2024년 1월, 악성코드 동향 분석해보니... 리네이머 악성코드 64% 차지

2024-02-12 12:14
  • 카카오톡
  • 네이버 블로그
  • url
악성코드 유형별로는 트로이목마, 랜섬웨어, 웜 순으로 진단돼
잉카인터넷 시큐리티대응센터, 1월 악성코드 동향 보고서 발표


[보안뉴스 김영명 기자] 2024년 1월 한 달간 국내에서 발견된 악성코드를 조사했을 때 진단명 별로는 ‘리네이머(Renamer)’가 64%로 가장 높은 비중을 차지했고, ‘글룹테바(Glupteba)’ 악성코드가 그 뒤를 따랐다.


[이미지=gettyimagesbank]

잉카인터넷 시큐리티대응센터는 최근 올해 1월 1일부터 1월 31일까지 사용자에게 가장 많은 피해를 준 악성코드 현황을 조사해 발표했다. 세부적으로 보면, △리네이머(Renamer) 64% △글룹테바(Glupteba) 31% △KMSAuto 2% △Agent 1% △그 외 2% 등이다.


1월에 발견된 악성코드를 12월과 비교해 유형별로 분석했을 때는 모든 유형에서 증가하는 추이를 보였다. 트로이목마는 12월에 3만 7,623건에서 1월에는 6만 3,695건으로, 랜섬웨어는 8,474건에서 2만 225건으로, 웜은 3,101건에서 1만 8,012건으로 증가했다. 이어 백도어는 7,595건에서 1만 1,599건으로, 그 외에 정상적인 실행파일에서는 쓰이지 않고 사용자 의심을 피하기 위해 정상 프로그램으로 위장한 악의적인 의도를 가진 유형인 Suspicious는 4,851건에서 1만 1,069건으로 증가한 것을 알 수 있다.


▲2024년 1월 악성코드 진단 비율[자료=잉카인터넷 시큐리티대응센터]

1월 한 달 동안 주 단위로 악성코드 진단 현황을 살펴봤다. 12월에는 첫째주와 비교해 둘째 주에서 소폭 감소하고 그 다음 셋째 주와 넷째 주에 꾸준히 증가하는 추세였지만, 1월에는 첫째주부터 셋째 주까지 3주 연속으로 감소하는 추세를 보였다가 셋째 주 이후부터 다시 증가하는 추이를 보였다.


▲2024년 1월 악성코드 유형별 진단 수 비교[자료=잉카인터넷 시큐리티대응센터]

올해 1월 한 달간 등장한 악성코드를 조사한 결과, 무료 랜섬웨어 복호화 도구인 ‘White Phoenix’의 온라인 버전이 공개됐다. 또한 크랙 소프트웨어를 이용해 유포하는 ‘Lummac2’ 악성코드와 ‘NS-Stealer’ 악성코드가 발견됐다. 이외에도 암호화폐 채굴 캠페인이 유포한 ‘NoaBot’ 악성코드와 멕시코의 대기업을 공격한 ‘AllaKoreRAT’ 악성코드 변종이 포착됐다.


▲2024년 1월 주 단위 악성코드 진단 현황[자료=잉카인터넷 시큐리티대응센터]

먼저 1월 초에는 최근 크랙 소프트웨어와 관련된 유튜브 동영상을 이용해 ‘Lummac2’ 악성코드의 다운로를 유도하는 캠페인이 발견됐다. 공격자는 유튜버의 계정을 탈취한 후 ZIP 파일을 다운로드할 수 있는 악성 링크와 함께 미끼 동영상을 업로드한다. 이때 ZIP 파일이 포함한 LNK 파일은 파워쉘과 GitHub 플랫폼을 이용해 ‘Lummac2’ 악성코드를 실행한다. 해당 악성코드는 사용자 자격 증명, 브라우저 데이터 및 확장 프로그램을 포함한 민감 정보를 탈취한 후 공격자의 명령제어(C&C) 서버로 데이터를 전송한다. 이에 보안업체 포티넷(Fortinet)은 불분명한 소스가 아닌 안전하고 합법적인 출처에서 소프트웨어를 다운로드할 것을 당부했다.

1월 중순에는 보안업체 아카마이(Akamai)의 연구원이 2023년 초부터 활동해 온 암호화폐 채굴 캠페인을 발견했다. 해당 캠페인은 2016년에 소스코드가 유출된 미라이(Mirai) 봇넷을 기반으로 한 새로운 ‘노아봇(NoaBot)’ 악성코드를 SSH 프로토콜로 유포한다.노아봇은 자체 확산하며 추가 페이로드 다운로드 및 SSH 키 백도어를 포함하고 있다. 그리고 사전 공격을 이용해 취약한 서버에 침입한 후, 암호화폐 채굴기를 다운로드 및 실행한다. 아카마이 연구원은 노아봇이 난독화와 사용자 지정 코드를 사용해 공격자의 정보가 노출되는 것을 방지하고 있다고 언급했다.

디스코드 봇을 이용해 탈취한 데이터를 유출하는 ‘NS-Stealer’ 악성코드가 발견됐다. 공격자는 자바(Java)를 기반으로 한 NS-Stealer 악성코드를 유포할 때 크랙 소프트웨어로 위장한 ZIP 파일을 이용한 것으로 알려졌다. 악성코드는 화면을 캡처하고 브라우저에 저장된 쿠키와 자격 증명 및 시스템 정보를 수집해 압축한다. 그 이후 디스코드 봇을 이용해 공격자의 채널에 압축한 파일을 업로드하면서 유출한다. 보안업체 트렐릭스(Trellix) 측은 디스코드 봇을 이용하는 이러한 방식은 탈취한 데이터를 유포할 때 자주 사용되는 방식이라고 언급했다.

금전적 이득을 위해 멕시코의 대기업을 공격하는 ‘AllakoreRAT’ 악성코드의 변종이 발견됐다. 보안업체 블랙베리(BlackBerry)는 AlakoreRAT가 키로그와 화면 캡처 및 원격 제어 등으로 금융 데이터를 탈취한다고 소개했다. 공격자는 IMSS(Mexican Social Security Institute) 지불 시스템과 소프트웨어 업데이트 파일 등 합법적인 자원을 이용해 악성코드를 유포했다. 특히 이번에 발견된 샘플에서는 멕시코 금융기관을 표적으로 하는 명령어와 함께 IP 위치 서비스로 사용자의 지리적 위치를 확인하는 동작이 확인됐다. 또한 파일을 다운로드하고 실행하는 로더의 기능이 추가돼 악성 바이너리에 하드 코딩되지 않은 구성 요소도 설치하는 것으로 알려졌다. 블랙베리 측은 공격지가 해당 악성코드를 사용해 2년이 넘는 기간에 공격하고 있으며 현재까지 멈출 기미가 보이지 않는다고 설명했다.

1월 말에는 무료 랜섬웨어 복호화 프로그램인 ‘White Phoenix’의 온라인 버전이 공개됐다. 보안 업체 사이버아크(CyberArk)는 ‘White Phoenix’가 간헐적으로 암호화된 파일의 구문을 분석해 복구한다고 소개했다. 이때 복구할 수 있는 파일의 종류로는 PDF, Word 문서 및 ZIP 파일을 포함한 5가지 유형으로 알려졌다. 또한 현재까지 Blackcat과 Play 등 6개의 랜섬웨어가 암호화한 파일을 복호화했다고 전해졌다. 한편 사이버아크 측은 온라인 버전에서 복구할 수 있는 파일의 크기가 10MB로 제한돼 용량이 큰 파일은 깃허브(GitHub) 플랫폼에서 공유 중인 오프라인 버전의 사용을 권장했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 하이크비전

    • 인콘

    • 모토로라시스템

    • 마이크로시스템

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 비전정보통신

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 엔토스정보통신

    • 아이서티

    • 경인씨엔에스

    • 메인아이티

    • 성현시스템

    • 효성인포메이션시스템

    • 다후아테크놀로지코리아

    • 디비시스

    • 아이리스아이디

    • 한국씨텍

    • 지오멕스소프트

    • 이오씨

    • 투윈스컴

    • 이에스티씨

    • (주)우경정보기술

    • 살토시스템

    • 유니뷰코리아

    • 세연테크

    • 이앤엠솔루션

    • 위트콘

    • 트루엔

    • 엔텍디바이스코리아

    • 포엠아이텍

    • 유에치디프로

    • 주식회사 에스카

    • 넥스트림

    • 포티넷

    • 휴네시온

    • 안랩

    • 나온웍스

    • 클래로티

    • 앤앤에스피

    • 이글루코퍼레이션

    • 노조미네트웍스

    • 카스퍼스키랩코리아

    • 한드림넷

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 사라다

    • 아이엔아이

    • 풍림무약주식회사

    • 새눈

    • 앤디코

    • 태정이엔지

    • 네티마시스템

    • 에이앤티코리아

    • 모스타

    • 미래시그널

    • 유투에스알

    • (주)일산정밀

    • HGS KOREA

    • 에스에스티랩

    • 에이앤티글로벌

    • 주식회사 알씨

    • 창성에이스산업

    • 엔에스티정보통신

    • 보문테크닉스

    • 엘림광통신

    • 메트로게이트
      시큐리티 게이트

    • 현대틸스
      팬틸트 / 카메라

    • 티에스아이솔루션

    • 두레옵트로닉스

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 지와이네트웍스

    • 구네보코리아주식회사

    • 동양유니텍

    • 포커스에이치앤에스

    • 엔시드

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기