10월 악성코드 통계 분석 결과... 3년간 리눅스 서버 공격한 perfctl 악성코드 발견

지난달에 이어 트로이목마, 바이러스가 58%로 전체의 절반 이상 차지
잉카인터넷 시큐리티대응센터, 10월 악성코드 동향 보고서 발표

[보안뉴스 김영명 기자] 10월 1일부터 31일까지 한 달 동안 국내외에서 수집된 악성코드 현황을 조사, 분석해 유형별로 비교한 결과 트로이목마(Trojan) 악성코드가 42%로 가장 높은 비중을 차지했으며, 바이러스(Virus)가 16%로 그 뒤를 따랐다. 두 가지 악성코드 유형이 전체의 절반 이상을 차지했다.

[이미지=gettyimagesbank]

잉카인터넷 시큐리티대응센터는 10월 한 달간 전 세계에서 등장한 악성코드를 조사했다. 눈에 띄는 동향으로는 최소 3년 동안 리눅스 서버를 공격한 ‘perfctl’ 악성코드가 발견된 것이다. 또한, 다크앤젤스(Dark Angels) 랜섬웨어 변종과 안드로이드 악성코드 트릭모(TrickMo)의 분석 정보가 공개됐다. 이외에도 고스트펄스(GHOSTPULSE) 로더의 변종이 발견됐으며, 쿼드7(Quad7) 봇넷에 대한 경고 소식도 전해졌다.

먼저 최소 3년 동안 리눅스 서버를 공격한 ‘perfctl’ 악성코드가 10월 초에 발견됐다. 공격자는 보안이 취약한 리눅스 서버에 침투해 원격명령 실행 취약점과 권한 상승 취약점을 공격에 악용했다. 이외에도 유닉스(Unix) 소켓을 사용해 내부 통신을 하고 외부로는 토르(TOR)를 사용해 공격자의 C&C 서버와 암호화된 통신을 했다. 이에 대해 보안기업 아쿠아(Aqua) 측은 ‘perfctl’ 악성코드의 주요 목적이 암호화폐를 채굴하는 크립토마이닝이라고 전했다. 또한 최근 몇 년 동안 수천 대의 리눅스 서버가 감염됐을 가능성이 있다고 언급했다.

▲2024년 10월 악성코드 유형별 비율[자료=잉카인터넷 시큐리티대응센터]

보안업체 지스케일러(Zscaler)는 2022년에 최초로 발견된 다크앤젤스(Dark Angels) 랜섬웨어의 분석정보를 공개했다. 다크엔젤스는 초기에 텔레그램을 이용해 탈취한 데이터를 공개했으며, 현재는 자체 데이터 유출 사이트를 만들어 게시하고 있다고 설명했다. 또한 윈도(Windows) 시스템을 암호화할 때 바북(Babuk) 랜섬웨어와 알티엠 라커(RTM Locker) 랜섬웨어 변형을 사용하는 점이 발견됐다고 전했다. 반면 리눅스·ESXi 시스템의 파일을 암호화하는 과정에서는 라그나락커(RagnarLocker) 랜섬웨어의 변형을 사용한다고 덧붙였다. 이외에도 다크앤젤스는 파일 암호화가 피해 업체에 미칠 영향을 고려해 랜섬웨어 배포 여부를 선택한다고 언급했다. 만약 랜섬웨어를 배포하지 않을 때는 데이터를 탈취해 이를 공개한다는 빌미로 피해 업체에 랜섬머니를 요구한다고 말했다.

보안업체 짐페리움(Zimperium)는 10월 중순에 트릭모(TrickMo) 안드로이드 악성코드의 변종에 대한 심층 분석 결과를 공개했다. 트릭모 악성코드는 화면 녹화와 자동 권한 부여 및 메시지 자동 클릭 등으로 은행 계좌와 금융 거래에 무단으로 접속할 수 있다고 설명했다. 또한 공격자가 외부 웹사이트에 안드로이드 잠금 화면을 모방한 HTML 페이지를 만들고, 사용자 장치에서 전체 화면 모드로 해당 페이지를 실행해 정상 잠금 화면으로 속인다고 전했다. 만약 사용자가 패턴 또는 PIN 정보를 입력하면, 그 정보와 함께 고유기기 식별자(Android ID)를 공격자의 C&C 서버로 전송한다고 덧붙였다. 짐페리움 측은 공격자의 C&C 서버에서 피해자로 추정되는 IP 주소 파일을 확인했으며, 은행 정보 외에도 VPN과 웹사이트 자격 증명 등도 함께 발견했다고 언급했다.

보안업체 엘라스틱 시큐리티 랩(Elastic Security Labs)은 PNG 파일 형태로 유포되는 고스트펄스(GHOSTPULSE) 로더의 변종을 발견했다. 공격자는 캡차(CAPTCHA) 페이지와 인증 안내 메시지를 이용해 사용자가 악성파일을 내려받는 악성 스크립트를 복사하고 실행하도록 유도한다. 이때 기존 악성코드는 EXE와 DLL 및 PNG 파일이 압축된 형식이며, PNG 파일 내에 암호화된 데이터를 추출해 복호화한다. 반면 이번에 발견된 변종에서는 PNG 형식의 데이터를 포함한 실행 파일 형식이며, 파일 내의 RGB 값을 추출한 뒤 XOR 연산으로 복호화한다는 차이가 있다. 이에 대해 엘라스틱 시큐리티 랩 측은 고스트펄스 악성코드가 2023년에 처음 등장한 이후로 최근까지도 업데이트되고 있어 지속적인 대응이 필요하다고 전했다.

마이크로소프트는 10월 말에 손상된 SOHO 라우터를 사용해 암호 스프레이 공격으로 자격 증명을 수집하는 쿼드7(Quad7) 봇넷에 대해 경고했다. 공격자는 손상된 라우터에서 접근 권한을 획득한 후 텔넷(Telnet)을 이용해 ‘xlogin’이라고도 불리는 쿼드7 봇넷을 다운로드한다. 이때 봇넷은 TCP 포트를 사용해 제어 명령 쉘을 실행하고, RAT 및 프록시 도구를 이용한 외부 명령 실행을 준비한다. 그 이후에는 자격증명을 탈취하고, 이를 이용해 네트워크에서 데이터를 탈취한다. 마이크로소프트 측은 여러 중국 위협 행위자가 쿼드7을 이용해 수집된 자격 증명을 사용한 정황도 발견됐다고 전했다.
[김영명 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)