ASEC 주간 악성코드 통계 ( 20210419 ~ 20210425 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 4월 19일 월요일부터 2021년 4월 25일 일요일까지 수집된 한 주간의 통계를 정리한다.

대분류 상으로는 인포스틸러가 72.5%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 16.0%, 다운로더가 5.0%, Coin Miner 가 4.6%, 랜섬웨어가 1.2%, 뱅킹 악성코드는 0.8%로 집계되었다.


Top 1 –  AgentTesla

AgentTesla는 25.6%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다.

최근 유입되는 샘플들은 수집한 정보 유출 시 아래와 같은 메일 서버 및 사용자 계정들을 이용한다.

  • mail.ilkimegitim[.]com
    sender: savas@ilkimegitim[.]com
    receiver:info@emphco[.]com
    user: info@emphco[.]com
    pw: Sa****1
  • smtp.hyshippingcn[.]com
    sender: plogs112@hyshippingcn[.]com
    receiver: plogs112@hyshippingcn[.]com
    user: plogs112@hyshippingcn[.]om
    pw: e****kS4
  • smtp.qdsaes[.]com
    sender: andy@qdsaes[.]com
    receiver: andy@qdsaes[.]com
    user: andy@qdsaes[.]com
    pw: )oNvVY1****2121

대부분 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O. – Purchase Order) 등으로 위장한 스팸 메일을 통해 유포되기 때문에 파일 이름도 동일하게 위와 같은 이름이 사용된다. 또한 확장자의 경우 pdf, xlsx와 같은 문서 파일이나 .dwg 즉 Auto CAD 도면 파일로 위장한 것들도 다수 존재한다.

  • REVISE QUOTATION 21.04.2021.pdf (113K).exe
  • MV TBN – BRILLIANCE SHIPPING.exe
  • TT Copy 042121_pdf.exe
  • TT Copy 042121_pdf.exe
  • SPECS SULFERT 2021_pdf.exe
  • new purchase order.exe
  • AGT5023-0421.exe
  • MV TBN – BRILLIANCE SHIPPING.exe
  • PROFILE SULFERT 2021_pdf.exe
  • IMG_001 IMG_SCAN.JPG.exe
  • REVISE QUOTATION 21.04.2021.pdf (113K).exe
  • Hoja de datos de RFQ 040010034762_pdf______________________________.exe
  • Picture & Specifications.exe
  • nueva cotización.PDF.bat


Top 2 – Formbook

Formbook은 인포스틸러 악성코드로서 14.1%를 차지하며 Top 2위에 올랐다.

다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다.

  • IMA202104219034882.exe
  • MSkcBXv5P5UVQCa.exe
  • XSplit_Broadcaster.com
  • [HAEIN] Quote_7487-01.exe
  • BCS_ECS952201911112138004_1206_952.pdf.exe
  • ILUJA_477G-01.exe
  • Official ORDER-BFAM04022021.exe
  • CONTRACT AGREEMENT.exe
  • yeni sipariş pdf FWS.exe
  • Camscanner.New Order.09878766.exe
  • Order PO #5544 TULIP GROUP LLC , PDF.exe
  • xt-435662-jinwei.pdf.exe

Formbook 악성코드는 현재 실행 중인 정상 프로세스인 explorer.exe 및 system32 경로에 있는 또 다른 정상 프로세스에 인젝션함에 따라 악의적인 행위는 정상 프로세스에 의해 수행된다. 웹 브라우저의 사용자 계정 정보 외에도 키로깅, Clipboard Grabbing, 웹 브라우저의 Form Grabbing 등 다양한 정보를 탈취할 수 있다. 다음은 확인된 Formbook의 C&C 서버 주소이다.

  • hxxp://www.contorig2[.]com/ud9e/
  • hxxp://www.lownak[.]com/klf/
  • hxxp://www.commagx4[.]info/nqs9/
  • hxxp://www.novergi[.]com/grv/
  • hxxp://www.kuppers[.]info/spj6/
  • hxxp://www.cinmax[.]xyz/sbjq/
  • hxxp://www.floryi[.]com/mjl/
  • hxxp://www.nelivo[.]com/blm/
  • hxxp://www.floryi[.]com/nbg/
  • hxxp://www.curiget[.]xyz/ma3c/
  • hxxp://www.floryi[.]com/vda/
  • hxxp://www.nelivo[.]com/ple/


Top 2 –  Lokibot(공동)

이번 주는 Lokibot이 14.1% 로 Formbook 과 함께 공동 2위를 차지했다. Lokibot은 인포스틸러 악성코드로서 웹 브라우저, 메일 클라이언트, FTP 클라이언트 등의 프로그램들에 대한 정보를 유출한다.

스팸 메일을 통해 유포되는 다른 악성코드들 처럼 스팸 메일 형태로 유포됨에 따라 유사한 유포 파일명을 지닌다.

  • QUOTATION-FORM.exe
  • ORDER.exe
  • Shipment wk017 Note.exe
  • 2021_03_22.exe
  • VT- 154-21 ( 22-4-2021).exe
  •  vbc.exe
  • [PI]DAEHWA_LYJ210316-2_REV.exe
  • PO 210423-141.exe
  • [PI]DAEHWA_LYJ210316-2_REV.exe
  • LIST.exe
  • DKOL0010-BA017 16.exe

대부분의 Lokibot 악성코드 C&C 서버는 다음과 같이 fre.php로 끝나는 특징을 가지고 있다.

  • hxxp://csdhlag[.]cf/adolf/fre.php
  • hxxp://agisurvays[.]net/ryt/ebuks/fre.php
  • hxxp://issth[.]com/chief/dav/fre.php
  • hxxp://techarnise[.]ru/fb20/fre.php
  • hxxp://chem.buet.ac[.]bd/staff-list/incf/tt/Panel/fre.php
  • hxxp://issth[.]com/folet/folet/fre.php
  • hxxp://ckjdx[.]xyz/TKR2/five/fre.php


Top 4 – NanoCore 

이번 주는 NanoCore가 5.7%로 4위를 차지했다. NanoCore는 닷넷으로 개발된 RAT 악성코드로서 njRAT과 유사하게 키로깅을 포함한 정보 유출 및 다양한 공격자의 명령을 수행할 수 있다.

NanoCore는 AgentTesla, Formbook, AveMaria, Remcos 등의 악성코드와 같이 닷넷 외형의 패커로 패킹되어 스팸 메일의 첨부 파일을 통해 유포되고 있다. 즉 접수되는 파일명도 아래와 같이 스팸 메일을 통해 유포되는 악성코드들과 유사하다.

  • IMG.382030092.scr
  • drug.exe
  • TBF-21-52100456_SLIP.exe
  • INQUIRY.exe
  • NRU~30387899VBJFKJ.exe
  • Offer Signed#04192021.exe

다음은 확인된 NanoCore의 C&C 서버 도메인이다.

  • seatosea.duckdns[.]org
  • dowas.hopto[.]org
  • mrjeffy.duckdns[.].org
  • 1119.hopto[.]org
  • mendey.duckdns[].org
  • rickkkkygirl.ddns[.]net


Top 5 – Taurus 

처음으로 Taurus 악성코드가 Top5 순위권에 진입하였으며 5.3% 로 5위를 차지했다. Taurus 는 Lokibot과 유사한 인포스틸러 악성코드로서 웹 브라우저, 메일 클라이언트, FTP 클라이언트, 암호화폐 지갑 등의 프로그램들에 대한 정보를 유출한다.

Taurus는 AgentTesla, Formbook, AveMaria, Remcos 등의 악성코드와 같이 닷넷 외형의 패커로 패킹되어 스팸 메일의 첨부 파일을 통해 유포되고 있다. 즉 접수되는 파일명도 아래와 같이 스팸 메일을 통해 유포되는 악성코드들과 유사하다.

다음은 확인된 Taurus의 C&C 서버 도메인이다.

  • hxxp://legend0[.]ru/cfg

Categories:악성코드 정보

Tagged as:

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments