https://www.estsecurity.com/enterprise/security-info/report
이스트시큐리티 기업 | 보안동향보고서
보안동향보고서 이스트시큐리티가 제공하는 최신 악성코드 통계와 보안이슈, 해외 보안 동향을 확인하세요.※ 보안동향보고서 내부에 포함된 악성 링크 등의 분석정보가 보안 솔루션에 따라
www.estsecurity.com
1. 악성코드 통계 및 분석
1.1 악성코드 동향
대규모 가상화폐 탈취 사건
- 사건 개요: 가상화폐 거래소 '바이비트' 해킹으로 약 24억 6천만 달러(약 2.1조 원) 탈취.
- 공격 방식: ‘트레이더트레이터(TraderTraitor)’ 수법 활용.
- 고소득 일자리 공고 위장 → 악성 애플리케이션 다운로드 유도
- 사용자를 속여 악성 코드 실행 → 내부 시스템 접근
- 공격 배후: 북한 해킹조직 라자루스(Lazarus)로 추정
서울시 명의 도용 피싱
- 내용: "대북전단 회의 관련 비대면 회의 가능 여부"를 묻는 시민메일 계정(@citizen.seoul.kr) 발신
- 공무원 사칭, 첨부파일에 악성코드 포함
- 김수키(Kimsuky) 조직과 연관된 IP 이력 확인
- 보안 권고: 서울시는 공식 메일(@seoul.go.kr) 외의 시민메일 열람 자제를 공지
개인정보 유출 사건
- GS리테일
- GS25: 9만여 명 개인정보 유출
- GS샵: 158만 건 유출 (주소, 생년월일, 기혼 여부 등 민감정보 포함)
- 대교
- 학부모, 교사, 학생 대상 정보 유출
- 추가 조치 필요
- 유출 확인 시 동일 계정 사용 서비스 비밀번호 즉시 변경
- 2차 피해(스피어피싱, 보이스피싱 등) 가능성 주의
1.2 알약 탐지 악성코드 통계 (2025년 2월 기준)
감염 악성코드 TOP 15
| 순위 | 악성코드 | 유형 | 감염수 | 비고 |
| 1 | Gen:Variant.Lazy.266772 | ETC | 79,224 | 지속 1위 |
| 2 | Gen:Variant.Tedy.675091 | ETC | 28,714 | – |
| 3 | Misc.HackTool.AutoKMS | 해킹툴 | 28,322 | 비정품 인증 도구 |
| 4 | Backdoor.Generic.792814 | 백도어 | 27,354 | ↑ 급증 |
| 5 | Trojan.DDoS.Nitol.gen | 트로이목마 | 22,992 | – |
| 6 | Worm.Autorun.TUD | 웜 | 17,166 | 신규 |
| 7 | Application.Hacktool.BBJ | 해킹툴 | 16,023 | ↑ |
| 8 | Trojan.Generic.36498051 | 트로이목마 | 13,915 | 신규 |
| 9 | Win32.Neshta.A | 바이러스 | 13,872 | 신규 |
| 10 | Worm.ACAD.Bursted | 웜 | 13,530 | 신규 |
1.3 악성코드 유형별 비율 및 트렌드 변화
2025년 2월 기준 감염 유형 비율
- 기타(ETC): 58% ( 21% ↓ )
- 트로이목마(Trojan): 16% ( 4% ↑)
- 웜(Worm): 13% ( 11% ↑)
- 백도어(Backdoor): 9% ( 4% ↑ )
- 바이러스(Virus): 4% ( 2% ↑)
기타 비율의 감소: 탐지 명확해짐
백도어/웜 증가: 정보 유출형 및 내부망 확산형 공격의 증가
트로이 목마 증가: 사이버 금융 범죄 or APT 활동 연관 가능성 有
1.4 랜섬웨어 & 악성코드 URL 동향
랜섬웨어 차단 통계
- 차단 건수: 19,480건 (2025년 2월)
- 탐지 기준: DB 기반 시그니처 제외, 실시간 탐지 기반 수치
악성코드 URL 통계
- 2월 총 수집건수: 30,952,672건
- 전월 대비: 124.48% 증가 (1월 13,788,126건)
- 주요 원인
- 악성코드 유포지 다양화
- 피싱, 리디렉션 기반 유포 수법 확대
2. 최신 보안 동향
2.1 북한 배후 스피어 피싱 공격
공격 개요
- 공격 방식: 거래처 회신 메일로 위장한 정교한 스피어 피싱(Spear Phishing) 수법
- 대상: 기업 사용자 및 업무 관련자
- 목적: 백도어 설치 → 내부망 침투 및 C2 제어
이메일 위장 수법
- 형태
- “정기점검서 송부 건” 또는 “노트북 견적 문의” 등 실제 업무 흐름과 유사한 메일 제목 사용
- 공격자는 수신자의 기존 이메일 교류를 사전에 분석한 뒤 회신 메일 형태로 위장
- 도용 계정: 내부자 또는 관련 업체 계정 탈취 후 사용 → 정상 발신자로 인식 유도
첨부 파일 유형
- 첨부파일: EGG 압축파일 내부에 .PIF 실행파일 포함
- PIF (Program Information File)
- MS-DOS용 구형 실행 파일 포맷
- 현재는 거의 사용되지 않지만, 탐지 우회 목적 활용
악성코드 작동 방식
- 사용자가 압축 해제 → PIF 파일 실행
- 사용자 눈속임용 정상 PDF 파일 열람
- 백그라운드에서 IconCache.tmp.pif 실행
- 백도어 악성코드 PebbleDash 설치
- C2 서버와 접속 → 명령 수신 및 파일 전송
C2 분석 및 배후 추정
- C2 서버에 삽입된 웹쉘은 과거 김수키(Kimsuky) 조직이 사용한 것과 동일
- PebbleDash 악성코드 역시 김수키 및 라자루스 조직 모두 사용 이력 존재
- 이로 인해 김수키 조직 소행 가능성 매우 높음
실무 대응 포인트
- 이메일 보안 솔루션에서 회신 메일 내 실행파일 첨부 탐지 강화
- 압축파일 내 이중 확장자 탐지 정책 설정 필요 (예: .txt.pif)
- 의심 메일 수신 시 외부발신 표시 시스템 도입 권고
2.2 텔레그램 계정 탈취형 스미싱 공격
공격 개요
- 목적: 사용자의 Telegram 계정 탈취 및 모니터링.
- 수법: 스미싱(SMS 피싱)을 통한 피싱 사이트 접속 유도
피싱 사이트 특징
- 텔레그램 로그인 페이지와 유사하게 제작됨
- 사용자로부터 휴대폰번호 및 OTP 인증번호 입력 유도
- 실제 텔레그램 서버에서 사용자에게 인증번호 전송 → 피싱 페이지에 입력 유도
공격 흐름도
| 1. 사용자에게 스미싱 문자 전송 2. 사용자가 링크 클릭 → 가짜 텔레그램 로그인 페이지 접속 3. 사용자 정보 입력 및 인증번호 수신 4. 공격자가 실시간 입력값 수집 → 계정 탈취 5. 추가로 제작된 안내 페이지 노출 → 시간 벌기 |
비밀번호 탈취가 아닌 ‘실시간 인증 토큰 탈취’ 방식이라는 점에서 보안 인증 체계의 맹점 노린것...
읽다가 정리한거..
PIF파일:
PIF: 제품 정보 파일이란 무엇인가요? - Biorius
PIF 제품 정보 파일은 화장품과 관련된 모든 정보가 포함된 고도로 구조화된 대용량 문서입니다.
biorius.com
https://www.solvusoft.com/ko/file-extensions/file-extension-pif/
PIF 파일 확장자: 그것은 무엇이며 그것을 어떻게 열 수 있습니까?
PIF 파일을 여는 문제 해결 PIF 파일 열기 문제 엑셀이 사라졌습니다 PIF 파일을 두 번 클릭하면 운영 체제에서 “이 파일 형식을 열 수 없습니다”라는대화 상자가 나타날 수 있습니다. 엑셀이 PC
www.solvusoft.com
실행파일 중에 하나라 공격에 이용한건가
찾아보니 요즘 거의 사용안해서 exe는 차단해도 .pif는 차단 안하는 경우도 있어 탐지 우회에 사용되는 것 같음. 그래서 악성코드 로더나 백도어 실행 명령을 숨기는 파일이 되는 경우가 많다고 한다.
'학회_공부해요 > 기술_스터디' 카테고리의 다른 글
| [Theori] 게임핵의 원리(2) - ESP (0) | 2025.05.11 |
|---|---|
| [S2W] Detailed Analysis of DocSwap Malware Disguised as Security Document Viewer (0) | 2025.04.06 |
| [IGLOO] 공격 표면 관리(ASM)란 무엇인가요? (0) | 2025.03.23 |
| [Theori] 게임핵의 원리(1) - Wall Hack (0) | 2025.02.19 |
| [SAMSUNG SDS] 딥시크(DeepSeek)가 촉발한 AI 시장의 지각 변동 (1) | 2025.02.11 |