ASEC 주간 악성코드 통계 ( 20220425 ~ 20220501 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 4월 25일 월요일부터 5월 1일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다.

대분류 상으로는 인포스틸러가 70.3%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 18.8%, 랜섬웨어 7.9%, 다운로더 2.5% 코인마이너 0.5%로 집계되었다.


Top 1 –  AgentTesla

이번주는 인포스틸러 악성코드인 AgentTesla 가 38.6%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다.

수집한 정보 유출 시 메일을 활용하며 FTP나 Discord API 등을 사용하는 샘플도 존재한다. 최근 샘플들의 C&C 정보는 아래와 같다.

  • server: ftp.bluecomunidad.com
    user: rb9ja@bluecomunidad.com
    pw: D+i*u=****cV
  • server: mail.teknovateplas.com
    sender: marketing@teknovateplas.com
    receiver: zamanic62@gmail.com
    user: marketing@teknovateplas.com
    pw: tekm****020$
  • server: mail.myremediez.com
    sender: help@myremediez.com
    receiver: willycoker01@yandex.com
    user: help@myremediez.com
    pw: 12****456
  • server: smtp.advqnce.com
    sender: user1@advqnce.com
    receiver: user1@advqnce.com
    user: user1@advqnce.com
    pw: S!****g6
  • server: mail.keeprojects.in
    sender: quality@keeprojects.in
    receiver: quality@keeprojects.in
    user: quality@keeprojects.in
    pw: quali****!

대부분 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O. – Purchase Order) 등으로 위장한 스팸 메일을 통해 유포되기 때문에 파일명도 이와 관련된 단어 또는 문장이 사용된다. 확장자의 경우 pdf, xlsx와 같은 문서 파일로 위장한 샘플도 다수 존재한다.

  • OFFER_AND_PICTURES.exe
  • PT HCU2435.exe
  • STR-DD225227.exe
  • INVOICE.exe
  • PURCHASE_ORDER.exe
  • PO_#102-00549338.exe
  • Updated_SOA.exe
  • Remittance_Advise.exe
  • Shipping_Documents.exe
  • SHIPMENT_STATUS.exe
  • printouts of outstanding as of 27-04-2022.exe
  • Revised_Documents.exe
  • ENQ 3720014088.exe
  • new order#22.exe
  • NEW_PO#.exe
  • 2022_QUOTE-RFQ-22-03794.exe
  • QNLNSAHMD2202897.exe
  • MT1032776380.exe
  • Re,_texiles_product.exe
  • PO4522435545545553WQR.exe
  • PO_8773645_90222364_989_00111283838448_2022.exe
  • SCAN_04355_wire_swift_00000000001.exe


Top 2 – Formbook

Formbook 악성코드는 21.3%로 2위를 기록하였다.

다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다.

  • PI-Order_IS01OCT5_xlxs.exe
  • DHL_SHIPMENT_NOTIFICATION.exe
  • New_Purchas_Order.exe
  • Invoice_&_Packlist.exe
  • invoice no. Q1-4001028L.exe
  • Shipping_Documents.bat.exe
  • Catalogue_Request_Sheet_and_Product_Inquiry.exe
  • Shipping_Documts.exe

Formbook 악성코드는 현재 실행 중인 정상 프로세스인 explorer.exe 및 system32 경로에 있는 또 다른 정상 프로세스에 인젝션함에 따라 악성 행위는 두 정상 프로세스에 의해 수행된다. 웹 브라우저의 사용자 계정 정보 외에도 키로깅, Clipboard Grabbing, 웹 브라우저의 Form Grabbing 등 다양한 정보를 탈취할 수 있다.

다음은 확인된 Formbook의 C&C 서버 주소이다.

  • hxxp://www.banceout3[.]com/ceah/
  • hxxp://www.beputis4[.]com/afj0/
  • hxxp://www.berdisen[.]com/mt6e/
  • hxxp://www.besasin09[.]com/c1rg/
  • hxxp://www.binges66v[.]com/eggp/
  • hxxp://www.breskizci[.]com/bs8f/
  • hxxp://www.buggy4t[.]com/ocgr/
  • hxxp://www.conjupy[.]online/a23w/
  • hxxp://www.demtate[.]xyz/d23n/
  • hxxp://www.fadsek[.]xyz/u27o/
  • hxxp://www.getdetzag[.]xyz/kt03/
  • hxxp://www.ipoyce[.]online/d1n3/
  • hxxp://www.keropy[.]xyz/s4s9/
  • hxxp://www.moukse[.]com/n35q/
  • hxxp://www.mutoros[.]com/tu46/
  • hxxp://www.nerosbin[.]info/n4w3/
  • hxxp://www.nifaji[.]com/uj3c/
  • hxxp://www.nu865ci[.]com/g5so/
  • hxxp://www.penuay[.]online/p84g/
  • hxxp://www.rasiorbee[.]com/amdf/
  • hxxp://www.renaziv[.]online/mh76/
  • hxxp://www.rezcoat[.]online/b1s5/
  • hxxp://www.singmos[.]online/o18j/
  • hxxp://www.yevosiz[.]online/b11y/


Top 3 –  Lokibot

Lokibot 악성코드는 7.4%를 기록하며 3위에 이름을 올렸다. Lokibot은 인포스틸러 악성코드로서 웹 브라우저, 메일 클라이언트, FTP 클라이언트 등의 프로그램들에 대한 정보를 유출한다.

스팸 메일을 통해 유포되는 다른 악성코드들과 유사한 파일명으로 유포된다.

  • DHL_Receipt_AWB2045829822.exe
  • Swift_Copy.exe

대부분의 Lokibot 악성코드 C&C 서버 주소는 다음과 같이 fre.php로 끝나는 특징을 가지고 있다.

  • hxxp://103.147.185[.]85/1/fre.php
  • hxxp://164.90.194[.]235/?id=21460643090716570
  • hxxp://198.187.30[.]47/p.php?id=21645050038542306
  • hxxp://198.187.30[.]47/p.php?id=23287771531910382
  • hxxp://198.187.30[.]47/p.php?id=3129435466035640
  • hxxp://198.187.30[.]47/p.php?id=36500205676958835
  • hxxp://198.187.30[.]47/p.php?id=5566589175702602
  • hxxp://37.0.8[.]87/freshlogs/fre.php
  • hxxp://45.133.1[.]45/me/five/fre.php
  • hxxp://62.197.136[.]176/userbob/five/fre.php
  • hxxp://62.197.136[.]186/oluwa/five/fre.php
  • hxxp://controlsvr1[.]ga/Concord/fre.php
  • hxxp://panel-report-logs[.]ml/dandollars/fre.php
  • hxxp://plxnva67001gs6gljacjpqudhatjqf[.]gq/Concord/fre.php
  • hxxp://sempersim[.]su/ge25/fre.php
  • hxxp://sempersim[.]su/gf4/fre.php
  • hxxp://vmopahtqdf84hfvsqepalcbcch63gdyvah[.]ml/BN2/fre.php


Top 4 –  Stop Ransomware

6.9%로 4위를 차지한 Stop Ransomware 는 주로 익스플로잇 킷을 통해 유포되는 랜섬웨어 악성코드이다. 해당 악성코드는 사용자 PC 내 특정 파일들을 암호화하며, 이전부터 다양한 형태로 변형되어 지속적으로 유포되고 있다. 최근 유포된 샘플들은 정보탈취형 악성코드인 Vidar 악성코드를 설치 후 랜섬웨어 행위를 한다.

다음은 Stop 랜섬웨어의 C&C 서버주소이다.

  • hxxp://zerit[.]top/dl/build2.exe
  • hxxp://fuyt[.]org/fhsgtsspen6/get.php
  • hxxp://fuyt[.]org/files/1/build3.exe


Top 5 – NanoCore

NanoCore는 5.0%로 5위를 기록하였다. NanoCore는 닷넷으로 개발된 RAT 악성코드로서 njRAT과 유사하게 키로깅을 포함한 정보 유출 및 다양한 공격자의 명령을 수행할 수 있다.

NanoCore는 AgentTesla, Formbook, AveMaria, Remcos 등의 악성코드와 같이 닷넷 외형의 패커로 패킹되어 스팸 메일의 첨부 파일을 통해 유포되고 있다. 즉 접수되는 파일명도 같이 스팸 메일을 통해 유포되는 악성코드들과 유사하다. 최근에는 다음과 같이 문서를 위장한 압축 파일을 통해 유포되는 케이스가 다수 확인된다.

  • lot902019302023.pdf\8asy2eja8ctafvm.exe
  • img.111009102890.jpg\z8xwvm80rrz8x5z.exe
  • IMG.4436663726277.JPG.z\tbdwk2odkwtidii.exe
  • doc00200249489354.pdf.lzh\qpmivwhymdzmdno.exe
  • kakaotalk_20220520_1342128.pdf.lzh\fmjxnvlgmlj49pf.exe
  • 00909978299.lzh\xxuhj5pkutszx9a.exe

다음은 확인된 NanoCore의 C&C 서버이다.

  • strongest.ddns[.]net:54761
  • naga0.ddns[.]net:54761
  • lowspeed.ddns[.]net:50421
  • greatman.hopto[.]org:9070
  • 91.193.75[.]221:4040
  • 62.197.136[.]29:6932

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:

0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments