피싱 사이트로 유포된 AdsExhaust 애드웨어, 중국 기업 대상 SquidLoader 유포 캠페인도
[보안뉴스 김영명 기자] 올해 6월 한 달 동안 국내외에서 수집된 악성코드 현황을 조사한 결과, 유형별로 비교했을 때 트로이목마(Trojan)가 48%로 가장 높은 비중을 차지했으며, 그 다음으로 바이러스(Virus)가 11%로 뒤를 따랐다.
[이미지=gettyimagesbank]
잉카인터넷 시큐리티대응센터가 6월 1일부터 30일까지 한 달간 발견된 악성코드를 조사해 분석한 결과를 보면 먼저 피싱 사이트를 이용해 유포된 ‘AdsExhaust’ 애드웨어가 발견됐다. 그리고 해외 안드로이드 사용자를 공격하는 ‘Aridspy’ 악성코드, 중국 기업을 대상으로 하는 ‘SquidLoader’ 악성코드 유포 캠페인이 알려졌다. 이외에도 리눅스 환경을 공격하는 ‘TargetCompany’ 랜섬웨어 변종과 랜섬웨어를 유포하는 ‘P2Pinfect’ 봇넷 변종의 등장 소식이 전해졌다.
먼저 6월 초에는 리눅스의 VMware ESXi 환경을 공격하는 ‘TargetCompany’ 랜섬웨어 변종이 발견됐다. 보안기업 트렌드 마이크로(TrendMicro)에서는 시스템 정보를 텍스트 파일에 저장한 후 내용을 공격자의 C&C 서버로 전송하는 동작이 이전에 발견된 윈도 버전과 유사하다고 설명했다. 하지만 신종 리눅스 변종은 공격자의 서버 두 곳에 데이터를 전송한다는 차이점이 있어 서버에 문제가 생기면 백업을 확보하려는 것으로 보인다고 덧붙였다. 이외에도 쉘 스크립트를 사용해 랜섬웨어 페이로드를 다운로드, 실행 및 삭제하는 특징이 있다고 언급했다. 또한 암호화가 완료된 파일에는 ‘.locked’ 확장자를 추가하고 ‘HOW TO DECRYPT’라는 이름의 메모장 파일로 랜섬노트를 생성한다고 전했다.
▲2024년 6월 진단명별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]
보안 업체 이셋(ESET)은 6월 중순에 이집트와 팔레스타인의 안드로이드 사용자를 공격하는 ‘Aridspy’ 악성코드 분석 보고서를 공개했다. 해당 악성코드는 취업 구인 공고 애플리케이션이나 메신저 앱으로 위장해 사용자가 다운로드한 후 실행하도록 유도한다. 실행된 앱은 사용자의 기기에서 백신 앱 설치 여부를 확인한 후, Google Play 업데이트 서비스를 가장한 최종 페이로드를 다운로드한다. 최종 페이로드는 공격자의 명령에 따라 기기의 위치와 연락처 목록 및 키로깅으로 데이터를 모으고 공격자의 C&C 서버로 전송한다. 이셋 측은 “Aridspy가 계속해서 다른 버전으로 유지 관리 중”이라며 “새로운 기능을 탑재한 변종에 주의할 것”이라고 당부했다.
또한 최근에 중국 기업들을 대상으로 ‘SquidLoader’ 악성코드를 유포하는 피싱 캠페인이 발견됐다. 보안 업체 레벨블루(LevelBlue)는 공격자가 워드 문서로 위장한 악성코드를 피싱 메일에 첨부해 사용자에게 전송한다고 전했다. 사용자가 첨부 파일을 실행하면 악성코드는 공격자의 C&C 서버에서 다음 단계의 페이로드를 다운로드해 실행한다고 설명했다. 이때 다운로드된 페이로드는 암호화, 제어 흐름 그래프(CFG) 난독화 및 시스템 호출 방식을 이용해 탐지를 회피한다고 덧붙였다. 또한 디버거와 안티 바이러스 소프트웨어의 설치 여부를 확인하고, 탐지되지 않았을 경우 추가 페이로드를 다운로드한다고 밝혔다.
보안업체 이센타이어(eSentire)의 연구팀에서 정상 프로그램으로 위장한 ‘AdsExhaust’ 애드웨어를 발견한 소식을 전했다. 공격자는 VR 관련 프로그램의 설치 페이지로 가장한 피싱 사이트를 이용해 사용자가 악성코드를 설치한 후 실행하도록 유도한다. 해당 악성코드는 특정 링크에 접속해 광고를 실행하고 사용자의 정보를 수집한 후, 공격자의 C&C 서버로 전송한다. 또한, 마우스 움직임 등의 특정 행동을 감지하면 실행 중인 광고 페이지를 종료하고 악성코드를 실행하기 전의 스크린샷을 오버레이해 동작을 숨긴다. 이센타이어 측은 “웹에서 파일을 다운로드하기 이전에 해당 페이지의 신뢰성을 확인할 필요가 있다”고 당부했다.
보안 업체 카도 시큐리티(Cado Security)가 크립토마이너와 랜섬웨어를 실행하는 ‘P2Pinfect’ 봇넷의 변종을 발견했다. 해당 악성코드는 지난해 7월에 처음 발견됐으며, 당시 알려진 취약점을 이용해 레디스(Redis) 서버를 공격한 것으로 알려졌다. 한편 새로 발견된 변종은 감염된 기기에서 지정된 링크로 접속해 랜섬웨어 페이로드를 다운로드하고 실행한다고 전해졌다. 카도 시큐리티 측은 랜섬웨어 레이로드가 동작하면 데이터베이스와 문서 파일 등을 암호화한 후, 파일명에 확장자를 추가하고 랜섬노트를 생성한다고 설명했다. 또한 P2Pinfect가 이전 버전에서는 휴면 상태로 보였던 XMR 채굴이 활성화된 상태이며 현재까지 약 10,000달러(한화 약 1,384만원)를 벌었다고 덧붙였다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>