[이스트시큐리티] 보안동향보고서 2023.03

https://www.estsecurity.com/enterprise/security-info/report

이스트시큐리티 기업 | 보안동향보고서

---

1. 악성코드 통계 및 분석

1)악성코드 동향

2023년 2월: Quasar Rat 및 QBot 악성코드, 낯선 사람의 카카오톡 메세지를 통해 유포되는 악성 어플리케이션 등이 발견 됨.

틱톡 - 팔로워 및 동영상조회수는 늘려주는 프로그램을 위장한 악성파일 발견됨

카카오톡 - 친구추천이나 친구로 등록되어 있다며 호기심 유발하고 대화를 주고받음. 이 과정중 apk파일 전달하였고, 이 파일이 사용자의 휴대폰의 저장되어 있는 연락처가 공격자에게 전송되었음.  

 

2)알약 악성코드 탐지 통계

2023년 2월에는 지난달과 비교하여 새로운 악성코드 다수 진입. 여전히 오토캐드와 KMS HackTool 관련 악성코드는 지속적으로 상위 순위에 탐지 됨. 주요 악성코드 유형으로는 트로이 목마(Troja), 웜(Worm) 등이 있다.

 

트로이 목마: 현재 백도어를 열고, 영향을받는 장치를 제어, 사용자 데이터를 유출, 공격자에게 전송, 영향을 받는 시스템에서 다른 악성 소프트웨어를 다운로드하여 실행하는 데 사용되는 가장 일반적인 악성코드 범주.

 

웜: 자신의 사본을 만들어 다른 드라이브, 컴퓨터 또는 네트워크에 퍼뜨림. 웜은 네트워크 연결, 이메일, 감염된 웹 사이트 또는 메신저 등을 통해서도 자신의 사본을 보낼 수 있음.

  

 

3)랜섬웨어 차단 및 악성코드 유포지/경유지 URL 통계

백신 알약 공개용 버전의 '랜섬웨어 차단'기능을 통해 수집한 결과 2월 한달 간 15,260의 랜섬웨어 공격 시도가 차단 됨. 

 

2. 악성코드 분석 보고서

[Trojan.Agent.Amadey] 악성코드 분석 보고서

인젝터 페이로드다운로드 코드

임시폴더를 하위로 자가 복제한 뒤, 관리자 권한으로 실행함

.

중복되는 실행을 방지하고

 

자가복제 경로를변경하여 자동 실행 할 수 있도록 함.

PC를 6분 간격으로 스크린 샷 수집하여 전송함.

 

위의 악성코드는 사용자 PC정보 수집 및 전송 기능을 가진 악성코드임. 추가적인 모듈을 다운로드하면 기본 기능 외의 클립보드에 저장된 암호화폐 주소 변경 기능, 추가 애플리케이션 크리덴셜 정보 탈취 기능까지 실행이 가능 함.  

 

 

 

3. 최신 보안 동향

원노트 파일을 통한 악성코드 유포

공격자는 사용자의 신뢰를얻기 위해 이메일 하이재킹 방식을 이용하여, 기존에 공격 타깃이 다른 사람과 주고 받았던 정상 이메일 내에 악성파일을 첨부하여 전달하는 방식으로 악성 메일을 전송한다.

 

틱톡 조회수 늘리기 프로그램을 위장한 Quasar RAT

이 파일은 깃허브에 '틱톡 뷰 봇'이라는 이름으로 업로드 되어있다.

 

통일부 북한인권과 토론회로 둔갑한 북 해킹 공격

통일부의 실제 토론회 개최 안내용 보안 메일처럼 위장한 해킹공격이 발견 됨. 통일부는 평소 보안상의 이유로 주요 안내 메일을 발송할 때 암호화된 HTML 형태로 파일을 첨부하고, 별도의 비밀번호를 입력해야만 상세 내용을볼 수 있도록 보안기능을 적용해 사용 중임. 이번에 포착된 새로운공격은 통일부에서 작성한보안용 HTML 파일에 악성명령을 추가 삽입한 것으로 조사됨.

 

 

 

마치며

트로이 목마, 웜 등 악성코드의 분류에 대해 정리해 볼 수 있었다. 또한 최근 일어난 해킹 공격 사례에 대한 경우를 읽어보면서 다양한 방법으로 사용자의 정보를 가져갈 수 있음을 파악할 수 있었다. 최근 이러한 악성코드로 인한 정보유출 사례가 심각한 것 같다. 낯선 사람에게서오는 파일이나 메세지등을 주의할 필요가 있어 보인다.