ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 10월 17일 월요일부터 10월 23일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다.
대분류 상으로는 인포스틸러가 52.7%로 1위를 차지하였으며, 그 다음으로는 다운로더 악성코드가 37.0%, 백도어 8.8%, 랜섬웨어 1.0%, 뱅킹 악성코드가 0.5%로 집계되었다.

Top 1 – Agent Tesla
인포스틸러 악성코드인 AgentTesla가 23.4%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다.

수집한 정보 유출 시 메일(SMTP)을 활용하며 FTP나 Discord API 등을 사용하는 샘플도 존재한다. 최근 샘플들의 C&C 정보는 아래와 같다.
- server : mail.timeoptic[.]com (43.241.56[.]16)
sender : sales@timeoptic[.]com
receiver : goldtrusttship66@gmail[.]com
user : sales@timeoptic[.]com
pw : 5***0 - server mail.fttmas[.]com (167.250.5[.]29)
sender : sales2@fttmas[.]com
receiver : mpdolx@yandex[.]com
user : sales2@fttmas[.]com
pw : 0****^(? - server : mail.scahe.co[.]in (219.90.65[.]155)
sender : sj@scahe.co[.]in
receiver : cloud.page@yandex[.]com
user : sj@scahe.co[.]in
pw : sc****45
대부분 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O. – Purchase Order) 등으로 위장한 스팸 메일을 통해 유포되기 때문에 파일명도 이와 관련된 단어 또는 문장이 사용된다. 확장자의 경우 pdf, xlsx와 같은 문서 파일로 위장한 샘플도 다수 존재한다.
- PO_6039792_Order_Confirmation.exe
- Remittance_advice.exe
- Debit_note.exe
- FB-108N FB-108NK 詢價 – 田勤.exe
- BBMT2022Q753_AA_CARPENTRY_SCAN.exe
- Bank_slip.exe
- PO#ATN-19055-1.exe
- BALANCE_PAYMENT.exe
- Quote_2200001842.exe
Top 2 – BeamWinHTTP
16.1%로 2위를 차지한 BeamWinHTTP는 다운로더 악성코드이다. PUP 설치 프로그램으로 위장한 악성코드를 통해 유포되는데, BeamWinHTTP가 실행되면 PUP 악성코드인 Garbage Cleaner를 설치하고, 동시에 추가 악성코드를 다운로드하여 설치할 수 있다.

다음은 확인된 C&C 서버 주소이다.
- 45.15.156[.]54/itsnotmalware/count.php
- 45.139.105[.]171/itsnotmalware/count.php
Top 3 – Smokeloader
Smokerloader는 인포스틸러 / 다운로더 악성코드이며 익스플로잇 킷을 통해 유포된다. 이번 주는 13.2%를 차지하며 3위에 올랐다. 익스플로잇 킷을 통해 유포되는 다른 악성코드와 마찬가지로 MalPe 외형을 갖는다.
실행되면 explorer.exe에 자기 자신을 인젝션하게 되고, 실제 악성 행위는 이 explorer.exe에 의해 수행된다. C&C 서버에 접속한 후 명령에 따라 추가 모듈을 다운로드 받을 수도 있고, 또 다른 악성코드를 다운로드 받을 수도 있다. 추가 모듈의 경우 다운로드되는 모듈 대부분은 인포스틸러 기능을 담당하며, 자식 프로세스로 explorer.exe를 생성하여 모듈을 인젝션하여 동작시킨다.
Smoker Loader는 인포스틸러 / 다운로더 악성코드로서 6.6% 비율로 이번주 5위를 차지하였다. Smoke Loader와 관련된 분석 보고서는 아래의 ASEC 리포트 내에 존재한다.
[PDF] ASEC REPORT vol.101_한층 업그레이드된 최신판 스모크로더(Smoke Loader), 전격해부
다음은 확인된 C&C 서버 주소들이다.
- hiragaih[.]com
- kyotoltdssl[.]com
- kuitobowls[.]com
- sakuratoma[.]com
- yukyurice[.]com
- kyotobowls[.]com
- fujysoey[.]com
- gesshtbow[.]com
- hasekushi[.]com
C&C 서버의 명령에 따라 외부에서 또 다른 악성코드를 다운로드 받을 수 있는데, 확인된 악성코드로는 Dharma 랜섬웨어, Lockbit 랜섬웨어 등이 있다.
Top 4 – SnakeKeylogger
11.2%로 4위를 차지한 SnakeKeylogger는 사용자 키 입력 및 시스템 클립 보드, 브라우저 계정 정보 등의 정보를 유출하는 인포스틸러 유형의 악성코드이다.

해당 악성코드는 AgentTesla와 유사하게 수집한 정보 유출 시 메일 서버 및 사용자 계정들을 이용하며, 최근 유입되는 샘플들이 이용하는 계정은 아래와 같다.
- host : us2.smtp.mailhostbox[.]com (208.91.199[.]225)
sender: sonia.socorro@centra1-logistica[.]com
receiver: sonia.socorro@centra1-logistica[.]com
user: sonia.socorro@centra1-logistica[.]com
pw: 29m***N^G - host : us2.smtp.mailhostbox[.]com (208.91.199[.]225)
sender: wbb@sumce-cn[.]com
receiver: wbb@sumce-cn[.]com
user: wbb@sumce-cn[.]com
pw: ipy***O$r9 - host : us2.smtp.mailhostbox[.]com (208.91.199[.]225)
sender : coordinacion1@oibvagenciaduana-ec[.]com
receiver : coordinacion1@oibvagenciaduana-ec[.]com
user : coordinacion1@oibvagenciaduana-ec[.]com
pw : TR***1
Top 5 – Formbook
Formbook 악성코드는 9.3%로 5위를 기록하였다.

다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다.
- SPRING SHINE – VSL PARTICULARS.exe
- Proof of payment.exe
- revised_invoice.exe
- MV OCEAN DRAGON(SHIP PARTICULARS).exe
- Request for Quotation.exe
- SOA FROM 2020 TO FEB 2021.pdf.exe
- DHL Notification_pdf.exe
- Rev NX028362 Contract Tender.exe
- DHL_PDF.exe
Formbook 악성코드는 현재 실행 중인 정상 프로세스인 explorer.exe 및 system32 경로에 있는 또 다른 정상 프로세스에 인젝션함에 따라 악성 행위는 두 정상 프로세스에 의해 수행된다. 웹 브라우저의 사용자 계정 정보 외에도 키로깅, Clipboard Grabbing, 웹 브라우저의 Form Grabbing 등 다양한 정보를 탈취할 수 있다.

다음은 확인된 Formbook의 C&C 서버 주소이다.
- hxxp://www.dwpato[.]xyz/s11n/
- hxxp://www.aseopli[.]online/g2e8/
- hxxp://www.myvea[.]online/c0e5/
- hxxp://www.flayos[.]xyz/g47e/
- hxxp://www.shutro[.]online/mr06/
- hxxp://www.asyimpo[.]xyz/g28p/
- hxxp://www.gastries[.]info/ndgi/
- hxxp://www.myvea[.]online/c0e5/
- hxxp://www.lastsummercog[.]com/ermr/
- hxxp://www.ziewip[.]xyz/sm28/
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:위협 통계