2024년 4월 악성코드 공격 동향은? ‘트로이목마’가 절반 가까이 차지

입력 : 2024-05-27 00:01

잉카인터넷 시큐리티대응센터, 4월 악성코드 동향 보고서 발표
진단명별 비중 분석...웜 바이러스 11%, 바이러스 10%, 랜섬웨어 6% 순
금융기관 표적 삼는 JsOutProx 새 버전 발견...HelloKitty는 HelloGookie로 재등장

[보안뉴스 김영명 기자] 올해 4월 한 달 동안 국내외에서 수집된 악성코드 현황을 분석 및 조사한 결과 유형별로 분류했을 때 트로이목마(Trojan)가 43%로 가장 높은 비중을 차지했고, 웜 바이러스(Worm)가 11%, 바이러스(Virus)가 10%의 비율을 보였다.


지난 4월에 등장한 악성코드 중에서 특이한 점으로는 금융기관을 표적으로 하는 ‘JsOutProx’ 악성코드가 발견된 것이다. 또한 피싱 이메일을 이용해 유포되는 ‘Latrodectus’와 ‘SSLoad’ 악성코드가 유포됐다. 잉카인터넷 시큐리티대응센터에 따르면 이 외에도 국내 안드로이드 사용자를 공격하는 ‘SoumniBot’ 악성코드와 새로운 이름으로 등장한 ‘HelloGookie’ 랜섬웨어가 발견됐다.


4월 초에는 금융 기관을 표적으로 삼는 ‘JsOutProx’ 악성코드의 새로운 버전이 발견됐다. 이 악성코드는 RAT(Remote Administration Tool, 원격관리도구) 유형이다. 보안 업체 리시큐리티(Resecurity)는 공격자가 합법적인 기관을 사칭하는 이메일을 통해 사용자에게 가짜 결제 알림을 보낸다고 전했다. 사용자가 이메일의 첨부 파일을 실행하면 깃랩(GitLab) 저장소에서 JsOutProx 페이로드가 다운로드된다. 그 이후 공격자는 사용자의 민감 데이터에 접근하고 추가 페이로드를 내려받는 등의 공격을 수행한다. 분석가들은 해당 캠페인의 정교함과 지리적 위치 등을 기반으로 중국 또는 중국 관련 공격자가 배후에 있을 것으로 추정했다.

보안업체 프루프포인트(Proofpoint)는 최근 피싱 이메일을 이용한 캠페인에서 ‘Latrodectus’ 다운로더의 사용이 증가하고 있다고 전했다. 해커 그룹은 정상적인 기업으로 위장해 사용자에게 저작권 침해와 관련된 내용의 악성 링크에 접속하도록 유도한다. 다운로드된 악성코드는 샌드박스 보안 탐지 회피 기술과 RC4 암호화를 이용해 명령제어(C&C) 서버와 통신한다는 특징이 있다. 외신은 악성코드가 전달하는 구체적인 페이로드는 아직 알려지지 않았지만, 다운로더 기능을 통해 공격 도구들을 배포할 수 있다고 언급했다.

4월 중순에는 안드로이드 사용자를 대상으로 공격하는 ‘SoumniBot’ 트로이목마가 발견됐다. 보안 업체 카스퍼스키(Kaspersky)의 연구원은 해당 악성코드가 정부기관과 온라인 증권 거래소에서 사용하는 디지털 서명 인증서를 탈취한다고 전했다. 이를 악용하면 공격자는 사용자의 온라인 뱅킹 서비스에 로그인하거나 거래 내역을 확인할 수 있다고 덧붙였다. SoumniBot 악성코드는 연락처 추가와 삭제, 안드로이드 디버그 모드 활성화 등의 기능이 있으며, 기기에서 애플리케이션을 숨겨 제거하기 어렵게 만든다고 언급했다.

지난해에 활동을 중단한 헬로키티(HelloKitty) 랜섬웨어가 ‘헬로구키(HelloGookie)’라는 이름으로 발견됐다. 새로 발견된 데이터 유출 사이트에는 이전에 사용했던 암호화 도구의 복호화키 4개가 공개됐다. 이외에도 전에 탈취했던 CD Projekt Red와 시스코(Cisco)의 데이터를 공개한 게시글이 확인된다. 한편 아직 새로운 조직명으로 공격한 증거나 소식은 없는 것으로 전해졌다. 외신은 헬로키티의 최초 개발자라고 주장하는 해커가 헬로구키를 만들었다고 보도했다.

피싱 이메일을 이용해 ‘SSLoad’ 악성코드를 유포하는 캠페인이 4월 말에 발견됐다. SSLoad 악성코드는 여러 개의 백도어와 페이로드를 설치해 탐지를 회피한 것으로 알려졌다. 또한 감염된 시스템에서 민감 정보를 수집해 공격자에게 전송하도록 설계됐다고 전해졌다. 한편, 보안 업체 시큐로닉스(Securonix) 측은 해당 캠페인에서 원격 데스크톱 소프트웨어 응용 프로그램인 ConnectWiseScreenConnect와 모의해킹 도구인 코발트스트라이크(CobaltStrike) 등이 추가로 사용됐다고 언급했다. 이에 대해 캠페인의 시작이 피싱 메일 속의 악성 링크라고 언급하면서 출처가 불분명한 이메일에 주의할 것을 권장했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

김영명기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 2

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 3

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 4

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 5

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...