잉카인터넷 시큐리티대응센터, 9월 악성코드 동향 보고서 발표
WailingCrab 악성코드 캠페인, KTLVdoor 백도어, PDiddySploit 악성코드 등 발견
[보안뉴스 김영명 기자] 9월 한 달 사이에 국내외에서 수집된 악성코드 현황을 조사, 분석하고 유형별로 비교했을 때 트로이목마(Trojan)가 43%로 가장 높은 비중을 차지했고, 바이러스(Virus)가 12%로 그 뒤를 이었다. 이는 지난 8월과도 같은 패턴이지만, 트로이목마의 영향력이 8월보다는 5% 남짓 줄어든 수치다.
[이미지=gettyimagesbank]
잉카인터넷 시큐리티대응센터는 최근 9월의 악성코드 동향 보고서를 발표했다. 9월 1일부터 30일까지 한 달간 등장한 악성코드를 조사한 결과, 검색 결과를 스푸핑해 ‘WailingCrab’ 악성코드를 배포한 캠페인이 발견됐다. 또한 다양한 시스템 유틸리티의 이름을 사칭한 ‘KTLVdoor’ 백도어와 유명한 스캔들 관련 파일로 위장한 ‘PDiddySploit’ 악성코드가 유포됐다. 이외에도 리눅스 시스템을 공격하는 ‘Hadooken’ 악성코드와 안드로이드 시스템을 공격하는 ‘Necro’ 악성코드가 발견된 소식이 전해졌다.
▲2024년 9월 악성코드 유형별 비율[자료=잉카인터넷 시큐리티대응센터]
보안업체 팔로알토 네트웍스(Palo Alto Networks)는 9월 초에 Unit42에서 검색 결과를 악용해 ‘WailingCrab’ 악성코드 변종을 배포한 캠페인 분석 결과를 발표했다. 공격자가 기존에 피싱 메일을 사용하던 방법에서 사용자의 소프트웨어 검색 결과를 스푸핑하는 SEO Poisoning 방법으로 유포 방식을 바꿨다고 전했다. 이 같은 방법으로 악성 사이트가 검색 결과 상위에 노출되도록 만들어 사용자의 접속을 유도한 후 정상 파일로 위장한 악성 설치 파일을 제공한다고 언급했다.
이때 다운로드된 파일은 ‘WailingCrab’ 악성코드를 설치하며, 이 과정에서 클라우드 기반의 깃(Git) 저장소와 정상 소프트웨어 이름을 악용한 악성 사이트가 사용됐다고 덧붙였다. 이외에도 사용자에게 접근하는 최초 접근 브로커(IAB)를 최소 2개 이상 사용한 것으로 추정되며, 분석 방지와 엔드포인트 탐지 및 대응 기술을 사용하는 특징이 있다고 설명했다.
다양한 시스템 유틸리티의 이름과 유사한 도구를 사칭해 유포되고 있는 ‘KTLVdoor’ 백도어가 새롭게 발견됐다. 해당 백도어는 동적 링크 라이브러리(.dll)나 공유 객체(.so) 형태에 난독화된 상태로 배포된 사실이 밝혀졌다. 또한 Go 언어로 작성돼 윈도와 리눅스 시스템 모두를 공격할 수 있다는 특징이 있는 것으로 알려졌다.
KTLVdoor 백도어는 이외에도 50개가 넘는 공격자의 C&C 서버와 암호화된 통신을 하면서 명령 실행과 파일 다운로드 및 원격 포트 스캔 등의 동작을 수행하는 것으로 알려졌다. 이에 대해 보안업체 트렌드 마이크로(Trend Micro) 측은 공격자의 C&C 서버 인프라 정보를 바탕으로 중국의 해킹그룹 어스루스카(Earth Lusca)와 연관됐을 가능성이 크다고 언급했다.
클라우드 보안업체 아쿠아(Aqua)는 9월 중순에 리눅스 환경을 공격해 암호화폐 채굴을 실시하는 악성코드 캠페인을 발표했다. 공격자는 알려진 보안 취약점과 잘못된 구성을 악용해 취약한 인스턴스에서 임의의 코드를 실행한다고 전했다. 이후에는 공격자의 원격 서버에서 암호화폐 채굴기와 DDoS 봇넷을 내장한 ‘Hadooken’ 악성코드를 다운로드한다고 언급했다. ‘Hadooken’ 악성코드는 크론 작업을 생성해 지속해서 암호화폐 채굴기를 실행하며, 아티팩트를 삭제해 악의적인 활동을 숨기는 등의 방어 회피 기능도 있다고 덧붙였다. 이에 대해 아쿠아 측은 해당 캠페인이 특히 Oracle Weblogic 서버를 표적으로 삼고 있으며, 공격 과정에 리눅스 랜섬웨어가 도입될 가능성이 있다고 밝혔다.
구글 플레이 스토어에서 9월 말에 ‘Necro’ 악성코드를 정상 앱으로 속여 배포한 캠페인이 발견됐다. 보안업체 카스퍼스키(Kaspersky) 측은 해당 악성코드가 소프트웨어 개발키트(SDK)를 이용해 악성코드에 광고 기능을 통합했다고 전했다. 또한 스테가노그래피 기법을 이용해 이미지 파일에 페이로드를 숨겨두는 특징이 있다고 덧붙였다. 이외에도 공격자의 C&C 서버에서 추가로 DEX 파일을 다운로드해 실행하고, 사용자의 기기에서 유료 서비스를 구독하는 등의 동작을 수행한다. 이에 대해 사용자의 장치에 신뢰할 수 있는 보안 솔루션을 사용해 악성 소프트웨어를 설치하려는 시도를 방지하라고 권고했다.
보안업체 베리티(Veriti)에서 유명인 스캔들 관련 파일로 위장해 사용자에게 ‘PDiddySploit’ 악성코드를 유포한 정황을 발견했다. 공격자는 주로 SNS에서 유명인 스캔들 관련 게시물과 댓글을 이용해 사용자가 악성코드를 다운로드하고 실행하도록 유도했다.
해당 악성코드는 오픈소스 기반의 ‘PySilon RAT’의 변형이며, 원격에서 명령을 실행한다. 이 외에도 키로깅과 화면 녹화 및 민감 정보 탈취 등의 기능이 있다. 이에 대해 베리티 측은 삭제된 게시물이나 유명인 스캔들과 관련된 독점 콘텐츠를 포함한다고 주장하는 파일을 다운로드하기 전에 출처를 확인하라고 당부했다.
[김영명 기자(boan@boannews.com)]
WailingCrab 악성코드 캠페인, KTLVdoor 백도어, PDiddySploit 악성코드 등 발견
[보안뉴스 김영명 기자] 9월 한 달 사이에 국내외에서 수집된 악성코드 현황을 조사, 분석하고 유형별로 비교했을 때 트로이목마(Trojan)가 43%로 가장 높은 비중을 차지했고, 바이러스(Virus)가 12%로 그 뒤를 이었다. 이는 지난 8월과도 같은 패턴이지만, 트로이목마의 영향력이 8월보다는 5% 남짓 줄어든 수치다.
[이미지=gettyimagesbank]
잉카인터넷 시큐리티대응센터는 최근 9월의 악성코드 동향 보고서를 발표했다. 9월 1일부터 30일까지 한 달간 등장한 악성코드를 조사한 결과, 검색 결과를 스푸핑해 ‘WailingCrab’ 악성코드를 배포한 캠페인이 발견됐다. 또한 다양한 시스템 유틸리티의 이름을 사칭한 ‘KTLVdoor’ 백도어와 유명한 스캔들 관련 파일로 위장한 ‘PDiddySploit’ 악성코드가 유포됐다. 이외에도 리눅스 시스템을 공격하는 ‘Hadooken’ 악성코드와 안드로이드 시스템을 공격하는 ‘Necro’ 악성코드가 발견된 소식이 전해졌다.
▲2024년 9월 악성코드 유형별 비율[자료=잉카인터넷 시큐리티대응센터]
보안업체 팔로알토 네트웍스(Palo Alto Networks)는 9월 초에 Unit42에서 검색 결과를 악용해 ‘WailingCrab’ 악성코드 변종을 배포한 캠페인 분석 결과를 발표했다. 공격자가 기존에 피싱 메일을 사용하던 방법에서 사용자의 소프트웨어 검색 결과를 스푸핑하는 SEO Poisoning 방법으로 유포 방식을 바꿨다고 전했다. 이 같은 방법으로 악성 사이트가 검색 결과 상위에 노출되도록 만들어 사용자의 접속을 유도한 후 정상 파일로 위장한 악성 설치 파일을 제공한다고 언급했다.
이때 다운로드된 파일은 ‘WailingCrab’ 악성코드를 설치하며, 이 과정에서 클라우드 기반의 깃(Git) 저장소와 정상 소프트웨어 이름을 악용한 악성 사이트가 사용됐다고 덧붙였다. 이외에도 사용자에게 접근하는 최초 접근 브로커(IAB)를 최소 2개 이상 사용한 것으로 추정되며, 분석 방지와 엔드포인트 탐지 및 대응 기술을 사용하는 특징이 있다고 설명했다.
다양한 시스템 유틸리티의 이름과 유사한 도구를 사칭해 유포되고 있는 ‘KTLVdoor’ 백도어가 새롭게 발견됐다. 해당 백도어는 동적 링크 라이브러리(.dll)나 공유 객체(.so) 형태에 난독화된 상태로 배포된 사실이 밝혀졌다. 또한 Go 언어로 작성돼 윈도와 리눅스 시스템 모두를 공격할 수 있다는 특징이 있는 것으로 알려졌다.
KTLVdoor 백도어는 이외에도 50개가 넘는 공격자의 C&C 서버와 암호화된 통신을 하면서 명령 실행과 파일 다운로드 및 원격 포트 스캔 등의 동작을 수행하는 것으로 알려졌다. 이에 대해 보안업체 트렌드 마이크로(Trend Micro) 측은 공격자의 C&C 서버 인프라 정보를 바탕으로 중국의 해킹그룹 어스루스카(Earth Lusca)와 연관됐을 가능성이 크다고 언급했다.
클라우드 보안업체 아쿠아(Aqua)는 9월 중순에 리눅스 환경을 공격해 암호화폐 채굴을 실시하는 악성코드 캠페인을 발표했다. 공격자는 알려진 보안 취약점과 잘못된 구성을 악용해 취약한 인스턴스에서 임의의 코드를 실행한다고 전했다. 이후에는 공격자의 원격 서버에서 암호화폐 채굴기와 DDoS 봇넷을 내장한 ‘Hadooken’ 악성코드를 다운로드한다고 언급했다. ‘Hadooken’ 악성코드는 크론 작업을 생성해 지속해서 암호화폐 채굴기를 실행하며, 아티팩트를 삭제해 악의적인 활동을 숨기는 등의 방어 회피 기능도 있다고 덧붙였다. 이에 대해 아쿠아 측은 해당 캠페인이 특히 Oracle Weblogic 서버를 표적으로 삼고 있으며, 공격 과정에 리눅스 랜섬웨어가 도입될 가능성이 있다고 밝혔다.
구글 플레이 스토어에서 9월 말에 ‘Necro’ 악성코드를 정상 앱으로 속여 배포한 캠페인이 발견됐다. 보안업체 카스퍼스키(Kaspersky) 측은 해당 악성코드가 소프트웨어 개발키트(SDK)를 이용해 악성코드에 광고 기능을 통합했다고 전했다. 또한 스테가노그래피 기법을 이용해 이미지 파일에 페이로드를 숨겨두는 특징이 있다고 덧붙였다. 이외에도 공격자의 C&C 서버에서 추가로 DEX 파일을 다운로드해 실행하고, 사용자의 기기에서 유료 서비스를 구독하는 등의 동작을 수행한다. 이에 대해 사용자의 장치에 신뢰할 수 있는 보안 솔루션을 사용해 악성 소프트웨어를 설치하려는 시도를 방지하라고 권고했다.
보안업체 베리티(Veriti)에서 유명인 스캔들 관련 파일로 위장해 사용자에게 ‘PDiddySploit’ 악성코드를 유포한 정황을 발견했다. 공격자는 주로 SNS에서 유명인 스캔들 관련 게시물과 댓글을 이용해 사용자가 악성코드를 다운로드하고 실행하도록 유도했다.
해당 악성코드는 오픈소스 기반의 ‘PySilon RAT’의 변형이며, 원격에서 명령을 실행한다. 이 외에도 키로깅과 화면 녹화 및 민감 정보 탈취 등의 기능이 있다. 이에 대해 베리티 측은 삭제된 게시물이나 유명인 스캔들과 관련된 독점 콘텐츠를 포함한다고 주장하는 파일을 다운로드하기 전에 출처를 확인하라고 당부했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
