6월의 악성코드, ‘트로이목마’가 절반에 가까운 비중으로 영향력 과시

2024-07-09 03:05
  • 카카오톡
  • 네이버 블로그
  • url
잉카인터넷, 2024년 6월 악성코드 동향 보고서 발표
피싱 사이트로 유포된 AdsExhaust 애드웨어, 중국 기업 대상 SquidLoader 유포 캠페인도


[보안뉴스 김영명 기자] 올해 6월 한 달 동안 국내외에서 수집된 악성코드 현황을 조사한 결과, 유형별로 비교했을 때 트로이목마(Trojan)가 48%로 가장 높은 비중을 차지했으며, 그 다음으로 바이러스(Virus)가 11%로 뒤를 따랐다.


[이미지=gettyimagesbank]

잉카인터넷 시큐리티대응센터가 6월 1일부터 30일까지 한 달간 발견된 악성코드를 조사해 분석한 결과를 보면 먼저 피싱 사이트를 이용해 유포된 ‘AdsExhaust’ 애드웨어가 발견됐다. 그리고 해외 안드로이드 사용자를 공격하는 ‘Aridspy’ 악성코드, 중국 기업을 대상으로 하는 ‘SquidLoader’ 악성코드 유포 캠페인이 알려졌다. 이외에도 리눅스 환경을 공격하는 ‘TargetCompany’ 랜섬웨어 변종과 랜섬웨어를 유포하는 ‘P2Pinfect’ 봇넷 변종의 등장 소식이 전해졌다.

먼저 6월 초에는 리눅스의 VMware ESXi 환경을 공격하는 ‘TargetCompany’ 랜섬웨어 변종이 발견됐다. 보안기업 트렌드 마이크로(TrendMicro)에서는 시스템 정보를 텍스트 파일에 저장한 후 내용을 공격자의 C&C 서버로 전송하는 동작이 이전에 발견된 윈도 버전과 유사하다고 설명했다. 하지만 신종 리눅스 변종은 공격자의 서버 두 곳에 데이터를 전송한다는 차이점이 있어 서버에 문제가 생기면 백업을 확보하려는 것으로 보인다고 덧붙였다. 이외에도 쉘 스크립트를 사용해 랜섬웨어 페이로드를 다운로드, 실행 및 삭제하는 특징이 있다고 언급했다. 또한 암호화가 완료된 파일에는 ‘.locked’ 확장자를 추가하고 ‘HOW TO DECRYPT’라는 이름의 메모장 파일로 랜섬노트를 생성한다고 전했다.


▲2024년 6월 진단명별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]

보안 업체 이셋(ESET)은 6월 중순에 이집트와 팔레스타인의 안드로이드 사용자를 공격하는 ‘Aridspy’ 악성코드 분석 보고서를 공개했다. 해당 악성코드는 취업 구인 공고 애플리케이션이나 메신저 앱으로 위장해 사용자가 다운로드한 후 실행하도록 유도한다. 실행된 앱은 사용자의 기기에서 백신 앱 설치 여부를 확인한 후, Google Play 업데이트 서비스를 가장한 최종 페이로드를 다운로드한다. 최종 페이로드는 공격자의 명령에 따라 기기의 위치와 연락처 목록 및 키로깅으로 데이터를 모으고 공격자의 C&C 서버로 전송한다. 이셋 측은 “Aridspy가 계속해서 다른 버전으로 유지 관리 중”이라며 “새로운 기능을 탑재한 변종에 주의할 것”이라고 당부했다.

또한 최근에 중국 기업들을 대상으로 ‘SquidLoader’ 악성코드를 유포하는 피싱 캠페인이 발견됐다. 보안 업체 레벨블루(LevelBlue)는 공격자가 워드 문서로 위장한 악성코드를 피싱 메일에 첨부해 사용자에게 전송한다고 전했다. 사용자가 첨부 파일을 실행하면 악성코드는 공격자의 C&C 서버에서 다음 단계의 페이로드를 다운로드해 실행한다고 설명했다. 이때 다운로드된 페이로드는 암호화, 제어 흐름 그래프(CFG) 난독화 및 시스템 호출 방식을 이용해 탐지를 회피한다고 덧붙였다. 또한 디버거와 안티 바이러스 소프트웨어의 설치 여부를 확인하고, 탐지되지 않았을 경우 추가 페이로드를 다운로드한다고 밝혔다.

보안업체 이센타이어(eSentire)의 연구팀에서 정상 프로그램으로 위장한 ‘AdsExhaust’ 애드웨어를 발견한 소식을 전했다. 공격자는 VR 관련 프로그램의 설치 페이지로 가장한 피싱 사이트를 이용해 사용자가 악성코드를 설치한 후 실행하도록 유도한다. 해당 악성코드는 특정 링크에 접속해 광고를 실행하고 사용자의 정보를 수집한 후, 공격자의 C&C 서버로 전송한다. 또한, 마우스 움직임 등의 특정 행동을 감지하면 실행 중인 광고 페이지를 종료하고 악성코드를 실행하기 전의 스크린샷을 오버레이해 동작을 숨긴다. 이센타이어 측은 “웹에서 파일을 다운로드하기 이전에 해당 페이지의 신뢰성을 확인할 필요가 있다”고 당부했다.

보안 업체 카도 시큐리티(Cado Security)가 크립토마이너와 랜섬웨어를 실행하는 ‘P2Pinfect’ 봇넷의 변종을 발견했다. 해당 악성코드는 지난해 7월에 처음 발견됐으며, 당시 알려진 취약점을 이용해 레디스(Redis) 서버를 공격한 것으로 알려졌다. 한편 새로 발견된 변종은 감염된 기기에서 지정된 링크로 접속해 랜섬웨어 페이로드를 다운로드하고 실행한다고 전해졌다. 카도 시큐리티 측은 랜섬웨어 레이로드가 동작하면 데이터베이스와 문서 파일 등을 암호화한 후, 파일명에 확장자를 추가하고 랜섬노트를 생성한다고 설명했다. 또한 P2Pinfect가 이전 버전에서는 휴면 상태로 보였던 XMR 채굴이 활성화된 상태이며 현재까지 약 10,000달러(한화 약 1,384만원)를 벌었다고 덧붙였다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

    • 제이슨

    • 라온시큐어

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기