악성코드 332

2023년 02월 악성코드 동향 보고서

1. 악성코드 통계 악성코드 Top10 2023년 2월(2월 1일 ~ 2월 28일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 4,325건이 탐지되었다. 악성코드 진단 수 전월 비교 2월에는 악성코드 유형별로 1월과 비교하였을 때 Suspicious의 진단 수가 증가했고 그 외 모든 유형의 진단 수가 전체적으로 감소했다. 주 단위 악성코드 진단 현황 2월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 둘째 주까지는 1월에 비해 진단 수가 감소했지만, 셋째 주에는 증가했다가 다시 감소하는 추이를..

Google Ads를 악용해 AWS 계정을 노리는 멀버타이징 캠페인

최근, Google Ads를 악용해 사용자 계정을 노리는 멀버타이징 캠페인이 발견됐다. 보안 업체 SentinelOne에 따르면, 공격자가 아마존 웹 서비스(AWS)를 사칭한 피싱 사이트를 제작하고 Google Ads를 악용해 사용자들의 접속을 유도한 것으로 알려졌다. 사용자가 구글 검색창에 "AWS"를 검색하면 검색 결과에 공격자가 제작한 악성 웹 사이트가 노출된다. 해당 사이트에 접속할 경우, AWS 로그인을 가장한 피싱 사이트로 연결돼 사용자의 계정 정보 입력을 유도한다. 이후, 사용자가 로그인을 시도하면 입력한 계정 정보를 공격자에게 전송하고, 사용자를 실제 AWS 사이트로 리디렉션한다. 사진출처 : SentinelOne 출처 [1] SentinelOne (2023.02.09) - Cloud Cr..

2023년 01월 악성코드 동향 보고서

1. 악성코드 통계 악성코드 Top10 2023년 1월(1월 1일 ~ 1월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 9,445건이 탐지되었다. 악성코드 진단 수 전월 비교 1월에는 악성코드 유형별로 12월과 비교하였을 때 모든 유형의 진단 수가 전체적으로 감소했고, 특히 Worm과 Suspicious의 진단 수가 크게 감소했다. 주 단위 악성코드 진단 현황 1월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 첫째 주부터 12월에 비해 진단 수가 전체적으로 감소했지만, 넷째 주부터 증..

공백의 이미지 파일을 통해 악성 URL을 유포하는 피싱 공격

최근, 공백의 이미지 파일 속에 악성 URL을 숨겨 유포하는 피싱 공격이 발견됐다. 보안 업체 Avanan에 따르면, 공격자가 전자 서명 서비스 DocuSign을 사칭해 정상 사이트 링크와 함께 악성 링크를 포함하는 HTML 파일이 첨부된 메일을 발송한 것으로 알려졌다. HTML에는 빈 SVG 파일이 포함돼 있고, 첨부 파일 실행 시 이미지 파일 내부에 숨겨진 악성 URL 링크로 사용자를 리다이렉트한다. Avanan의 연구원은 해당 공격 기법은 대부분의 보안 서비스를 우회할 수 있다고 언급하며, 메일에 첨부된 HTML 파일 실행에 유의할 것을 권고했다. 사진출처 : Avanan 출처 [1] Avanan (2023.01.19) - The Blank Image Attack https://www.avanan...

화상 회의 서비스 Zoom으로 위장해 유포되는 IcedID 악성코드

최근, 화상 회의 서비스인 Zoom으로 위장해 "IcedID" 악성코드가 유포되는 정황이 발견됐다. 보안 업체 Cyble에 따르면, 공격자가 피싱 사이트를 통해 Zoom 설치 프로그램으로 위장한 "IcedID" 악성코드를 유포한 것으로 알려졌다. 해당 악성코드를 실행할 경우, 피해자의 시스템에서 시스템 정보 등을 탈취해 공격자의 C&C 서버로 전송한다. 이번 공격에서 공격자는 악성코드와 정상 설치 프로그램을 함께 드롭 후 실행하며 사용자의 의심을 피한 것으로 밝혀졌다. 사진출처 : Cyble 출처 [1] Cyble (2023.01.05) - Zoom Users At Risk In Latest Malware Campaign https://blog.cyble.com/2023/01/05/zoom-users-a..

2022년 12월 악성코드 동향 보고서

1. 악성코드 통계 악성코드 Top10 2022년 12월(12월 1일 ~ 12월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 18,270건이 탐지되었다. 악성코드 진단 수 전월 비교 12월에는 악성코드 유형별로 11월과 비교하였을 때 Trojan, Virus 및 Worm의 진단 수가 증가했고, Suspicious와 Backdoor의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 12월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 11월에 비해 전체적으로 감소하는 추이를 보이고 있다..

취약점을 악용해 DDoS 공격을 시도하는 Zerobot 악성코드

최근, 취약점을 악용해 IoT 장치를 공격하는 "Zerobot" 악성코드가 발견됐다. 보안 업체 Fortinet에 따르면, 이 악성코드는 Go언어로 작성된 봇넷으로, IoT 장치 및 기타 애플리케이션에서 24개의 보안 취약점을 악용해 전파되는 것으로 알려졌다. 해당 악성코드는 네트워크 스캔 및 자체 전파 기능을 포함하고 있으며, 공격에 성공할 경우 감염된 장치를 봇넷에 추가해 DDoS 공격에 사용한다. Fortinet은 지난 11월 발견 이후 "Zerobot" 악성코드가 지속적으로 업데이트되고 있음을 언급하며, 공격에 악용되는 취약점에 대해 최신 패치를 적용할 것을 권고했다. 사진출처 : Fortinet 출처 [1] Fortinet (2022.12.06) - Zerobot – New Go-Based Bo..

악성 문서 파일을 통해 유포되는 Ekipa RAT 악성코드

최근, 악성 문서 파일을 통해 "Ekipa" RAT 악성코드가 유포되는 정황이 발견됐다. 보안 업체 Trustwave에 따르면, 공격자가 러시아의 정부 및 금융 기관을 대상으로 하는 피싱 메일에 악성 문서 파일을 첨부해 유포한 것으로 알려졌다. 또한, 첨부파일에는 Microsoft 사의 매크로 자동 실행 방지 정책을 우회하기 위해 XLL 파일과 함께 매크로를 실행하는 스크립트가 포함돼 있다. 사용자가 해당 첨부파일을 실행할 경우, 내부의 매크로가 실행돼 "Ekipa" 악성코드를 설치하고 실행한다. 현재, "Ekipa" 악성코드는 해킹 포럼에서 3900달러에 판매되고 있으며, 실행 시 정보 탈취 및 파일 다운로드 등의 악성 행위를 수행한다. 사진출처 : Trustwave 출처 [1] Trustwave (2..

다크웹에서 판매 중인 PureLogs 스틸러

최근, 이탈리아 사용자를 표적으로 하는 "PureLogs" 악성코드가 발견됐다. 보안 업체 Cyble에 따르면, 이 악성코드는 스팸 메일에 포함된 악성 링크를 통해 유포되는 것으로 알려졌다. 사용자가 링크에 접속할 경우 악성코드가 포함된 ZIP 파일이 다운로드되고, 내부의 CAB 파일을 실행하면 "PureLogs" 악성코드가 드롭 후 실행된다. 이후, 해당 악성코드는 피해자 시스템에서 브라우저 쿠키와 비밀번호, 암호화폐 지갑 및 디스코드 토큰 등의 데이터를 탈취한다. 현재, "PureLogs" 악성코드는 암호화페 채굴, 원격 제어 및 암호화 등의 동작을 수행하는 악성 도구들과 함께 다크웹에서 연간 99달러에 판매되고 있다. 사진출처 : Cyble 출처 [1] Cyble (2022.12.27) - Pure..

PrivateLoader를 통해 유포되는 RisePro 악성코드

최근, 새로운 정보 탈취 악성코드 "RisePro"가 유포되는 정황이 발견됐다. 보안 업체 Sekoia에 따르면, 해당 악성코드가 "PrivateLoader" 악성코드를 통해 유포되는 것으로 알려졌다. "PrivateLoader"로부터 다운로드된 "RisePro" 악성코드가 실행될 경우, 피해자 PC에서 신용 카드, 암호화폐 지갑, 브라우저 암호 및 쿠키 등을 탈취해 공격자 C&C 서버로 전송한다. 또한, "RisePro"는 추가 악성코드를 로드하는 기능을 포함하고 있다. 현재, "RisePro" 악성코드는 텔레그램 채널을 통해 판매되고 있다. 사진출처 : Sekoia 출처 [1] Sekoia (2022.12.22) - New RisePro Stealer distributed by the prominen..