2024년 4월 악성코드 공격 동향은? ‘트로이목마’가 절반 가까이 차지

2024-05-27 00:01
  • 카카오톡
  • 네이버 블로그
  • url
잉카인터넷 시큐리티대응센터, 4월 악성코드 동향 보고서 발표
진단명별 비중 분석...웜 바이러스 11%, 바이러스 10%, 랜섬웨어 6% 순
금융기관 표적 삼는 JsOutProx 새 버전 발견...HelloKitty는 HelloGookie로 재등장


[보안뉴스 김영명 기자] 올해 4월 한 달 동안 국내외에서 수집된 악성코드 현황을 분석 및 조사한 결과 유형별로 분류했을 때 트로이목마(Trojan)가 43%로 가장 높은 비중을 차지했고, 웜 바이러스(Worm)가 11%, 바이러스(Virus)가 10%의 비율을 보였다.


[이미지=gettyimagesbank]

지난 4월에 등장한 악성코드 중에서 특이한 점으로는 금융기관을 표적으로 하는 ‘JsOutProx’ 악성코드가 발견된 것이다. 또한 피싱 이메일을 이용해 유포되는 ‘Latrodectus’와 ‘SSLoad’ 악성코드가 유포됐다. 잉카인터넷 시큐리티대응센터에 따르면 이 외에도 국내 안드로이드 사용자를 공격하는 ‘SoumniBot’ 악성코드와 새로운 이름으로 등장한 ‘HelloGookie’ 랜섬웨어가 발견됐다.


▲2024년 4월 악성코드 유형별 비율[자료=잉카인터넷 시큐리티대응센터]

4월 초에는 금융 기관을 표적으로 삼는 ‘JsOutProx’ 악성코드의 새로운 버전이 발견됐다. 이 악성코드는 RAT(Remote Administration Tool, 원격관리도구) 유형이다. 보안 업체 리시큐리티(Resecurity)는 공격자가 합법적인 기관을 사칭하는 이메일을 통해 사용자에게 가짜 결제 알림을 보낸다고 전했다. 사용자가 이메일의 첨부 파일을 실행하면 깃랩(GitLab) 저장소에서 JsOutProx 페이로드가 다운로드된다. 그 이후 공격자는 사용자의 민감 데이터에 접근하고 추가 페이로드를 내려받는 등의 공격을 수행한다. 분석가들은 해당 캠페인의 정교함과 지리적 위치 등을 기반으로 중국 또는 중국 관련 공격자가 배후에 있을 것으로 추정했다.

보안업체 프루프포인트(Proofpoint)는 최근 피싱 이메일을 이용한 캠페인에서 ‘Latrodectus’ 다운로더의 사용이 증가하고 있다고 전했다. 해커 그룹은 정상적인 기업으로 위장해 사용자에게 저작권 침해와 관련된 내용의 악성 링크에 접속하도록 유도한다. 다운로드된 악성코드는 샌드박스 보안 탐지 회피 기술과 RC4 암호화를 이용해 명령제어(C&C) 서버와 통신한다는 특징이 있다. 외신은 악성코드가 전달하는 구체적인 페이로드는 아직 알려지지 않았지만, 다운로더 기능을 통해 공격 도구들을 배포할 수 있다고 언급했다.

4월 중순에는 안드로이드 사용자를 대상으로 공격하는 ‘SoumniBot’ 트로이목마가 발견됐다. 보안 업체 카스퍼스키(Kaspersky)의 연구원은 해당 악성코드가 정부기관과 온라인 증권 거래소에서 사용하는 디지털 서명 인증서를 탈취한다고 전했다. 이를 악용하면 공격자는 사용자의 온라인 뱅킹 서비스에 로그인하거나 거래 내역을 확인할 수 있다고 덧붙였다. SoumniBot 악성코드는 연락처 추가와 삭제, 안드로이드 디버그 모드 활성화 등의 기능이 있으며, 기기에서 애플리케이션을 숨겨 제거하기 어렵게 만든다고 언급했다.

지난해에 활동을 중단한 헬로키티(HelloKitty) 랜섬웨어가 ‘헬로구키(HelloGookie)’라는 이름으로 발견됐다. 새로 발견된 데이터 유출 사이트에는 이전에 사용했던 암호화 도구의 복호화키 4개가 공개됐다. 이외에도 전에 탈취했던 CD Projekt Red와 시스코(Cisco)의 데이터를 공개한 게시글이 확인된다. 한편 아직 새로운 조직명으로 공격한 증거나 소식은 없는 것으로 전해졌다. 외신은 헬로키티의 최초 개발자라고 주장하는 해커가 헬로구키를 만들었다고 보도했다.

피싱 이메일을 이용해 ‘SSLoad’ 악성코드를 유포하는 캠페인이 4월 말에 발견됐다. SSLoad 악성코드는 여러 개의 백도어와 페이로드를 설치해 탐지를 회피한 것으로 알려졌다. 또한 감염된 시스템에서 민감 정보를 수집해 공격자에게 전송하도록 설계됐다고 전해졌다. 한편, 보안 업체 시큐로닉스(Securonix) 측은 해당 캠페인에서 원격 데스크톱 소프트웨어 응용 프로그램인 ConnectWiseScreenConnect와 모의해킹 도구인 코발트스트라이크(CobaltStrike) 등이 추가로 사용됐다고 언급했다. 이에 대해 캠페인의 시작이 피싱 메일 속의 악성 링크라고 언급하면서 출처가 불분명한 이메일에 주의할 것을 권장했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 아마노코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 엔토스정보통신

    • 비전정보통신

    • 경인씨엔에스

    • (주)우경정보기술

    • 투윈스컴

    • 디비시스

    • 다후아테크놀로지코리아

    • 트루엔

    • 동양유니텍

    • 세연테크

    • 위트콘

    • 이오씨

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 포엠아이텍

    • 티에스아이솔루션

    • 넥스트림

    • 안랩

    • 데이티스바넷

    • 시큐어링크

    • 지란지교데이터

    • 삼오씨엔에스

    • 위즈코리아

    • 피앤피시큐어

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 앤디코

    • 케이제이테크

    • 알에프코리아

    • 사라다

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 유투에스알

    • 이스트컨트롤

    • 태정이엔지

    • 네티마시스템

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 미래시그널

    • 두레옵트로닉스

    • 엘림광통신

    • 에스에스티랩

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 보문테크닉스

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 신화시스템

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기