ASEC(AhnLab Security Emergency response Center)에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 5월 22일 월요일부터 5월 28일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다.
대분류 상으로는 인포스틸러가 52.5%로 1위를 차지하였으며, 그 다음으로는 다운로더가 38.1%, 이어서 백도어 6.4%, 랜섬웨어가 2.5%, 코인마이너가 0.4%로 집계되었다.
Top 1 – Amadey
Amadey Bot 악성코드는 이번 주 29.7%를 차지하며 1위에 올랐다. Amadey는 다운로더 악성코드로서 공격자의 명령을 받아 추가 악성코드를 설치할 수 있으며, 정보 탈취 모듈이 사용될 경우에는 감염 시스템의 사용자 정보들을 수집하기도 한다.
일반적으로 Amadey는 정상 프로그램 및 크랙 악성코드를 위장해 유포되고 있는 SmokeLoader에 의해 설치된다. 하지만 최근에는 기업 사용자들을 대상으로 스팸 메일에 첨부된 악성 문서 파일을 통해 유포되면서 LockBit 랜섬웨어를 설치하는데 이용되고 있다.
다음은 확인된 C&C 서버 주소들이다.
- hxxp://77.91.68[.]62/wings/game/index.php
Top 2 – AgentTesla
인포스틸러 악성코드인 AgentTesla가 26.7%로 2위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다.
수집한 정보 유출 시 메일 주로 메일 즉 SMTP 프로토콜을 활용하지만 FTP나 Telegram API 등을 사용하는 샘플도 존재한다. 최근 샘플들의 C&C 정보는 아래와 같다.
- SMTP Server : mail.pinnafidelis[.]com
User : infotienda@pinnafidelis[.]com
Password : “*jrd****IO.J”
Receiver : ist.precisiion92@gmail[.]com - SMTP Server : sarahfoils[.]com
User : info@sarahfoils[.]com
Password : “Sca****ca01”
Receiver : info@sarahfoils[.]com - Telegram API : hxxps://api.telegram[.]org/bot6203672982:AAHFrf1mnh7CzXN1-UazFFMw-1n09O8a1v0/
- Telegram API : hxxps://api.telegram[.]org/bot5843567515:AAEdtJWwcJKNn64U81CKVdG-li_Ejds8raM/
- Telegram API : hxxps://api.telegram[.]org/bot2134979594:AAFk4QkrlHlt2a-q-EhIoHZBbzxSH0QxiBI/
대부분 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O. – Purchase Order) 등으로 위장한 스팸 메일을 통해 유포되기 때문에 파일명도 이와 관련된 단어 또는 문장이 사용된다. 확장자의 경우 pdf, xlsx와 같은 문서 파일로 위장한 샘플도 다수 존재한다.
- Invoice.scr
- PurchaseOrder.PDF.exe
- Luoxin 19-2023.exe
- johnftp.pif
- New Inquiry_#23052023.exe
- orden de compra.exe
Top 3 – Formbook
Formbook 악성코드는 9.7%로 3위를 기록하였다.
다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다.
- Quotation-pdf-.exe
- MT103 REF USD .exe
- Product Inquiry – PFIZER 05.22.2023.exe
- INV+PK) WTPSTL220001.PDF.scr
- packing list -Invoic BL.exe
- PRECISION MACHINERY L.L.C CONTRACT.exe
Formbook 악성코드는 현재 실행 중인 정상 프로세스인 explorer.exe 및 system32 경로에 있는 또 다른 정상 프로세스에 인젝션함에 따라 악성 행위는 두 정상 프로세스에 의해 수행된다. 웹 브라우저의 사용자 계정 정보 외에도 키로깅, Clipboard Grabbing, 웹 브라우저의 Form Grabbing 등 다양한 정보를 탈취할 수 있다.
다음은 확인된 Formbook의 C&C 서버 주소이다.
- hxxp://www.atlasmarketing[.]life/qm18/
- hxxp://www.bakecamp[.]info/dtsd/
- hxxp://www.classychic[.]top/ad89/
- hxxp://www.crpons[.]xyz/ca82/
- hxxp://www.cweas[.]online/a2e2/
- hxxp://www.delisious[.]xyz/uifn/
- hxxp://www.drivexport[.]top/efft/
- hxxp://www.dwkapl[.]xyz/m82/
- hxxp://www.fleetvolt[.]info/rsgu/
- hxxp://www.hexopb[.]xyz/gn28/
- hxxp://www.locvu[.]xyz/o17i/
- hxxp://www.martline[.]website/btrd/
Top 4 – Lokibot
Lokibot 악성코드는 7.6%로 4위를 기록하였다. Lokibot은 인포스틸러 악성코드로서 웹 브라우저, 메일 클라이언트, FTP 클라이언트 등의 프로그램들에 대한 정보를 유출한다.
스팸 메일을 통해 유포되는 다른 악성코드들과 유사한 파일명으로 유포된다.
- DOCDXI23030119_Pdf.exec
대부분의 Lokibot 악성코드 C&C 서버 주소는 다음과 같이 fre.php로 끝나는 특징을 가지고 있다.
- hxxp://171.22.30[]].164/fresh1/five/fre.php
- hxxp://185.246.220[.]60/office1/five/fre.php
- hxxp://185.246.220[.]60/petercody/five/fre.php
- hxxp://185.246.220[.]85/fresh/five/fre.php
- hxxp://185.246.220[.]85/office2/five/fre.php
- hxxp://194.180.48[.]58/oyo/five/fre.php
- hxxp://194.180.48[.]58/size/five/fre.php
- hxxp://161.35.102[.]56/~nikol/?p=143606594
Top 5 – SnakeKeylogger
5.1%로 5위를 차지한 SnakeKeylogger는 사용자 키 입력 및 시스템 클립 보드, 브라우저 계정 정보 등의 정보를 유출하는 인포스틸러 유형의 악성코드이다.
해당 악성코드는 AgentTesla와 유사하게 수집한 정보 유출 시 주로 메일 서버 및 사용자 계정들을 이용하며 이외에도 FTP, Telegram, Discord 방식이 사용될 수도 있다. 최근 유입되는 샘플들이 이용하는 C&C 정보는 아래와 같다.
- SMTP Server : cp5ua.hyperhost[.]ua
User : petercodylog@steuler-kch[.]org
Password : “72135******CE@#$”
Receiver : petercodylog@steuler-kch[.]org - Telegram API : hxxps://api.telegram[.]org/bot5869797424:AAFj7jfdzfUw1CCCNzehFXiYeFWrzxnHnAs/
- Telegram API : hxxps://api.telegram[.]org/bot6069996781:AAHmYgsHwRzaV1_6EovGh5IzcjEeVnsIkLk/
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:위협 통계
[…] 주간 피싱 이메일 위협 트렌드 (20230514 ~ 20230520) ASEC 주간 악성코드 통계 (20230522 ~ 20230528) 5 1 vote 별점 […]