2025년 03월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 유형별 비율

2025년 3월(3월 1일 ~ 3월 31일) 한 달간 잉카인터넷 대응팀은 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 “Trojan”이 53%로 가장 높은 비중을 차지했고, “Virus”가 14%로 그 뒤를 따랐다.

 

[그림 1] 2025년 3월 악성코드 유형별 비율

 

 

2. 악성코드 동향

2025년 3월(3월 1일 ~ 3월 31일) 한 달간 등장한 악성코드를 조사한 결과, 새로운 랜섬웨어 "Ebyte Ransomwae"가 등장했다. 또한, 특정 국가의 IoT 기기를 공격한 "Eleven11bot" 악성코드와 안드로이드 기기를 공격한 "Crocodilus" 악성코드가 발견됐다. 이 외에도 다양한 랜섬웨어 그룹에서 사용한 "Ragnar Loader" 악성코드와 피싱 메일로 유포된 "VenomRAT" 악성코드 소식이 전해졌다.

 

Eleven11bot – Botnet

3월 초, 새로운 봇넷 악성코드인 "Eleven11bot"이 DDoS 공격을 위해 86,000대 이상의 IoT 기기를 감염시킨 정황이 발견됐다. 보안 업체 Nokia는 "Eleven11bot"이 통신 서비스 제공 업체와 온라인 게임 서버를 대상으로 공격을 시작했다고 밝혔다. 또한, 해당 악성코드는 주로 미국과 영국 및 멕시코 등에서 손상된 웹캠과 네트워크 비디오 레코더(NVR)를 감염시켰다고 언급했다. 이 외에도 봇넷의 공격이 초당 수억 개의 패킷에 달하는 규모이며, 공격이 며칠에 걸쳐 지속되는 경우도 많다고 덧붙였다. 이에 대해 Nokia 측은 특정 IoT 모델의 알려진 기본 자격 증명과 노출된 네트워크 포트를 스캔하는 등의 방식으로 악성코드에 감염된다고 알렸다.

 

Ragnar Loader – Loader

보안 업체 PRODAFT에서 다양한 랜섬웨어 그룹이 사용하는 "Ragnar Loader" 악성코드를 밝혀냈다. 해당 악성코드는 역방향 셸과 로컬 권한 상승 및 원격 데스크톱 접속을 용이하게 하는 여러 구성 요소를 포함한 패키지 형태라고 설명했다. 또한, DLL 플러그인과 셸코드를 실행해 다양한 백도어 작업을 수행하고 파일의 내용을 읽어 추출하는 기능이 있다고 전했다. 이 외에도 bc 라는 이름의 ELF 파일이 원격 연결을 용이하게 만들어 공격자가 손상된 시스템에서 직접 명령을 실행할 수 있다고 덧붙였다. 한편, "Ragnar Loader" 악성코드는 2020년에 미국의 금융 기관을 대상으로 한 해커 그룹의 공격 과정에서 처음 발견됐다고 알려졌다.

 

Ebyte Ransomware – Ransomware

3월 중순, GitHub에서 Windows 시스템을 대상으로 하는 "Ebyte Ransomware"가 새롭게 발견됐다. Go 언어로 작성된 "Ebyte Ransomware"는 ChaCha20과 ECIES 알고리즘을 사용해 파일을 암호화한 후 확장자에 '.EByteLocker' 문자열을 추가한다. 이때, 사용자의 접근을 제어함과 동시에 시스템 안정성을 보장하기 위해 중요한 시스템 파일을 제외한 모든 파일을 암호화한다. 또한, 'Decryption Instructions.txt' 이름으로 랜섬노트를 생성하고 바탕 화면을 변경해 랜섬머니를 요구한다. 보안 업체 Cyfirma 측은 해당 랜섬웨어는 시스템에서 지속성을 유지하고 공격자가 원격으로 승인되지 않은 명령을 실행할 수 있다고 설명했다.

 

VenomRAT – RAT

보안 업체 Forcepoint에서 구매 주문 관련 피싱 메일로 "VenomRAT" 악성코드를 유포한 캠페인을 발견했다. 공격자는 악성 활동을 수행할 배치 스크립트를 포함한 하드 디스크 이미지(.vhd) 파일을 사용자에게 메일로 전송한다. 사용자가 파일을 실행하면, 시스템은 새로운 디스크로 인식해 하드 디스크 드라이브로 마운트한다. 디스크에 있는 스크립트는 지속성을 설정해 사용자가 로그인할 때마다 자동으로 실행되며, 레지스트리를 수정해 탐지 및 제거를 어렵게 만든다. 또한, 텍스트 공유 플랫폼에 연결해 공격자가 저장해둔 명령을 받아 민감 정보 수집과 추가 페이로드 설치 등을 수행한다. 이 외에도 VenomRAT 악성코드가 HVNC(Hidden Virtual Network Computing) 기술을 사용해 탐지되지 않은 상태에서 공격자가 사용자의 시스템을 제어할 수 있다고 알려졌다.

 

Crocodilus – Android

3월 말, 스페인과 터키의 안드로이드 사용자를 대상으로 한 새로운 안드로이드 뱅킹 악성코드 "Crocodilus"가 발견됐다. 보안 업체 ThreatFabric 에서 "Crocodilus" 악성코드가 오버레이 공격과 키로깅 및 원격 접속 등의 기능을 갖추고 있다고 설명했다. 사용자가 Google Chrome 패키지로 위장한 악성코드를 설치한 후 실행하면 공격자의 C&C 서버와 연결되면서 앱 실행을 모니터링하고 오버레이 방식으로 자격증명을 탈취한다고 전했다. 또한, 사용자의 기기에서 Google Authenticator 앱의 화면에 표시된 모든 요소를 열거하고, 표시된 텍스트를 캡쳐해 공격자에게 전송한다고 덧붙였다. 이에 대해 ThreatFabric 측은 현대 악성코드의 정교함과 위협 수준이 상당히 높아졌으며 기본적인 서명 기반 탐지 방법으로 충분하지 않다는 것을 보여준다고 언급했다.