잉카인터넷 시큐리티대응센터, 1월 악성코드 동향 보고서 발표
[보안뉴스 김영명 기자] 2024년 1월 한 달간 국내에서 발견된 악성코드를 조사했을 때 진단명 별로는 ‘리네이머(Renamer)’가 64%로 가장 높은 비중을 차지했고, ‘글룹테바(Glupteba)’ 악성코드가 그 뒤를 따랐다.
[이미지=gettyimagesbank]
잉카인터넷 시큐리티대응센터는 최근 올해 1월 1일부터 1월 31일까지 사용자에게 가장 많은 피해를 준 악성코드 현황을 조사해 발표했다. 세부적으로 보면, △리네이머(Renamer) 64% △글룹테바(Glupteba) 31% △KMSAuto 2% △Agent 1% △그 외 2% 등이다.
1월에 발견된 악성코드를 12월과 비교해 유형별로 분석했을 때는 모든 유형에서 증가하는 추이를 보였다. 트로이목마는 12월에 3만 7,623건에서 1월에는 6만 3,695건으로, 랜섬웨어는 8,474건에서 2만 225건으로, 웜은 3,101건에서 1만 8,012건으로 증가했다. 이어 백도어는 7,595건에서 1만 1,599건으로, 그 외에 정상적인 실행파일에서는 쓰이지 않고 사용자 의심을 피하기 위해 정상 프로그램으로 위장한 악의적인 의도를 가진 유형인 Suspicious는 4,851건에서 1만 1,069건으로 증가한 것을 알 수 있다.
▲2024년 1월 악성코드 진단 비율[자료=잉카인터넷 시큐리티대응센터]
1월 한 달 동안 주 단위로 악성코드 진단 현황을 살펴봤다. 12월에는 첫째주와 비교해 둘째 주에서 소폭 감소하고 그 다음 셋째 주와 넷째 주에 꾸준히 증가하는 추세였지만, 1월에는 첫째주부터 셋째 주까지 3주 연속으로 감소하는 추세를 보였다가 셋째 주 이후부터 다시 증가하는 추이를 보였다.
▲2024년 1월 악성코드 유형별 진단 수 비교[자료=잉카인터넷 시큐리티대응센터]
올해 1월 한 달간 등장한 악성코드를 조사한 결과, 무료 랜섬웨어 복호화 도구인 ‘White Phoenix’의 온라인 버전이 공개됐다. 또한 크랙 소프트웨어를 이용해 유포하는 ‘Lummac2’ 악성코드와 ‘NS-Stealer’ 악성코드가 발견됐다. 이외에도 암호화폐 채굴 캠페인이 유포한 ‘NoaBot’ 악성코드와 멕시코의 대기업을 공격한 ‘AllaKoreRAT’ 악성코드 변종이 포착됐다.
▲2024년 1월 주 단위 악성코드 진단 현황[자료=잉카인터넷 시큐리티대응센터]
먼저 1월 초에는 최근 크랙 소프트웨어와 관련된 유튜브 동영상을 이용해 ‘Lummac2’ 악성코드의 다운로를 유도하는 캠페인이 발견됐다. 공격자는 유튜버의 계정을 탈취한 후 ZIP 파일을 다운로드할 수 있는 악성 링크와 함께 미끼 동영상을 업로드한다. 이때 ZIP 파일이 포함한 LNK 파일은 파워쉘과 GitHub 플랫폼을 이용해 ‘Lummac2’ 악성코드를 실행한다. 해당 악성코드는 사용자 자격 증명, 브라우저 데이터 및 확장 프로그램을 포함한 민감 정보를 탈취한 후 공격자의 명령제어(C&C) 서버로 데이터를 전송한다. 이에 보안업체 포티넷(Fortinet)은 불분명한 소스가 아닌 안전하고 합법적인 출처에서 소프트웨어를 다운로드할 것을 당부했다.
1월 중순에는 보안업체 아카마이(Akamai)의 연구원이 2023년 초부터 활동해 온 암호화폐 채굴 캠페인을 발견했다. 해당 캠페인은 2016년에 소스코드가 유출된 미라이(Mirai) 봇넷을 기반으로 한 새로운 ‘노아봇(NoaBot)’ 악성코드를 SSH 프로토콜로 유포한다.노아봇은 자체 확산하며 추가 페이로드 다운로드 및 SSH 키 백도어를 포함하고 있다. 그리고 사전 공격을 이용해 취약한 서버에 침입한 후, 암호화폐 채굴기를 다운로드 및 실행한다. 아카마이 연구원은 노아봇이 난독화와 사용자 지정 코드를 사용해 공격자의 정보가 노출되는 것을 방지하고 있다고 언급했다.
디스코드 봇을 이용해 탈취한 데이터를 유출하는 ‘NS-Stealer’ 악성코드가 발견됐다. 공격자는 자바(Java)를 기반으로 한 NS-Stealer 악성코드를 유포할 때 크랙 소프트웨어로 위장한 ZIP 파일을 이용한 것으로 알려졌다. 악성코드는 화면을 캡처하고 브라우저에 저장된 쿠키와 자격 증명 및 시스템 정보를 수집해 압축한다. 그 이후 디스코드 봇을 이용해 공격자의 채널에 압축한 파일을 업로드하면서 유출한다. 보안업체 트렐릭스(Trellix) 측은 디스코드 봇을 이용하는 이러한 방식은 탈취한 데이터를 유포할 때 자주 사용되는 방식이라고 언급했다.
금전적 이득을 위해 멕시코의 대기업을 공격하는 ‘AllakoreRAT’ 악성코드의 변종이 발견됐다. 보안업체 블랙베리(BlackBerry)는 AlakoreRAT가 키로그와 화면 캡처 및 원격 제어 등으로 금융 데이터를 탈취한다고 소개했다. 공격자는 IMSS(Mexican Social Security Institute) 지불 시스템과 소프트웨어 업데이트 파일 등 합법적인 자원을 이용해 악성코드를 유포했다. 특히 이번에 발견된 샘플에서는 멕시코 금융기관을 표적으로 하는 명령어와 함께 IP 위치 서비스로 사용자의 지리적 위치를 확인하는 동작이 확인됐다. 또한 파일을 다운로드하고 실행하는 로더의 기능이 추가돼 악성 바이너리에 하드 코딩되지 않은 구성 요소도 설치하는 것으로 알려졌다. 블랙베리 측은 공격지가 해당 악성코드를 사용해 2년이 넘는 기간에 공격하고 있으며 현재까지 멈출 기미가 보이지 않는다고 설명했다.
1월 말에는 무료 랜섬웨어 복호화 프로그램인 ‘White Phoenix’의 온라인 버전이 공개됐다. 보안 업체 사이버아크(CyberArk)는 ‘White Phoenix’가 간헐적으로 암호화된 파일의 구문을 분석해 복구한다고 소개했다. 이때 복구할 수 있는 파일의 종류로는 PDF, Word 문서 및 ZIP 파일을 포함한 5가지 유형으로 알려졌다. 또한 현재까지 Blackcat과 Play 등 6개의 랜섬웨어가 암호화한 파일을 복호화했다고 전해졌다. 한편 사이버아크 측은 온라인 버전에서 복구할 수 있는 파일의 크기가 10MB로 제한돼 용량이 큰 파일은 깃허브(GitHub) 플랫폼에서 공유 중인 오프라인 버전의 사용을 권장했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>