ASEC 주간 악성코드 통계 ( 20210621 ~ 20210627 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 6월 21일 월요일부터 2021년 6월 27일 일요일까지 수집된 한 주간의 통계를 정리한다.

대분류 상으로는 인포스틸러가 68.2%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드 21.7%, DDoS 3.9%, 다운로더 3.1%, 랜섬웨어 2.2% 순으로 집계되었다.


Top 1 –  AgentTesla

AgentTesla는 21.2%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다.

최근 유입되는 샘플들은 수집한 정보 유출 시 아래와 같은 메일 서버 및 사용자 계정들을 이용한다.

  • smtp.babcockvalve[.]com
    sender : ziara.landa@babcockvalve[.]com
    receiver : ziara.landa@babcockvalve[.]com
    user : ziara.landa@babcockvalve[.]com
    pw : hA$***%9
  • smtp.ojototheworld[.]us
    sender : alert@ojototheworld[.]us
    receiver : alert@ojototheworld[.]us
    user : alert@ojototheworld[.]us
    pw : pas****21
  • mail.w2opt[.]com
    sender : zhengt@w2opt[.]com
    receiver : darrishowe@yandex[.]com
    user : zhengt@w2opt[.]com
    pw : wTw****18

대부분 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O. – Purchase Order) 등으로 위장한 스팸 메일을 통해 유포되기 때문에 파일 이름도 동일하게 위와 같은 이름이 사용된다. 또한 확장자의 경우 pdf, xlsx와 같은 문서 파일이나 .dwg 즉 Auto CAD 도면 파일로 위장한 것들도 다수 존재한다.

  • TT Copy.exe
  • statement_of_account.exe
  • rfq-5754376.exe
  • quotation-request xls.exe
  • Purchase Order.exe
  • PO_SJVN-NORYEPULL_#NPSJ-20210512.exe
  • PO# PC00061945_000925062021.exe
  • p-invoice#6547yrrf.exe
  • PDA for Discharging 50000 mt Bagged rice at Conakry.exe
  • Payment_Advice_Note_from_22.06.2021_to_608720.exe
  • Order.pif
  • Miray Kimya.exe
  • LPG MARIA III_VSL PARTICULARS.docx.exe
  • Kindly Confirmed all Details.exe
  • invoice.pdf.exe
  • invoice copy.pdf.exe
  • handy vessel spec and descriptions.exe
  • FEDEX_EXPRESS_TRACKING_-_COURIER_DELIVERY.exe
  • DHL_Consignment_Details.exe
  • BJ QUEEN – Vendor Template.docx.exe
  • Bill Of Lading.exe
  • 37300T, 37100T, 37150T GTIN.exe
  • 20210623NQ001 LINYI YITONG INDUSTRIAL CO.LTD..exe


Top 2 –  Lokibot

이번 주는 Lokibot이 15.3%를 차지하며 Top 2위에 올랐다. Lokibot은 인포스틸러 악성코드로서 웹 브라우저, 메일 클라이언트, FTP 클라이언트 등의 프로그램들에 대한 정보를 유출한다.

스팸 메일을 통해 유포되는 다른 악성코드들 처럼 스팸 메일 형태로 유포됨에 따라 유사한 유포 파일명을 지닌다.

  • 발주분(신규)10115지아*테크210623.exe
  • 발주분(신규)_10115__210624.exe
  • 발주분(신규)_10115[새*]210624.exe
  • 발주분(신규)_10115[새*]210622.exe
  • 발주분(신규)_10115[새*]210621.exe
  • 견적의뢰서_bk210623.exe
  • 견적의뢰서_bk210622.exe
  • 견적의뢰서_BK210621.exe
  • 견적의뢰서_BK210620.exe
  • SWIFT_Receipt.PDF.exe
  • PURCHASE_ORDER.exe
  • proforma-scan doc.exe proforma_pdf.exe
  • PO_20210624_1747.exe
  • PO_20210624.exe
  • PEMBAYARAN_COPY_TT_PDF.exe
  • New_PI&_Packing_list_062620021.exe
  • FACTURAS.EXE
  • facturas y datos bancarios.PDF.exe
  • DHL_Receipt_pdf.exe
  • Customer Advisory – Notice of implementing Congestion surcharge (CGD) (1).pdf.exe
  • cotización.xlsx.exe
  • Baltic Questionnaire.xls.exe
  • 2021-06-22-Quotation-14478801 TMC.exe
  • 2021062199000856.pdf.exe

대부분의 Lokibot 악성코드 C&C 서버는 다음과 같이 fre.php로 끝나는 특징을 가지고 있다.

  • hxxp://www.tepevizyon.com[.]tr/xx/Panel/fre.php
  • hxxp://vihaiha[.]com/.cc/news/school/boy/choo/fre.php
  • hxxp://exinmbakala[.]xyz/Panel/five/fre.php
  • hxxp://es02[.]xyz/w2/fre.php
  • hxxp://apponline97[.]ir/emoni/Panel/fre.php
  • hxxp://apponline97[.]ir/china/Panel/fre.php
  • hxxp://63.141.228[.]141/32.php/Uo2Q8E3IZNLpA
  • hxxp://192.236.193[.]138/drain/drain/fre.php
  • hxxp://192.119.111[.]43/zubby/fre.php
  • hxxp://192.119.111[.]43/bosa/fre.php


Top 3 – Formbook

Formbook은 인포스틸러 악성코드로서 12.5%를 차지하며 Top 3위에 올랐다.

다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다.

  • CONTRACT_PROPOSAL_&ORDER_LIST.exe
  • DHL__Shipment_Documents.exe Document.exe
  • ilshin trading co..exe
  • INV_10909_202141227.exe
  • INV8251335466774.exe
  • New_Order_PO_1164_HD-F_4020_6K.exe
  • Order210622.exe
  • po.exe
  • PO_NEW_ORDER_002001123.exe
  • po22062021rfq.exe
  • PURCHASE_CONTRACT#GJPL1202_2021-22PDF.exe
  • QMF21950622.exe
  • Quotation.exe
  • quote.exe
  • quotee.exe
  • s l biochemical po#slb210624-001.exe
  • samil pharm po#slb210624-001.exe
  • scandocument2021_pdf.exe
  • Shipment_Document_BL,INV_and_Packing_list_Attached.exe
  • Shipping_Document_DHL.exe
  • urgentneworder_pdf.exe

Formbook 악성코드는 현재 실행 중인 정상 프로세스인 explorer.exe 및 system32 경로에 있는 또 다른 정상 프로세스에 인젝션함에 따라 악성 행위는 정상 프로세스에 의해 수행된다. 웹 브라우저의 사용자 계정 정보 외에도 키로깅, Clipboard Grabbing, 웹 브라우저의 Form Grabbing 등 다양한 정보를 탈취할 수 있다. 다음은 확인된 Formbook의 C&C 서버 주소이다.

  • hxxp://www.baincot[.]com/nins/
  • hxxp://www.blaxies3[.]com/xfts/
  • hxxp://www.blinbins[.]com/q4kr/
  • hxxp://www.bonap56[.]com/im85/
  • hxxp://www.calsury[.]com/wlns/
  • hxxp://www.cenfoxy[.]com/bgr7/
  • hxxp://www.cinmax[.]xyz/hw26/
  • hxxp://www.jam-nins[.]com/3nop/
  • hxxp://www.kuppers[.]info/uerb/
  • hxxp://www.mimik33[.]info/pb93/
  • hxxp://www.nelivo[.]com/bwk/
  • hxxp://www.racevx[.]xyz/qjnt/
  • hxxp://www.ravexim3[.]com/sgs8/
  • hxxp://www.senmec23[.]com/se5w/
  • hxxp://www.valengz[.]com/lt0h/


Top 4 –  CryptBot

이번주 CryptBot 악성코드가 10.6% 로 4위를 차지했다. CryptBot은 주로 유틸리티 다운로드 페이지를 위장한 악성 사이트로부터 유포되고 있다. 해당 악성 사이트는 검색 엔진에 특정 키워드 검색 시 상위에 노출된다. 감염 시 각종 사용자 정보 탈취 및 추가 악성코드 다운로드 행위를 한다. 

다음은 CryptBot의 C&C 서버 주소와 추가 악성코드 다운로드 주소이다.

  • C&C1: kiylbx57[.]top/index.php
    C&C2: morunx05[.]top/index.php
    Download URL: peoscn07[.]top/download.php?file=lv.exe
  • C&C1: cypaev17[.]top/index.php
    C&C2: mordiu01[.]top/index.php
    Download URL: dugiry01[.]top/download.php?file=lv.exe
  • C&C1: cypdgs21[.]top/index.php
    C&C2: morutv02[.]top/index.php
    Download URL: dughos03[.]top/download.php?file=lv.exe
  • C&C1: cypquv37[.]top/index.php
    C&C2: morkyl03[.]top/index.php
    Download URL: dugyly04[.]top/download.php?file=lv.exe
  • C&C1: cypkcq51[.]top/index.php
    C&C2: morons05[.]top/index.php
    Download URL: dugykz07[.]top/download.php?file=lv.exe

유포 시 파일명은 다음과 같다.

  • setup.exe
  • setup_x86_x64_install.exe 
  • x86_x64_setup.exe
  • p6.exe
  • p6-2.exe
  • main-setup.exe
  • main_setup_x86x64.exe


Top 5 – NanoCore

NanoCore가 8.4%로 5위를 차지했다. NanoCore는 닷넷으로 개발된 RAT 악성코드로서 njRAT과 유사하게 키로깅을 포함한 정보 유출 및 다양한 공격자의 명령을 수행할 수 있다.

NanoCore는 AgentTesla, Formbook, AveMaria, Remcos 등의 악성코드와 같이 닷넷 외형의 패커로 패킹되어 스팸 메일의 첨부 파일을 통해 유포되고 있다. 즉 접수되는 파일명도 아래와 같이 스팸 메일을 통해 유포되는 악성코드들과 유사하다.

  • vc_redist.x 64 (필수실행).exe
  • Specifications.pif
  • SCANNED DOCUMENTS_EXPORT1020938 IMG054550 GEOS800 SCAN_pdf.exe
  • Signed Purchase Order POUS4509622207.exe

다음은 확인된 NanoCore의 C&C 서버 도메인이다.

  • wekeepworking12.sytes[.]net
  • wekeepworking.sytes[.]net
  • typejimbo.ddns[.]net
  • quill.sytes[.]net
  • pripri.duckdns[.]org
  • night90.ddns[.]net
  • newnano.ddns[.]net
  • mafian222.ddns[.]net
  • justinalwhitedd554.duckdns[.]org
  • james12.ddns[.]net
  • innocentbooii.hopto[.]org
  • ifybest85fff.ddns[.]net
  • fuck90.duckdns[.]org
  • dubby2021.duckdns[.]org
  • dbb.turbo-sy[.]com
  • backu4734.duckdns[.]org
  • alexwill.ddns[.]net
  • 1116.hopto[.]org



번외 – Nitol

상대적으로 수량이 적어 Top 5 순위 안에는 들지 못했지만, Nitol DDoS 악성코드가 이례적으로 꾸준히 발견되고 있다. 특정 포럼의 자료실에서 유포되고 있으며 공격자는 악성코드를 다운로드 받을 수 있는 토렌트 시드 파일을 첨부한 게시글을 다수 업로드하였다. 해당 자료실로부터 유포된 Nitol 샘플들은 모두 동일 C&C 주소를 사용하며 각종 프로그램의 인스톨러로 위장하였다.

Nitol 악성코드는 C&C 서버의 명령을 받아 추가 악성코드 다운로드, DDoS 공격 등의 악성 행위가 가능하다.

현재 유포 중인 Nitol 악성코드의 파일/경로명과 C&C 서버 주소는 다음과 같다.

C&C: rlarnjsdud0502.kro[.]kr

  • \[정식 한글판] 오피스 2007\setup.exe
  • \한글 2020\crack.exe
  • \microsoft office 2016\setup.exe
  • \한컴오피스교육기관용 2020\install.exe
  • \adobe illustrator 2020\install.exe
  • \kmsauto net 2015 v1.4.5 portable\kmsauto net.exe

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:

0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments