2025년 05월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 유형별 비율

2025년 5월(5월 1일 ~ 5월 31일) 한 달간 잉카인터넷 대응팀은 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 “Trojan”이 47%로 가장 높은 비중을 차지했고, “Virus”가 12%로 그 뒤를 따랐다.

 

[그림 1] 2025년 5월 악성코드 유형별 비율

 

 

2. 악성코드 동향

2025년 5월(5월 1일 ~ 5월 31일) 한 달간 등장한 악성코드를 조사한 결과, MacOS 사용자를 대상으로 한 "AppleProcessHub" 악성코드가 등장했다. 또한, 피싱 메일을 통해 유포되는 "SRG" 랜섬웨어 변종과 “Agenda” 랜섬웨어 그룹이 사용하는 새로운 로더 “NetxLoader”가 발견됐다. 이 외에도 AI 기반 콘텐츠 관련 내용으로 위장하여 유포된 "Noodlophile Stealer" 악성코드의 발견 소식이 전해졌다.

 

NetxLoader - Loader

보안업체 TrendMicro에서 "SmokeLoader"와 함께 "Agenda" 랜섬웨어를 유포하는 로더인 "NetxLoader"를 발견했다. 해당 로더는 .NET 기반의 실행 파일로 .NET Reactor 6 프로텍터와 JIT 후킹 기법이 적용되어 분석을 어렵게 한다. "NetxLoader"가 실행되면 내부의 페이로드를 복호화하여 메모리를 할당해 "SmokeLoader"와 "Agenda" 랜섬웨어를 배포한다. 이후, "SmokeLoader"는 explorer.exe에 프로세스 인젝션해 보안 프로그램의 탐지를 어렵게 하고 공격자가 운영하는 C&C 서버에서 "Agenda" 랜섬웨어를 다운로드한다. "Agenda" 랜섬웨어는 파일 암호화 후 랜섬노트를 생성해 사용자에게 랜섬머니를 요구한다.

 

Noodlophile Stealer - InfoStealer

보안업체 Morphisec이 새로운 정보탈취 악성코드 "Noodlophile Stealer"를 발견했다. 공격자는 페이스북에서 AI 기반 콘텐츠 제작 서비스 관련 광고를 통해 가짜 사이트로 접속을 유도하며, 처리된 콘텐츠로 위장한 악성파일을 사용자가 다운로드 및 설치하게 한다. MP4 파일로 위장한 악성코드를 실행하면 .NET 기반의 로더가 실행돼 공격자가 운영하는 C&C 서버에서 "Noodlophile Stealer"를 다운로드한다. 이후 "Noodlophile Stealer"는 사용자 PC에서 브라우저 자격 증명 데이터와 쿠키값 등을 수집해 공격자의 텔레그램 주소로 전송한다. Morphisec 측은 "Noodlophile Stealer" 외에 RegAsm.exe를 대상으로 프로세스 할로잉을 수행하는 "XWorm Loader"도 함께 유포되고 있어 주의를 당부했다.

 

AppleProcessHub - MacOS

5월 중순, 보안연구팀 MalwareHunterTeam에서 MacOS를 대상으로 한 새로운 정보 탈취 악성코드 "AppleProcessHub"를 발견했다. 해당 악성코드는 Objective-C로 작성되었으며, 동작 과정에 Grand Central Dispatch가 사용됐다. 실행 초기에는 Base64 인코딩 및 AES 암호화된 데이터를 복호화하며, 이후 복호화된 데이터로 공격자가 운영하는 C&C 서버와 통신해 정보 탈취용 스크립트를 다운로드한다. 최종적으로 "AppleProcessHub"는 사용자 PC에서 수집한 bash 및 zsh 실행 기록, GitHub 설정, SSH정보 및 키체인 데이터 등을 유출한다.

 

SRG (=Silent Ransom Group) - Ransomware

FBI에서 “Silent Ransom Group”의 지속적인 사이버 위협 활동에 대해 경고했다. 해당 조직은 IT를 주제로 한 소셜 엔지니어링 공격과 콜백 피싱 메일을 이용해 공격하는 것으로 알려졌다. 이후 감염된 시스템 또는 기기에 원격으로 접근해 민감한 데이터를 훔쳐 피해자에게 데이터 공개를 빌미로 금전을 요구한 것으로 전해진다. FBI 측은 해당 조직이 2023년 봄부터 법률 업계의 데이터가 민감 정보라는 특성을 이용해 미국 로펌을 지속적으로 공격한다고 언급했다. 또한, 이에 대해 바이러스 백신 도구 설치를 포함한 기본적인 사이버 보안 환경을 구현하고 출처가 불분명한 연락은 의심할 것을 권고했다.