ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 3월 28일 월요일부터 4월 3일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다.
대분류 상으로는 인포스틸러가 69.6%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 21.0%, 랜섬웨어 5.1%, 다운로더 3.6%, 코인 마이너 0.7% 로 집계되었다.

Top 1 – AgentTesla
AgentTesla 악성코드는 28.3%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다.

수집한 정보 유출 시 메일을 활용하며 최근 샘플들의 메일 주소 및 계정은 아래와 같다.
- server : mail.avadis-co[.]com (216.40.42[.]5)
sender : yousefi@avadis-co[.]com
receiver : bak.pavoll@gmail[.]com
user : yousefi@avadis-co[.]com
pw : 9*******1 - server : mail.conteudopuro[.]eu (94.46.176[.]210)
sender : scott@conteudopuro[.]eu
receiver : scott@conteudopuro[.]eu
user : scott@conteudopuro[.]eu
pw : 1&********-6 - server : smtp.uk-custom[.]com (208.91.198[.]143)
sender : office@uk-custom[.]com
receiver : office@uk-custom[.]com
user : office@uk-custom[.]com
pw : PF******v9 - server : webmail.cbiperu[.]com (158.69.52[.]114)
sender : jcanola@cbiperu[.]com
receiver : jcanola@cbiperu[.]com
user : jcanola@cbiperu[.]com
pw : J2*******1@ - server : mail.demetrology.com[.]my (103.8.25[.]76)
sender : faiz.aimi@demetrology.com[.]my
receiver : teahyunkoo@gmail[.]com
user : faiz.aimi@demetrology.com[.]my
pw : de*******20
대부분 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O. – Purchase Order) 등으로 위장한 스팸 메일을 통해 유포되기 때문에 파일명도 이와 관련된 단어 또는 문장이 사용된다. 확장자의 경우 pdf, xlsx와 같은 문서 파일로 위장한 샘플도 다수 존재한다.
- DUBAI HCU 21EDD.exe
- REF 123694691.exe
- Arrival_Notice.exe
- stp.jpg
- documents.exe
- Transfer Confirmation 100241703_PDF.exe
- TRANSACTION ADVICE.exe
Top 2 – Lokibot
Lokibot 악성코드는 20.3%를 기록하며 2위에 이름을 올렸다. Lokibot은 인포스틸러 악성코드로서 웹 브라우저, 메일 클라이언트, FTP 클라이언트 등의 프로그램들에 대한 정보를 유출한다.

스팸 메일을 통해 유포되는 다른 악성코드들과 유사한 파일명으로 유포된다.
- SI_DRAFT_SCAN_PO346314_pdf.exe
- UFJ_Bank_Outward_Remittance_Nichias_pdf.exe
- vbc.exe
- csrss.exe
대부분의 Lokibot 악성코드 C&C 서버 주소는 다음과 같이 fre.php로 끝나는 특징을 가지고 있다.
- hxxp://sempersim[.]su/bb/fre.php
- hxxp://sempersim[.]su/ge14/fre.php
- hxxp://outlook-webpage-auth[.]ml/worldwide/logs/fre.php
- hxxp://s474079.smrtp[.]ru/Panel/fre.php
- hxxp://vmopahtqdf84hfvsqepalcbcch63gdyvah[.]ml/BN2/fre.php
- hxxp://gaviscon[.]ml/Kent2/fre.php
- hxxp://62.197.136[.]176/userbob/five/fre.php
- hxxp://62.197.136[.]186/oluwa/five/fre.php
- hxxp://gaviscon[.]tk/Concord/fre.php
- hxxp://brokenskulltechnologies[.]gq/Marshall/fre.php
Top 3 – Formbook
인포스틸러 악성코드인 Formbook은 13.8%로 3위를 기록하였다.

다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다.
- PAYMENT ADVICE (2).exe
- TT Copy.exe
- DHL. INV03296411.exe
- Request for Quotation_pdf.exe
Formbook 악성코드는 현재 실행 중인 정상 프로세스인 explorer.exe 및 system32 경로에 있는 또 다른 정상 프로세스에 인젝션함에 따라 악성 행위는 두 정상 프로세스에 의해 수행된다. 웹 브라우저의 사용자 계정 정보 외에도 키로깅, Clipboard Grabbing, 웹 브라우저의 Form Grabbing 등 다양한 정보를 탈취할 수 있다.

다음은 확인된 Formbook의 C&C 서버 주소이다.
- hxxp://www.buresdx[.]com/be4o/
- hxxp://www.budistx[.]com/qbks/
- hxxp://www.buresdx[.]com/cbgo/
- hxxp://www.funtabse[.]com/pout/
- hxxp://www.besrbee[.]com/yrcy/
- hxxp://www.gingure[.]com/e0ep/
- hxxp://www.alpeshpate[.]com/mwfc/
- hxxp://www.fendoremi[.]com/cm5a/
- hxxp://www.neurosise[.]com/op53/
- hxxp://www.price-hype[.]com/mnqo/
Top 4 – RedLine
RedLine 악성코드는 10.1%로 4위를 기록하였다. RedLine 악성코드는 웹 브라우저, FTP 클라이언트, 암호화폐 지갑, PC 설정 등 다양한 정보를 탈취하며 C&C 서버로 부터 명령을 받아 추가 악성코드를 다운로드 할 수 있다. BeamWinHTTP와 마찬가지로 S/W 크랙 다운로드로 위장하여 유포되는 경우가 많다.

다음은 확인된 RedLine의 C&C 서버 도메인이다.
- 185.197.74[.]202:9516
- 62.204.41[.]166:27688
- 185.215.113[.]20:21921
- 193.150.103[.]37:21330
- 188.34.167[.]94:36709
Top 5 – Stop Ransomware
4.3%로 5위를 차지한 Stop Ransomware 는 주로 익스플로잇 킷을 통해 유포되는 랜섬웨어 악성코드이다. 해당 악성코드는 사용자 PC 내 특정 파일들을 암호화하며, 이전부터 다양한 형태로 변형되어 지속적으로 유포되고 있다.

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:위협 통계