2023년 10월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 진단 비율                                             

2023년 10월(10월 1일 ~ 10월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 진단명 별로 비교하였을 때 “Renamer”가 76%로 가장 높은 비중을 차지했고, “Agent”가 17%로 그 뒤를 따랐다.

 

[그림 1] 2023년 10월 악성코드 진단 비율

 

악성코드 유형별 진단 비율 전월 비교

10월에는 악성코드 유형별로 9월과 비교하였을 때 전체적으로 진단 수가 감소했다.

[그림 2] 2023년 10월 악성코드 유형별 진단 수 비교

 

주 단위 악성코드 진단 현황

10월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 9월에 비해 첫째 주는 진단 수가 감소했지만 둘째 주는 증가했다가 셋째 주부터 다시 감소하는 추이를 보였다.

[그림 3] 2023년 10월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

2023년 10월(10월 1일 ~ 10월 31일) 한 달간 등장한 악성코드를 조사한 결과, 몇 년간 코인 마이너로 분류된 "StripedFly"가 재분류됐다. 또한, 다크웹 포럼에서 판매하는 "BunnyLoader" 악성코드와 피싱 사이트에서 유포하는 "GoldDigger" 악성 앱이 발견됐다. 이 외에도 "RagnarLocker" 랜섬웨어 조직의 체포 소식과 "Ransomedvc" 조직의 해체 소식이 전해졌다.

 

BunnyLoader - Loader

10월 초, 보안 업체 Zscaler가 다크웹 포럼에서 "BunnyLoader" 악성코드를 판매하는 정황을 발견했다. “BunnyLoader"는 현재 2.0버전으로 판매 중이며 실행 시 Run 레지스트리에 바이너리 경로를 등록한다. 이때 사전에 준비한 시스템 블랙리스트와 실행 환경을 비교해 일치하지 않으면 공격자에게 시스템 정보를 전달하고 키로거, 스틸러 및 원격 명령 실행 등의 공격을 수행한다. 또한, 2차 페이로드를 다운로드할 때 판매자의 C&C 서버에서 제공하는 링크에서 'AppData\Local' 경로로 직접 받거나 프로세스 할로잉 기법을 이용해 실행 중인 메모장 프로세스를 다운로드 받은 데이터로 변경한 후 실행한다. 추가로 공격자는 GUI 형식의 관리 패널을 사용해 작업 목록 통계와 감염된 PC 상태를 확인하고 관리할 수 있다. 한편, Zscaler 측은 판매자가 기능 추가와 버그 수정 등 악성코드를 지속해서 업데이트하고 있다고 언급했다.

 

GoldDigger - Android

베트남에서 금융 앱의 데이터를 탈취하는 "GoldDigger" 악성 앱이 발견됐다. 보안 업체 Group-IB는 공격자가 구글 플레이 스토어나 베트남 기업으로 위장한 피싱 사이트를 이용해 사용자가 앱을 설치하도록 유도한다고 전했다. 사용자가 앱을 설치하면 금융 앱에서 잔액과 자격 증명 등의 정보를 수집해 공격자가 운영하는 C&C 서버로 전송한다. 이에 대해 Group-IB 측은 출처가 불분명한 사이트에서 앱을 설치하지 못하도록 설정할 것을 권고했다. 추가로, 악성 앱에 스페인어와 중국어 번체자의 언어 번역 기능이 있어 공격 대상이 확장될 우려가 있다고 언급했다.

 

RagnarLocker - Ransomware

유로폴에서 2019년부터 활동한 "RagnarLocker" 랜섬웨어 조직을 체포한 사실을 발표했다. 10월 중순에 11개국이 합동 수사를 진행했고, 네덜란드와 독일 및 스웨덴에서 랜섬웨어 인프라와 데이터 유출 사이트를 압수했다고 전했다. 이어서 프랑스에서 조직의 개발자를 체포하고 스페인과 라트비아에서 용의자 5명을 조사했다고 덧붙였다. 한편, 우크라이나 경찰은 공동 수사의 일환으로 키예프 지역을 수색해 조직에서 사용하던 전자기기를 압수했다고 언급했다. 현재, "RagnarLocker" 측이 운영하던 데이터 유출 사이트에 접속하면 국제 법 집행 조치의 일환으로 압수됐다는 문구와 함께 집행 기관의 로고를 보여준다.

 

StripedFly – RAT

지난 5년간 코인 마이너로 분류됐던 "StripedFly" 악성코드를 재분석한 내용이 공개됐다. 보안 업체 Kaspersky는 "StripedFly"가 암호화폐 채굴 모듈을 실행시키지만, 채굴 동작 외에도 프로세스를 모니터링하고 관련 내용을 공격자에게 전송한다고 밝혔다. 추가로 공격자가 보낸 명령을 수행하고 브라우저와 SSH 클라이언트 등의 자격 증명을 수집하는 모듈도 확인했다고 덧붙였다. 이 외에도 공격자가 Github 등의 인프라에 미리 게시한 바이너리 파일을 다운로드해 시스템에서 지속성을 설정한다고 설명했다. Kaspersky 측은 공격자가 사용한 공격 방식과 C&C 서버의 IP를 근거로 2017년에 발견된 "ThunderCrypt" 랜섬웨어와 유사하다고 전했다. 하지만 "StripedFly"는 EternalBlue로 알려진 SMBv1 감염 모듈을 사용해 시스템에 침투한다는 점에서 차이가 있다고 언급했다.

 

Ransomedvc - Ransomware

"Ransomedvc" 랜섬웨어 조직이 지난 8월부터 이어온 활동을 종료하며 돌연 해산 발표와 함께 사용한 인프라를 매각하는 정황이 발견됐다. 외신은 해당 조직이 개인적인 이유로 매각하며 자세한 내용은 공개하지 않을 것이라는 의사를 텔레그램으로 발표했다고 보도했다. 한편, "Ransomedvc" 측은 연방 기관의 감시를 받고 싶지 않다고 언급하며 자신들이 운영하는 사이트에서 현재까지도 랜섬웨어 인프라와 탈취한 피해 업체의 데이터베이스를 판매하고 있다.