ASEC 주간 악성코드 통계 ( 20220328 ~ 20220403 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 3월 28일 월요일부터 4월 3일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다.

대분류 상으로는 인포스틸러가 69.6%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 21.0%, 랜섬웨어 5.1%, 다운로더 3.6%, 코인 마이너 0.7% 로 집계되었다.


Top 1 –  AgentTesla

AgentTesla 악성코드는 28.3%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다.

수집한 정보 유출 시 메일을 활용하며 최근 샘플들의 메일 주소 및 계정은 아래와 같다.

  • server : mail.avadis-co[.]com (216.40.42[.]5)
    sender : yousefi@avadis-co[.]com
    receiver : bak.pavoll@gmail[.]com
    user : yousefi@avadis-co[.]com
    pw : 9*******1
  • server : mail.conteudopuro[.]eu (94.46.176[.]210)
    sender : scott@conteudopuro[.]eu
    receiver : scott@conteudopuro[.]eu
    user : scott@conteudopuro[.]eu
    pw : 1&********-6
  • server : smtp.uk-custom[.]com (208.91.198[.]143)
    sender : office@uk-custom[.]com
    receiver : office@uk-custom[.]com
    user : office@uk-custom[.]com
    pw : PF******v9
  • server : webmail.cbiperu[.]com (158.69.52[.]114)
    sender : jcanola@cbiperu[.]com
    receiver : jcanola@cbiperu[.]com
    user : jcanola@cbiperu[.]com
    pw : J2*******1@
  • server : mail.demetrology.com[.]my (103.8.25[.]76)
    sender : faiz.aimi@demetrology.com[.]my
    receiver : teahyunkoo@gmail[.]com
    user : faiz.aimi@demetrology.com[.]my
    pw : de*******20

대부분 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O. – Purchase Order) 등으로 위장한 스팸 메일을 통해 유포되기 때문에 파일명도 이와 관련된 단어 또는 문장이 사용된다. 확장자의 경우 pdf, xlsx와 같은 문서 파일로 위장한 샘플도 다수 존재한다.

  • DUBAI HCU 21EDD.exe
  • REF 123694691.exe
  • Arrival_Notice.exe
  • stp.jpg
  • documents.exe
  • Transfer Confirmation 100241703_PDF.exe
  • TRANSACTION ADVICE.exe


Top 2 –  Lokibot

Lokibot 악성코드는 20.3%를 기록하며 2위에 이름을 올렸다. Lokibot은 인포스틸러 악성코드로서 웹 브라우저, 메일 클라이언트, FTP 클라이언트 등의 프로그램들에 대한 정보를 유출한다.

스팸 메일을 통해 유포되는 다른 악성코드들과 유사한 파일명으로 유포된다.

  • SI_DRAFT_SCAN_PO346314_pdf.exe
  • UFJ_Bank_Outward_Remittance_Nichias_pdf.exe
  • vbc.exe
  • csrss.exe

대부분의 Lokibot 악성코드 C&C 서버 주소는 다음과 같이 fre.php로 끝나는 특징을 가지고 있다.

  • hxxp://sempersim[.]su/bb/fre.php
  • hxxp://sempersim[.]su/ge14/fre.php
  • hxxp://outlook-webpage-auth[.]ml/worldwide/logs/fre.php
  • hxxp://s474079.smrtp[.]ru/Panel/fre.php
  • hxxp://vmopahtqdf84hfvsqepalcbcch63gdyvah[.]ml/BN2/fre.php
  • hxxp://gaviscon[.]ml/Kent2/fre.php
  • hxxp://62.197.136[.]176/userbob/five/fre.php
  • hxxp://62.197.136[.]186/oluwa/five/fre.php
  • hxxp://gaviscon[.]tk/Concord/fre.php
  • hxxp://brokenskulltechnologies[.]gq/Marshall/fre.php


Top 3 – Formbook

인포스틸러 악성코드인 Formbook은 13.8%로 3위를 기록하였다.

다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다.

  • PAYMENT ADVICE (2).exe
  • TT Copy.exe
  • DHL. INV03296411.exe
  • Request for Quotation_pdf.exe

Formbook 악성코드는 현재 실행 중인 정상 프로세스인 explorer.exe 및 system32 경로에 있는 또 다른 정상 프로세스에 인젝션함에 따라 악성 행위는 두 정상 프로세스에 의해 수행된다. 웹 브라우저의 사용자 계정 정보 외에도 키로깅, Clipboard Grabbing, 웹 브라우저의 Form Grabbing 등 다양한 정보를 탈취할 수 있다.

다음은 확인된 Formbook의 C&C 서버 주소이다.

  • hxxp://www.buresdx[.]com/be4o/
  • hxxp://www.budistx[.]com/qbks/
  • hxxp://www.buresdx[.]com/cbgo/
  • hxxp://www.funtabse[.]com/pout/
  • hxxp://www.besrbee[.]com/yrcy/
  • hxxp://www.gingure[.]com/e0ep/
  • hxxp://www.alpeshpate[.]com/mwfc/
  • hxxp://www.fendoremi[.]com/cm5a/
  • hxxp://www.neurosise[.]com/op53/
  • hxxp://www.price-hype[.]com/mnqo/


Top 4 –  RedLine

RedLine 악성코드는 10.1%로 4위를 기록하였다. RedLine 악성코드는 웹 브라우저, FTP 클라이언트, 암호화폐 지갑, PC 설정 등 다양한 정보를 탈취하며 C&C 서버로 부터 명령을 받아 추가 악성코드를 다운로드 할 수 있다. BeamWinHTTP와 마찬가지로 S/W 크랙 다운로드로 위장하여 유포되는 경우가 많다.

다음은 확인된 RedLine의 C&C 서버 도메인이다.

  • 185.197.74[.]202:9516
  • 62.204.41[.]166:27688
  • 185.215.113[.]20:21921
  • 193.150.103[.]37:21330
  • 188.34.167[.]94:36709


Top 5 –  Stop Ransomware

4.3%로 5위를 차지한 Stop Ransomware 는 주로 익스플로잇 킷을 통해 유포되는 랜섬웨어 악성코드이다. 해당 악성코드는 사용자 PC 내 특정 파일들을 암호화하며, 이전부터 다양한 형태로 변형되어 지속적으로 유포되고 있다.

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments