2024년 03월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 진단 비율

2024년 3월(3월 1일 ~ 3월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 진단명 별로 비교하였을 때 “Renamer”가 74%로 가장 높은 비중을 차지했고, “KMSAuto”와 “Padodor”가 각각 7%와 6%로 그 뒤를 따랐다.

 

* 해당 통계는 진단 수를 바탕으로 집계되었기 때문에, 실제 감염된 PC의 수량과는 차이가 있음.

[그림 1] 2024년 3월 악성코드 진단 비율

 

악성코드 유형별 진단 수

3월에 진단한 악성코드를 유형 별로 비교하였을 때 “Worm”의 비중이 가장 높고, “Trojan”과 “Backdoor”가 그 뒤를 따랐다.

 

[그림 2] 2024년 3월 악성코드 유형별 진단 수 비교

 

2. 악성코드 동향

2024년 3월(3월 1일 ~ 3월 31일) 한 달간 등장한 악성코드를 조사한 결과, 가짜 구글 사이트로 유포되는 "AZORult" 악성코드가 발견됐다. 또한, 리눅스 운영체제를 공격하는 악성코드로 "GTPDoor"와 "NerbianRAT"이 알려졌다. 이 외에도 새로운 버전의 "BunnyLoader" 악성코드와 다시 돌아온 "TheMoon" 악성코드의 소식이 전해졌다.

 

GTPDoor - Backdoor / Linux

3월 초, 이동 통신사 네트워크에서 동작하는 "GTPDoor" 리눅스 백도어가 발견됐다. 보안 연구원 HaxRob은 공격자가 모바일 통신의 구성 요소인 GRX에 인접한 시스템을 표적으로 접근해 핵심 네트워크까지 침투한다고 전했다. 이때, GRX의 구성 요소에 대한 IP 주소가 공개 문서로 이미 노출되어 있어 이를 이용한 초기 접근을 할 수 있었다고 덧붙였다. 한편, "GTPDoor"는 합법적인 프로세스 이름으로 변경해 위장할 수 있으며, 간단한 XOR 암호를 사용해 C&C 서버에서 악성코드를 제어하는 특징이 있다고 설명했다. 해당 악성코드에 대해 HaxRob은 전 세계 통신 업체를 표적으로 삼는 LightBain 해커 그룹의 도구일 가능성이 높다고 언급했다.

 

NerbianRAT - RAT / Linux

Magnet Goblin으로 불리는 해커 그룹이 리눅스 악성코드인 "NerbianRAT"을 유포한 정황이 발견됐다. 공격자는 보안 패치가 공개됐지만 아직 적용되지 않은 상태의 원데이(1-day) 취약점을 이용해 악성코드를 유포했다. 보안 업체 Check Point 측은 "NerbianRAT"을 사용하면 공격자가 감염된 시스템을 제어할 수 있다고 전했다. 또한, 유포 과정에서 자격 증명을 도용하는 WARPWIRE 등의 페이로드가 함께 설치된다고 덧붙였다. 외신은 신속한 패치와 엔드포인트 보호 등이 이러한 공격의 영향을 완화하는데 도움이 될 수 있다고 언급했다.

 

BunnyLoader - Loader

3월 중순, 보안 업체 Palo Alto Networks의 Unit 42에서 "BunnyLoader" 악성코드의 3.0 버전을 발견했다. 이번 버전은 기존의 기능에서 재작성된 데이터 탈취 모듈과 향상된 키로깅 기능이 추가되고 페이로드의 크기가 감소했다. 이 외에도 새로운 DoS 기능을 통합해 대상 URL에 대한 HTTP Flood 공격을 수행하며 각 모듈을 별도의 바이너리로 분할했다. Unit 42 측은 공격자가 "BunnyLoader"에 내장된 명령을 사용해 특정 악성코드를 로드할 수 있다고 언급했다. 또한, MaaS 환경에서 악성코드가 탐지를 회피하기 위해 계속 발전하고 있어 주의가 필요하다고 전했다.

 

AZORult – InfoStealer

보안 업체 Netskope에서 가짜 구글 사이트를 사용해 "AZORult" 악성코드를 유포하는 피싱 캠페인을 발견했다. 공격자는 위조된 구글 문서 도구 페이지를 생성해 사용자가 방문하면 자동으로 파일을 다운받는 HTML Smuggling 기법으로 악성코드를 배포한다. 악성코드가 설치되면 웹 브라우저와 스크린샷 및 특정 확장자를 가진 문서에서 자격 증명과 쿠키 등을 수집하고 암호화폐 지갑 정보와 함께 탈취한다. 또한, AMSI 우회 기술을 사용해 윈도우 디펜더를 포함한 보안 프로그램의 탐지를 회피한다. Netskope 측은 해당 피싱 캠페인의 목적이 다크웹에서 판매할 민감 데이터를 수집하는 것으로 보인다고 언급했다.

 

TheMoon – Botnet

3월 말, 전 세계 수천 대의 오래된 ASUS 라우터를 노리는 "TheMoon" 악성코드가 다시 등장했다. 공격자는 이미 알려진 취약점과 잠재적으로 취약한 자격 증명을 활용해 ASUS 라우터에 접근한다. 이후 라우터와 호환할 수 있는 셸 환경을 검색하고 악성코드를 배포해 지속성을 유지한다. 감염된 시스템에서는 외부에서 들어오는 트래픽 조작과 C&C 서버와의 통신으로 기능 확장 등을 할 수 있다. 외신은 라우터 장비의 수명이 다해 제조 업체에서 더 이상 지원하지 않는 모델은 적극적으로 교체할 것을 권장했다.