동향 리포트/월간 동향 리포트

2024년 02월 악성코드 동향 보고서

TACHYON & ISARC 2024. 3. 8. 17:04

1. 악성코드 통계

악성코드 진단 비율

20242(21 ~ 229) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 진단명 별로 비교하였을 때 Renamer52%로 가장 높은 비중을 차지했고, Agentb36%로 그 뒤를 따랐다.

 

* 해당 통계는 진단 수를 바탕으로 집계되었기 때문에, 실제 감염된 PC의 수량과는 차이가 있음.

[그림 1] 2024년 2월 악성코드 진단 비율

 

악성코드 유형별 진단 비율 전월 비교

2월에는 악성코드 유형별로 1월과 비교하였을 때 Worm을 제외한 유형에서 증가하는 추이를 보였다.

 

[그림 2] 2024년 2월 악성코드 유형별 진단 수 비교

 

주 단위 악성코드 진단 현황

2월 한 달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 1월에 비해 셋째를 기점으로 증가에서 감소로 바뀌는 추이를 보였다.

 

[그림 3] 2024년 2월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

2024 2(2 1 ~ 2 29) 한 달간 등장한 악성코드를 조사한 결과, "LockBit" 랜섬웨어 조직의 인프라 폐쇄와 활동 재개 소식이 전해졌다. 또한, 새로운 기능이 추가된 봇넷 악성코드로 "Glupteba" "Qbot"이 발견됐다. 이 외에도 페이스북 구인 광고를 이용한 "Ov3r_Stealer" 악성코드와 Linux 환경을 공격한 "Migo" 악성코드가 발견됐다.

 

Ov3r_Stealer InfoStealer

2월 초, 보안 업체 Trustwave는 페이스북의 구인 광고를 사용해 "Ov3r_Stealer" 악성코드가 유포된 정황을 발견했다. Trustwave 측은 공격자가 게시한 페이스북 가짜 구인 광고의 링크로 사용자가 접속하면 악성코드가 배포되는 방식이라고 전했다. 그 과정에서 최종 페이로드로 배포된 "Ov3r_Stealer"는 사용자의 브라우저와 암호화폐 지갑 정보 등을 탈취하는 역할로 설명했다. 이때 악성코드는 감염된 시스템에서 90분마다 정보를 수집해 공격자의 텔레그램 채널로 전송하는 특징이 있다고 언급했다. 또한, "Phemedrone" 악성코드와 비교했을 때 소스 코드나 유포 방식에 유사성이 있다고 덧붙였다.

 

Glupteba Botnet

10년 넘게 금융 업계를 중심으로 발견된 "Glupteba" 악성코드에 최근 새로운 기능이 추가된 정황이 발견됐다. 보안 업체 Palo Alto Networks는 악성코드가 OS 부팅 프로세스에 개입해 제어하는 UEFI 부트킷 기능을 활용해 백신 탐지와 파일 제거를 어렵게 한다고 밝혔다. 한편, 외신은 해당 악성코드가 비트코인의 블록체인을 C&C 서버 시스템으로 활용해 인포스틸러와 백도어 동작을 한다고 전했다. 또한, 공격자가 웹 기반 배포와 소프트웨어 설치 파일 등을 이용한 대규모 피싱 공격으로 다중 악성코드 감염을 발생시키는 추세라고 덧붙였다. 이에 대해 Palo Alto Networks 측은 "Glupteba"가 뛰어난 확장성과 방어력을 보여주는 예시이며 계속 발전한다는 점을 주목해야 한다고 언급했다.

 

Qbot Botnet

2월 중순, 보안 업체 Sophos에서 "Qbot" 봇넷의 새로운 샘플을 발견해 그 정보를 공개했다. Sophos "Qakbot" 이라고도 불리는 악성코드의 신규 샘플이 MSI 파일 형식으로 유포되며 암호화와 난독화를 적용해 분석을 방지한다고 설명했다. 또한, 가상 환경을 탐지하고 보안 프로그램의 설치 여부를 확인하는 기능도 포함됐다고 전했다. 이 외에도 Adobe 설치 프로그램의 팝업을 표시해 정상 프로그램으로 위장한 사례를 발견했다고 덧붙였다. Sophos "Qbot" C&C 서버가 운영이 중단된 상태지만 다시 활동을 재개할 수 있어 주의가 필요하다고 언급했다.

 

Migo - Coin Miner / Linux

Linux 호스트의 Redis 서버를 공격하는 "Migo" 악성코드가 발견됐다. 보안 업체 Cado "Migo"가 데이터베이스 관리 시스템인 Redis의 보안 기능과 SELinux를 비활성화시킨다고 전했다. 이후 서비스와 타이머를 이용해 암호화폐 채굴에 지속성을 설정하고 다른 암호화폐 채굴기나 페이로드는 삭제한다고 언급했다. 이 외에도 사용자 모드 루트킷을 이용해 악성 프로세스와 파일을 숨겨 악성코드 탐지와 분석을 복잡하게 만든다고 덧붙였다. 외신은 공격자가 Redis의 환경과 운영 방식을 잘 이해하고 있는 특징이 "Migo"의 공격 체인에서 보인다고 언급했다.

 

LockBit Ransomware

2월 말, 국제 법 집행 기관의 크로노스 작전(Operation Cronos)으로 "LockBit" 랜섬웨어 조직의 인프라가 폐쇄됐다. 당시 조직에서 운영하던 데이터 유출 사이트에는 영국 국립 범죄청(National Crime Agency)의 통제를 받고 있다는 배너가 표시됐다. 이후, 법 집행 기관은 폴란드와 우크라이나에서 조직의 운영자 두 명을 검거하고, 조직의 서버에서 다수의 암호화폐 지갑과 암호 해독키 등을 압수했다. 하지만 인프라 폐쇄 5일 후에 "LockBit" 측은 새로운 데이터 유출 사이트로 옮기면서 활동을 재개했다. 현재 "LockBit"에서 운영하는 새로운 데이터 유출 사이트에는 피해자 게시글이 60개 이상 작성된 것으로 확인된다.