안랩 ASEC 분석팀에서 집계한 2월 첫째 주 주간 악성코드 통계 살펴보니
2, 3위도 정보탈취 목적의 인포스틸러 악성코드 ‘Formbook’, ‘Lokibot’ 순
랜섬웨어 발견 안 돼...불특정 다수보다는 기업 타깃으로의 공격방식 변화 드러내
[보안뉴스 권 준 기자] 설날 연휴를 앞두고 있던 2021년 2월 첫째 주에는 인포스틸러(정보탈취) 유형의 악성코드가 가장 많이 발견된 것으로 집계됐다.
보안전문 업체 안랩의 ASEC 분석팀이 ASEC 자동 분석 시스템 ‘RAPIT’를 활용해 2월 1일부터 7일까지 발견된 악성코드를 분석한 결과, 인포스틸러 악성코드인 ‘AgentTesla’가 1위를 차지했고, 2위와 3위도 인포스틸러 악성코드인 ‘Formbook’, ‘Lokibot’이었던 것으로 드러났다.
[이미지=utoimage]
대분류 상으로 인포스틸러가 70.9%로 압도적 1위를 차지했으며, 그 다음으로는 코인 마이너(암호화폐 채굴)가 13.7%, RAT 악성코드가 13.2%를 나타냈다. 이 외에 다운로더는 2.2%로 집계됐는데, 주목할 만한 점은 뱅킹 악성코드와 랜섬웨어가 2월 첫째 주는 1건도 발견되지 않았다는 점이다.
특히, 랜섬웨어의 경우 불특정 다수의 개인에게 유포하는 방식 대신 기업을 타깃으로 랜섬웨어 공격을 한 뒤 다크웹에 일부 정보를 공개하고 협박하는 방식으로 변모되고 있다는 점을 단적으로 보여주는 통계라고 할 수 있다.
△1위 : 인포스틸러 악성코드 ‘AgentTesla’
2월 첫째 주에는 인포스틸러 악성코드 AgentTesla는 22.9%를 차지하며 1위를 기록했다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출한다. 대부분 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O.–Purchase Order) 등으로 위장한 스팸 메일을 통해 유포되기 때문에 파일 이름도 동일하게 위와 같은 이름이 사용된다. 또한, 확장자의 경우 pdf, xlsx와 같은 문서 파일이나 .dwg 즉 Auto CAD 도면 파일로 위장한 것들도 다수 존재하는 것으로 분석됐다.
△2위 : 인포스틸러 악성코드 ‘Formbook’
Formbook은 인포스틸러 악성코드로서 19.4%를 차지하며 2위에 올랐다. 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다. Formbook 악성코드는 현재 실행 중인 정상 프로세스인 explorer.exe 및 system32 경로에 있는 또 다른 정상 프로세스에 인젝션함에 따라 악의적인 행위는 정상 프로세스에 의해 수행된다. 웹 브라우저의 사용자 계정 정보 외에도 키로깅, Clipboard Grabbing, 웹브라우저의 Form Grabbing 등 다양한 정보를 탈취할 수 있다.
▲2021년 2월 첫째 주 악성코드 통계[자료=안랩 ASEC 분석팀]
△3위 : 인포스틸러 악성코드 ‘Lokibot’
2월 첫째 주는 인포스틸러 악성코드 ‘Lokibot이 14.1% 로 3위를 차지했다. Lokibot은 웹브라우저, 메일 클라이언트, FTP 클라이언트 등의 프로그램들에 대한 정보를 유출한다. 스팸 메일을 통해 유포되는 다른 악성코드들처럼 스팸 메일 형태로 유포된다.
△4위 : 코인 마이너 악성코드 ‘Glupteba’
전체의 13.7%를 차지한 코인 마이너 악성코드 ‘Glupteba’는 다수의 추가 모듈을 다운로드하며 여러 기능을 갖지만 실질적으로는 XMR(모네로) 코인 마이너를 설치하는 게 주 목적이다. Glupteba는 실행되면 UAC Bypass를 거쳐서 TrustedInstaller의 권한을 이용해 시스템 권한을 갖게 된다. 그리고 C:Windowsrsscsrss.exe 이름으로 정상 프로세스를 위장하여 시스템에 상주한다. 이후 추가 모듈을 다운로드하는데, 그 대상으로는 프로세스 및 파일들을 숨기기 위한 루트킷 드라이버들이 있으며, 최종적으로 설치되는 악성코드는 XMR 코인 마이너 및 SMB 취약점을 통한 전파를 위한 이터널 블루(Eternal Blue) 패키지가 있다. 현재 확인된 Glupteba 대부분은 PUP를 통해 다운로드되는 방식으로 유포 중이다.
△5위 : 인포스틸러/다운로더 악성코드 ‘Smoke Loader’
스모크로더(Smoke Loader)는 인포스틸러 및 다운로더 악성코드로서 2월 첫째 주에 5위를 차지했다. 지난 2011년부터 알려지기 시작한 스모크로더 악성코드는 오랜 기간 동안 공격자들에 의해 사용되며 최근까지도 꾸준히 유포되고 있다. 특히, 2018년에는 암호화폐 채굴 악성코드 유포에 사용되는 등 다양한 기능뿐만 아니라 탐지를 회피할 수 있는 여러 기법들로 인하여 공격자들로부터 꾸준한 수요가 있는 악성코드라는 게 안랩 ASEC 분석팀의 설명이다.
[권 준 기자(editor@boannews.com)]
2, 3위도 정보탈취 목적의 인포스틸러 악성코드 ‘Formbook’, ‘Lokibot’ 순
랜섬웨어 발견 안 돼...불특정 다수보다는 기업 타깃으로의 공격방식 변화 드러내
[보안뉴스 권 준 기자] 설날 연휴를 앞두고 있던 2021년 2월 첫째 주에는 인포스틸러(정보탈취) 유형의 악성코드가 가장 많이 발견된 것으로 집계됐다.
보안전문 업체 안랩의 ASEC 분석팀이 ASEC 자동 분석 시스템 ‘RAPIT’를 활용해 2월 1일부터 7일까지 발견된 악성코드를 분석한 결과, 인포스틸러 악성코드인 ‘AgentTesla’가 1위를 차지했고, 2위와 3위도 인포스틸러 악성코드인 ‘Formbook’, ‘Lokibot’이었던 것으로 드러났다.
[이미지=utoimage]
대분류 상으로 인포스틸러가 70.9%로 압도적 1위를 차지했으며, 그 다음으로는 코인 마이너(암호화폐 채굴)가 13.7%, RAT 악성코드가 13.2%를 나타냈다. 이 외에 다운로더는 2.2%로 집계됐는데, 주목할 만한 점은 뱅킹 악성코드와 랜섬웨어가 2월 첫째 주는 1건도 발견되지 않았다는 점이다.
특히, 랜섬웨어의 경우 불특정 다수의 개인에게 유포하는 방식 대신 기업을 타깃으로 랜섬웨어 공격을 한 뒤 다크웹에 일부 정보를 공개하고 협박하는 방식으로 변모되고 있다는 점을 단적으로 보여주는 통계라고 할 수 있다.
△1위 : 인포스틸러 악성코드 ‘AgentTesla’
2월 첫째 주에는 인포스틸러 악성코드 AgentTesla는 22.9%를 차지하며 1위를 기록했다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출한다. 대부분 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O.–Purchase Order) 등으로 위장한 스팸 메일을 통해 유포되기 때문에 파일 이름도 동일하게 위와 같은 이름이 사용된다. 또한, 확장자의 경우 pdf, xlsx와 같은 문서 파일이나 .dwg 즉 Auto CAD 도면 파일로 위장한 것들도 다수 존재하는 것으로 분석됐다.
△2위 : 인포스틸러 악성코드 ‘Formbook’
Formbook은 인포스틸러 악성코드로서 19.4%를 차지하며 2위에 올랐다. 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다. Formbook 악성코드는 현재 실행 중인 정상 프로세스인 explorer.exe 및 system32 경로에 있는 또 다른 정상 프로세스에 인젝션함에 따라 악의적인 행위는 정상 프로세스에 의해 수행된다. 웹 브라우저의 사용자 계정 정보 외에도 키로깅, Clipboard Grabbing, 웹브라우저의 Form Grabbing 등 다양한 정보를 탈취할 수 있다.
▲2021년 2월 첫째 주 악성코드 통계[자료=안랩 ASEC 분석팀]
△3위 : 인포스틸러 악성코드 ‘Lokibot’
2월 첫째 주는 인포스틸러 악성코드 ‘Lokibot이 14.1% 로 3위를 차지했다. Lokibot은 웹브라우저, 메일 클라이언트, FTP 클라이언트 등의 프로그램들에 대한 정보를 유출한다. 스팸 메일을 통해 유포되는 다른 악성코드들처럼 스팸 메일 형태로 유포된다.
△4위 : 코인 마이너 악성코드 ‘Glupteba’
전체의 13.7%를 차지한 코인 마이너 악성코드 ‘Glupteba’는 다수의 추가 모듈을 다운로드하며 여러 기능을 갖지만 실질적으로는 XMR(모네로) 코인 마이너를 설치하는 게 주 목적이다. Glupteba는 실행되면 UAC Bypass를 거쳐서 TrustedInstaller의 권한을 이용해 시스템 권한을 갖게 된다. 그리고 C:Windowsrsscsrss.exe 이름으로 정상 프로세스를 위장하여 시스템에 상주한다. 이후 추가 모듈을 다운로드하는데, 그 대상으로는 프로세스 및 파일들을 숨기기 위한 루트킷 드라이버들이 있으며, 최종적으로 설치되는 악성코드는 XMR 코인 마이너 및 SMB 취약점을 통한 전파를 위한 이터널 블루(Eternal Blue) 패키지가 있다. 현재 확인된 Glupteba 대부분은 PUP를 통해 다운로드되는 방식으로 유포 중이다.
△5위 : 인포스틸러/다운로더 악성코드 ‘Smoke Loader’
스모크로더(Smoke Loader)는 인포스틸러 및 다운로더 악성코드로서 2월 첫째 주에 5위를 차지했다. 지난 2011년부터 알려지기 시작한 스모크로더 악성코드는 오랜 기간 동안 공격자들에 의해 사용되며 최근까지도 꾸준히 유포되고 있다. 특히, 2018년에는 암호화폐 채굴 악성코드 유포에 사용되는 등 다양한 기능뿐만 아니라 탐지를 회피할 수 있는 여러 기법들로 인하여 공격자들로부터 꾸준한 수요가 있는 악성코드라는 게 안랩 ASEC 분석팀의 설명이다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
