2025년 01월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 유형별 비율

2025년 1월(1월 1일 ~ 1월 31일) 한 달간 잉카인터넷 대응팀은 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 “Trojan”이 53%로 가장 높은 비중을 차지했고, “Virus”가 12%로 그 뒤를 따랐다.

 

[그림 1] 2025년 1월 악성코드 유형별 비율

 

 

2. 악성코드 동향

2025년 1월(1월 1일 ~ 1월 31일) 한 달간 등장한 악성코드를 조사한 결과, 가짜 CAPTCHA 페이지를 이용한 "Lumma Stealer" 악성코드의 변종이 등장했다. 또한, AI 모델을 활용한 "FunkSec" 랜섬웨어와 정상 소프트웨어로 위장한 "PNGPlug" 악성코드가 새롭게 발견됐다. 이 외에도 탐지 방지와 랜섬웨어 등의 기능을 결합한 "NonEuclid" 악성코드와 안드로이드를 공격하는 "Tanzeem" 악성코드의 소식이 전해졌다.

 

NonEuclid – RAT

1월 초, 보안 업체 Cyfirma에서 윈도우 시스템을 공격하는 "NonEuclid" 악성코드를 발견했다. 해당 악성코드는 UAC(User Account Control)를 우회해 관리자 권한을 얻고, 윈도우 작업 스케줄러와 레지스트리를 변경한다. 이때, 윈도우 디펜더와 AMSI(Anti-Malware Scan Interface)를 우회하며, 현재 실행 중인 시스템이 가상 환경인 경우에 즉시 종료한다. 추가로 CSV를 포함한 특정 파일 형식은 암호화하고 파일명에 '.NonEuclid'를 추가하는 랜섬웨어 공격을 수행한다. 이에 대해 Cyfirma 측은 "NonEuclid"가 탐지 방지 기능과 랜섬웨어 기능 등을 결합해 더 정교해진 현대 악성코드의 모습을 보여준다고 언급했다.

 

FunkSec – Ransomware

1월 중순, AI 모델을 활용한 랜섬웨어로 인도와 미국을 공격하는 "FunkSec" 랜섬웨어 조직이 등장했다. 보안 업체 Check Point는 해당 랜섬웨어의 메시지와 소스 코드의 주석 형태를 근거로 AI를 활용해 제작된 사실을 파악했다고 설명했다. 사용자가 랜섬웨어를 실행하면, 사용자 권한을 확인하고 윈도우 디펜더와 이벤트 로깅을 비활성화하는 등의 기능을 수행한다. 또한, ChaCha20 알고리즘을 사용해 암호화한 파일 이름에 '.funksec' 문자열을 추가하고 해당 경로에 랜섬노트를 생성한다. 이에 대해 Check Point 측은 FunkSec과 연관된 해커 그룹 파악과 AI를 활용한 악성코드에 대한 대응 방식 연구의 필요성을 제기했다.

 

PNGPlug – Loader

보안 업체 Intezer에서 "ValleyRAT" 악성코드를 유포하는 "PNGPlug" 로더 악성코드를 새로 발견했다. 공격자는 정상 소프트웨어로 위장한 MSI 패키지 프로그램을 피싱 사이트에 등록해 사용자의 설치와 실행을 유도한다. 사용자가 프로그램을 실행하면, DLL 로더인 "PNGPlug"와 함께 PNG 파일로 위장한 두 개의 페이로드 파일을 추출한다. 이후, 로더는 "ValleyRAT"를 실행해 스크린샷 캡쳐와 권한 상승을 수행하고, 윈도우 이벤트 로그를 삭제해 감염 사실을 숨긴다. 한편, Intezer 측은 이 과정에서 정상 소프트웨어를 함께 설치해 사용자의 의심을 피한다고 언급했다. 또한, "PNGPlug"의 제작자가 기존의 "ValleyRAT"를 유포한 중국 해커 그룹과 연관이 있을 것으로 추측했다.

 

Tanzeem – Android

보안 업체 CYFIRMA에서 남아시아 지역을 대상으로 배포된 안드로이드 악성코드 "Tanzeem"에 대해 보고했다. 사용자가 채팅 앱으로 위장한 "Tanzeem"을 설치해 실행하면, 별도의 동작 없이 필요한 권한만 요구하고 앱이 종료된다. 이때, 통화 기록과 연락처 및 계정 정보 등의 데이터를 수집할 수 있는 권한을 요구하며, 수집한 데이터는 공격자의 C&C 서버로 전송한다. 또한, 푸시 알림 플랫폼 OneSignal을 악용해 피싱 링크를 포함한 알림을 전송하고 사용자가 해당 링크에서 추가 악성코드를 설치하도록 유도한다. 이에 대해 CYFIRMA 측은 앱에서 요청하는 권한을 검토하고 모바일 보안 솔루션을 강화할 것을 권장했다.

 

Lumma Stealer – InfoStealer

1월 말, 보안 업체 Netskope는 가짜 CAPTCHA 페이지를 활용해 "Lumma Stealer" 악성코드를 배포하는 캠페인을 발견했다. 사용자가 이미 침해된 사이트에 접속하면, 공격자가 준비한 가짜 CAPTCHA 페이지로 이동한다. 이때, 인증을 위해 윈도우 실행창에 명령을 복사해 붙여 넣도록 유도하며, 실행된 명령은 최종적으로 "Lumma Stealer"를 배포한다. 해당 악성코드는 브라우저 쿠키와 금융 데이터 및 로그인 자격 증명과 같은 정보를 탈취하고, AMSI(Anti-Malware Scan Interface)를 우회한다. 한편, 외신은 "Lumma Stealer"가 Reddit과 WeTransfer로 위장한 도메인 등 다양한 방법으로 배포되고 있다고 전했다.