ASEC 주간 악성코드 통계 ( 20200615 ~ 20200621 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 6월15일 월요일부터 2020년 6월 21일 일요일까지 수집된 한 주간의 통계를 정리한다.

대분류 상으로는 인포스틸러 악성코드가 55.9%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 14.3%, Banking 악성코드가 10.5%를 차지하였다. 랜섬웨어와 다운로더 악성코드는 10.1%, 3.8%로 그 뒤를 따랐다.

Top 1 –  AgentTesla

33.2%를 차지하는 AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은 수집한 정보 유출 시 아래와 같은 메일 서버 및 사용자 계정들을 이용한다.

  • smtp.bnb-spa[.]com (208.91.199.224)
    – sender : ambibros@bnb-spa[.]com
    – receiver : ambibros@bnb-spa[.]com
    – user : ambibros@bnb-spa[.]com
    – pw : tPo****glt$E
  • mail.sevenstars-travel[.]com (144.208.65[.]147)
    – sender : info@sevenstars-travel[.]com
    – receiver : info@sevenstars-travel[.]com
    – user : info@sevenstars-travel[.]com
    – pw : ****
  • mail.rajalakshmi.co[.]in (43.225.55[.]205)
    – sender : design1@rajalakshmi.co[.]in
    – receiver : design1@rajalakshmi.co[.]in
    – user : design1@rajalakshmi.co[.]in
    – pw : 009****ign1*
  • smtp.melcojobs[.]com (162.222.225[.]57)
    – sender : admin@melcojobs[.]com
    – receiver : admin@melcojobs[.]com
    – user : admin@melcojobs[.]com
    – pw : mel****3*
  • smtp.yandex[.]ru (77.88.21[.]158)
    – sender : elje**09@yandex[.]ru
    – receiver : elje**09@yandex[.]ru
    – user : elje**09@yandex[.]ru
    – pw : Pus****345

대부분 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O. – Purchase Order) 등으로 위장한 스팸 메일을 통해 유포되기 때문에 파일 이름도 동일하게 위와 같은 이름이 사용된다. 또한 확장자의 경우 pdf, xlsx와 같은 문서 파일이나 .dwg 즉 Auto CAD 도면 파일로 위장한 것들도 다수 존재한다.

  • 1045 Attachment Preferred Vendor List VALVES pdf.exe
  • 2E_VBR_200616_BRA-SP146-20_371934.exe
  • Bank Payment Slip6192020.exe
  • CUSTOMER.exe
  • Inv 0007856.Scan.pdf.exe
  • INVOICE_9281209.exe
  • OUTSTANDING INVOICES.exe
  • PI SCAN COPY 6162020.exe
  • PK-ORDER-876545-CONFIRMATION—–Pdf.exe
  • PO-11059021022021.exe
  • PO20201606.exe
  • Purchase order.exe
  • Resume For a Job.exe
  • RFQ_NS109004.PDF.exe
  • SHIPPING DOCUMENTS PDF.exe

Top 2 –  BlueCrab

BlueCrab 랜섬웨어는 8.7%를 차지한다. 참고로 현 통계에 포함되는 BlueCrab 악성코드는 피싱 다운로드 페이지로 유포되는 자바스크립트 형태가 아닌, 아래의 ASEC 블로그에서 언급된 익스플로잇 킷을 통해 유포 중인 형태이다.

https://asec.ahnlab.com/1302

Top 3 –  Vidar

6.3%를 차지하는 Vidar도 대표적인 인포스틸러 / 다운로더 악성코드이다. Vidar는 웹 브라우저, FTP, 코인 지갑 주소, 스크린샷 등의 인포스틸러 기능 외에도 추가 악성코드를 다운로드 할 수 있는 기능이 존재한다.

아래의 블로그 처럼 주기적으로 국내 사용자 타겟의 스팸 메일로 유포 중이며, 스팸 메일의 첨부 파일에 존재하는 압축 파일 내부에 다른 랜섬웨어와 함께 존재하는 것이 특징이다.

https://asec.ahnlab.com/1316

이외에도 최근에는 윈도우 정품 인증 툴인 KMSAuto 인스톨러로 위장하여 유포 중이다.

https://asec.ahnlab.com/1330

해당 기간 동안 사용된 C&C 주소는 다음과 같다.

Top 4 – njRAT

njRAT은 키로깅을 포함한 정보 유출 외에도 공격자의 명령을 수행할 수 있는 RAT 악성코드로서 위의 5.6%를 차지한다. 최근 수집되는 njRAT들은 대부분 특정 국산 무료 도메인 서비스에서 kro.kr나 p-e.kr와 같은 도메인 주소를 활용하여 악성 C2 서버 주소를 얻어온다.

  • disco159.kro[.]kr:1111
  • abcd5048.kro[.]kr:5552
  • dfsadfa.kro[.]kr:5552
  • leepipi.kro[.]kr:1256
  • 2020gorel9999.p-e[.]kr:9090

njRAT은 대부분 웹 하드나 토렌트를 통해 정상 파일로 위장하여 유포 중이다. 유포 시 위장하는 대상으로는 게임 핵이나 기프트카드 생성기와 같은 불법 프로그램이 다수 존재하며, 이 외에도 불법 공유 게임들에 포함되어 유포되는 경우가 많다.

  • 부팅usb 제작하기, rufus 3.5, rufus-3.5p.exe
  • 4k video downloader 4.10.0.3230 repack (& portable) by kpojiuk4k.video.downloader.v4.10.0.3230.exe
  • kms-2038++digital++online+activation+suite+v8.4kms_suite.v8.4.en.cmd.exe
  • peacefullife-v0.7-pcrenpyrgss302.dll
  • photozoom+pro+8.0.6+x86+x64++portablephotozoom pro 8.0.6 x86-64 portable.exe
  • skinpack마우스커서mouse.exe
  • 귀여운 ** ***이 집에 왔다game.exe
  • 당신의 고통은 나의 고통systemrgss302.dll
  • 마**녀는 **함정을 못이긴데databasicdatasysdatabase.dll
  • 모니카의 복수극d3dcompiler_46.dll
  • 무인도생활무인도생활d3dcompiler_46.dll
  • 뱀파이어·노츠 ver 1.1systemrgss302.dll
  • 에**의 채무 상환 이야기 나 뭐** *니다systemrgss302.dll
  • 짐승***는 배신하지 않는다 1.08짐승***d3dcompiler_46.dll
  • 필라나와 생명의약1.05ad3dcompiler_46.dll
  • [한글쯔꾸르] 4명의 **사를 ** *키자systemrgss30.dll
  • [한글쯔꾸르] 네**레 **사 레티와 원영의마법d3dcompiler_46.dll
  • [한글쯔꾸르] 도호의 게임형 오**포 _**탈출 게임편~d3dcompiler_46.dll
  • [한글쯔꾸르] 야외** rpgd3dcompiler_46.dll
  • [한글쯔꾸르] 홀리 소* * – 약한 작은 귀신과 이끌린 용사-d3dcompiler_46.dll

Top 5 – Formbook

Formbook은 인포스틸러 악성코드로서 5.2%를 차지하고 있다. 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다.

  • DV1114_KHN44_20200615_전문.exe
  • ADHOC RFQ-97571784.exe
  • HSBC Payment Advice.bat

Formbook 악성코드는 현재 실행 중인 정상 프로세스인 explorer.exe 및 system32 경로에 있는 또 다른 정상 프로세스에 인젝션함에 따라 악의적인 행위는 정상 프로세스에 의해 수행된다. 웹 브라우저의 사용자 계정 정보 외에도 키로깅, Clipboard Grabbing, 웹 브라우저의 Form Grabbing 등 다양한 정보를 탈취할 수 있다. 다음은 확인된 Formbook의 C&C 서버 주소이다.

Categories:악성코드 정보

Tagged as:

0 0 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments