진단명별 비교 시 리네이머 이어 ‘KMSAuto’ 7%, ‘Padodor’ 6% 비율 차지
유형별 비교 시 ‘Worm’-‘Trojan’-‘Backdoor’ 순으로 분석돼
[보안뉴스 김영명 기자] 지난 3월 한달 동안 사용자에게 가장 많이 피해를 준 악성코드는 진단명 별로 비교했을 때 ‘리네이머(Renamer)’ 악성코드로 무려 전체 악성코드의 74%를 차지했다. 리네이머 악성코드의 뒤를 이어 ‘KMSAuto’가 7%, ‘Padodor’가 6%의 비율을 차지한 것으로 분석됐다.
[이미지=gettyimagesbank]
잉카인터넷 시큐리티대응센터는 2024년 3월 1일부터 31일까지의 악성코드 공격 동향을 분석한 보고서를 발표했다. 3월에 진단한 악성코드를 유형별로 비교했을 때 ‘Worm’의 비중이 가장 높았으며, 그 뒤를 ‘Trojan’, ‘Backdoor’, ‘Adware’, ‘Virus’ 등이 그 뒤를 따랐다.
▲2024년 3월 악성코드 진단 비율[자료=잉카인터넷 시큐리티대응센터]
올해 3월 한달 사이에 등장한 악성코드를 조사한 결과, 가짜 구글 사이트로 유포되는 ‘아조럴트(AZORult)’ 악성코드가 발견됐다. 또한 리눅스 운영체제를 공격하는 악성코드로 ‘GPT도어(GTPDoor)’와 ‘네브라이언랫(NebrainRAT)’이 맹위를 떨쳤다. 이 외에도 새로운 버전의 ‘버니로더(BunnyLoader)’ 악성코드와 돌아온 ‘더문(TheMoon)’ 악성코드가 유포됐다다.
▲2024년 3월 악성코드 유형별 진단 수 비교[자료=잉카인터넷 시큐리티대응센터]
올해 3월 초에 이동통신사 네트워크에서 동작하는 ‘GTP도어’ 리눅스 백도어가 발견됐다. 보안 연구원 HaxRob은 공격자가 모바일 통신의 구성요소인 GRX에 인접한 시스템을 표적으로 접근해 핵심 네트워크까지 침투한다고 전했다. 이때 GRX의 구성 요소에 대한 IP 주소가 공개 문서로 이미 노출돼 있어 이를 이용한 초기 접근을 할 수 있었다고 덧붙였다. GTP도어는 합법적인 프로세스 이름으로 변경해 위장할 수 있으며, 간단한 XOR 암호를 사용해 명령제어(C&C) 서버에서 악성코드를 제어하는 특징이 있다고 설명했다. 해당 악성코드에 대해 HaxRob은 전 세계 통신 업체를 표적으로 삼는 LightBain 해커 그룹의 도구일 가능성이 크다고 언급했다.
다음으로 ‘마그넷고블린(Magnet Goblin)’으로 불리는 해커 그룹이 리눅스 악성코드인 ‘NebianRAT’를 유포한 정황이 발견됐다. 공격자는 보안 패치가 공개됐지만, 아직 적용되지 않은 상태의 원데이 취약점을 이용해 악성코드를 유포했다. 글로벌 보안업체 체크포인트 측은 ‘NebianRAT’를 사용하면 공격자가 감염된 시스템을 제어할 수 있다고 전했다. 또한 유포 과정에서 자격 증명을 도용하는 WARPWIRE 등의 페이로드가 함께 설치된다고 덧붙였다. 외신은 신속한 패치와 엔드포인트 보호 등이 이러한 공격의 영향을 완화하는데 도움이 될 수 있다고 언급했다.
보안업체 팔로알토 네트웍스의 유닛42(Unit 42)는 3월 중순에 ‘버니로더(BunnyLoader)’ 악성코드의 3.0 버전을 발견했다. 이번 버전은 기존 기능에서 재작성된 데이터 탈취 모듈과 향상된 키로깅 기능이 추가되고 페이로드의 크기가 감소했다. 이 외에도 새로운 DoS 기능을 통합해 대상 URL에 대한 HTTP Flood 공격을 수행하며 각 모듈을 별도의 바이너리로 분할했다. 유닛42 측은 공격자가 버니로더에 내장된 명령을 사용해 특정 악성코드를 로드할 수 있다고 언급했다. 또한 MaaS 환경에서 악성코드가 탐지를 회피하기 위해 계속 발전하고 있어 주의가 필요하다고 전했다.
보안업체 넷스코프(Netskope)는 가짜 구글 사이트를 사용해 ‘아조럴트(AZORult)’ 악성코드를 유포하는 피싱 캠페인을 발견했다. 공격자는 위조된 구글 문서 도구 페이지를 생성해 사용자가 방문하면 자동으로 파일을 내려받는 HTML 스머글링(Smuggling) 기법으로 악성코드를 배포한다. 악성코드가 설치되면 웹 브라우저와 스크린샷 및 특정 확장자를 가진 문서에서 자격 증명과 쿠키 등을 수집하고 암호화폐 지갑 정보와 함께 탈취한다. 또한, AMSI 우회 기술을 사용해 윈도 디펜더를 포함한 보안 프로그램의 탐지를 회피한다. 넷스코프 측은 해당 피싱 캠페인의 목적이 다크웹에서 판매할 민감 데이터를 수집하는 것으로 보인다고 언급했다.
3월 말에는 전 세계 수천 대의 오래된 ASUS 라우터를 노리는 ‘더문(TheMoon)’ 악성코드가 다시 등장했다. 공격자는 이미 알려진 취약점과 잠재적으로 취약한 자격 증명을 활용해 ASUS 라우터에 접근한다. 그 이후 라우터와 호환할 수 있는 셀 환경을 검색하고 악성코드를 배포해 지속성을 유지한다. 감염된 시스템에서는 외부에서 들어오는 트래픽 조작과 C&C 서버와의 통신으로 기능 확장 등을 할 수 있다. 외신은 라우터 장비의 수명이 다해 제조업체에서 더는 지원하지 않는 모델은 적극적으로 교체할 것을 권장했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>