2025년 06월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 유형별 비율

2025년 6월(6월 1일 ~ 6월 30일) 한 달간 잉카인터넷 대응팀은 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 “Trojan”이 45%로 가장 높은 비중을 차지했고, “Virus”가 17%로 그 뒤를 따랐다.

 

[그림 1] 2025년 6월 악성코드 유형별 비율

 

 

2. 악성코드 동향

2025년 6월(6월 1일 ~ 6월 30일) 한 달간 등장한 악성코드를 조사한 결과, 우크라이나를 대상으로 한 “PathWiper” 악성코드가 등장했다. 또한, 피싱 메일을 통해 유포된 "Anubis" 랜섬웨어와 깃허브를 통해 악성페이로드를 다운로드하는 “BRAODO Stealer”가 발견됐다. 이 외에도 Android 기기를 대상으로 한 "GodFather” 악성코드와 MacOS 사용자를 대상으로 한 “Odyssey Stealer” 악성코드의 발견 소식이 전해졌다.

 

PathWiper - Wiper

보안업체 Cisco Talos가 우크라이나의 중요 인프라를 대상으로 한 공격에 사용된 새로운 악성코드 “PathWiper”를 발견했다. 공격자는 관리 콘솔에 액세스해 각 클라이언트가 실행 중인 엔드포인트에서 BAT 파일로 작성된 악성 명령을 실행한 것으로 전해졌다. BAT 파일은 마찬가지로 관리 콘솔에 의해 Temp 폴더에 복사된 VBS 파일을 실행하며, VBS는 동일한 폴더에 와이퍼 바이너리를 드롭 및 실행한다. 실행된 PathWiper는 물리 드라이브, 볼륨 및 네트워크 드라이브를 포함하는 모든 스토리지 목록을 수집한 후 임의의 바이트로 내용을 덮어쓴다. Cisco Talos는 공격에 사용된 스크립트 및 바이너리의 파일 이름이 관리 유틸리티를 모방한 것으로 공격자가 관리 콘솔에 대한 사전 지식이 있던 것으로 추정했다.

 

Anubis - Ransomware

보안업체 Trendmicro가 호주와 캐나다 및 미국 등의 국가를 공격 대상으로 삼아 파일 암호화 및 완전 삭제하는 “Anubis” 랜섬웨어를 발견했다. 공격자는 피싱 메일의 악성 첨부파일이나 링크를 사용해 초기 침투를 시도하고, 피해자가 첨부파일을 열거나 클릭하도록 유도한다. “Anubis” 랜섬웨어는 관리자 권한 획득 후 ECIES 암호화 알고리즘을 사용해 파일을 암호화하며, '/WIPEMODE' 매개변수를 사용해 파일 내용을 영구적으로 삭제하는 와이퍼 기능을 실행한다. 공격자는 볼륨 섀도 복사본 삭제와 파일 암호화, 와이퍼 기능 실행 등을 통해 파일 복구가 불가능한 상태로 만들며, 이중 위협 전략으로 피해자를 압박한다. Trendmicro 측은 정기적인 오프라인 백업 유지와 관리자 권한 제한 및 다층 보안 전략 구축을 예방 조치 권장한다고 밝혔다.

 

GodFather - Android

보안업체 Zimperium이 안드로이드 기기를 대상으로 유포되는 모바일 뱅킹 트로이목마 "GodFather"를 발견했다. 해당 악성코드의 초기 유포 경로는 알 수 없지만 실행되면 VirtualApp 엔진과 Xposed for hooking 등의 오픈소스 도구로 기기 내에 가상환경을 생성한다. 이후 오버레이를 표시해 사용자에게 뱅킹 비밀번호 등을 요구하고 뱅킹 앱의 API를 후킹해 인증 정보 등을 수집하며 공격자가 운영하는 C&C 서버로 전송한다. 또한 정보를 탈취한 이후에는 공격자의 C&C 서버에서 명령을 수신해 모바일 기기 잠금 해제 및 뱅킹 앱으로 송금 시도 등의 악성 동작을 수행한다. 이에 대해 짐페리움 측은 구글 플레이 스토어나 신뢰할 수 있는 출처에서에서 앱 다운로드를 권장하고 앱 설치 시 요청하는 권한에 대해 주의를 당부했다.

 

BRAODO Stealer - InfoStealer

보안업체 ANY.RUN에서 깃허브에서 악성 페이로드를 다운로드 및 실행해 정보를 탈취하는 "BRAODO Stealer"를 발견했다. 해당 악성코드의 초기 유포 과정은 알 수 없지만 BAT 파일 실행을 시작으로 공격자의 깃허브에서 추가 페이로드 및 BAT 파일을 다운로드한다. 다운로드한 BAT 파일은 또다른 공격자의 깃허브 주소에서 "BRAODO Stealer"가 포함된 ZIP 아카이브를 다운로드하고 압축 해제한다. 이후 파이썬 스크립트 형태의 "BRAODO Stealer"를 실행해 사용자 PC의 시스템 정보 및 쿠키값 등을 수집해 공격자가 운영하는 C&C 서버로 전송한다. ANY.RUN 측은 최근에 깃허브 및 합법적인 플랫폼을 이용해 유포되는 악성 캠페인이 증가하고 있어 주의를 당부했다.

 

Odyssey Stealer - MacOS

보안업체 Cyfirma는 여러 웹사이트에서 ClickFix 기법을 사용하여 MacOS 정보 탈취 악성코드인 "Odyssey Stealer"를 배포하는 것을 발견했다. 해당 악성코드는 공격자가 제작한 피싱 사이트를 통해 사용자가 Base64로 인코딩된 명령을 실행하도록 유도한다. 명령이 실행되면, 웹 브라우저에 저장된 쿠키, 비밀번호, 암호화폐 지갑 정보 등의 데이터와 키체인 정보를 수집해 공격자의 C&C 서버로 전송한다. Cyfirma 측은 해당 악성코드가 "Poseidon Stealer" 및 "AMOS Stealer"를 제작한, 일명 "Rodrigo4"라는 개발자와 관련이 있다고 언급했다. 또한 "Odeyssey Stealer"의 유포 과정에서 윈도우 대상으로는 지원 예정이라는 문구를 보아 추후 윈도우를 대상으로도 재등장할 수 있다며 주의를 당부했다.