 사용하는 특징이 있으며, 광범위한 시스템 아키텍처를 공격한다고 언급했다.

 

OtterCookie – RAT

보안 업체 NTT Security에서 소프트웨어 개발자를 대상으로 "OtterCookie" 악성코드를 배포하는 캠페인을 발견했다. 해당 캠페인은 GitHub 또는 Bitbucket에서 다운로드 가능한 Node.js 프로젝트나 NPM 패키지를 이용해 사용자의 시스템을 감염시킨다. 이후, 악성 JS 로더를 사용해 "OtterCookie" 악성코드를 실행하면, Socket.IO를 사용해 공격자의 C&C 서버와 연결한다. 또한, 문서와 암호화폐 지갑 등의 정보를 탈취하고 명령어를 사용해 시스템 환경을 탐색한다. 이에 대해 NTT Security 측은 "OtterCookie" 악성코드가 북한과 관련된 캠페인에서 사용됐다고 언급하면서 주의가 필요하다고 밝혔다.