[기술보고서] 이스트 시큐리티 보안 동향 보고서 (9월)

221004
송보연

1. 악성코드 통계 및 분석

1) 악성코드 동향
- 2022 8월에는 LockBit3.0 샌섬웨어, 매그니베르 랜섬웨어 및 김수키 비너스락커, KGH해킹 조직 등 북 연계 해킹 조직의 공격이 활발히 이루어짐.
- 지난달(22.07), LockBit3.0 샌섬웨어가 발견, 8월에 국내에 유포되기 시작.
유포방식 : 입사지원서를 위장한 피싱 메일을 통해 유포. 이력서를 위장한 랜섬웨어 파일이 첨부되어있음
- 지난달에 이어 매그니베르 랜섬웨어가 지속적으로 발생함.기존과 동일한 파일명의 랜섬웨어 파일 사용. 하지만 다양한 파일명을 사용해 감염률을 높이려 함.
- 자문요청, 업무요청 메일등으로 위장해서 메일 속 첨부파일이나 피싱 사이트로 연결하는 링크클릭을 유도하는 위협 많이 발생
- 국내 기업을 대상으로 하는 귀신(Gwisin)랜섬웨어가 의료 및 제약회사 등을 꾸준히 공격시도 / 북한발 해킹 공격등 이메일통한 공격이 지속 / 이메일 뿐 아니라 다른 여러 경로르 통한 공격 등
--> 출처가 불분명한 메일, 메신저로 전달되는 파일이나 링크를 클릭하지말고 삭제해야.

2. 알약 악성코드 탐지 통계
- pc에서 탐지된 악성코드를 기반으로 산출된 통계 top15

- 악성코드 유형별 비율 / 호스트파일이 가장 높은 비율로 탐지됨. 7월에 비해 전체 감염건수는 약 42.6%감소

- 카테고리별 악성코드 비율 전월 비교 / 호스트파일 유형의 악성코드 감염이 21%-->95%로 크게 증가 등

3. 악성코드 유포지/경유지 URL통계

2. 악성코드 분석 보고서

1) woodyRAT악성코드 분석 보고서
※ woodyRAT : 러시아어로 작성된 문서파일로 유포되었고, 최종페이로드는 명령제어 악성코드며, 최근까지 이메일 등으로 유포가 이루어짐 / 사용자의 시스템 정보 유출과 명령제어 등의 일반적인 RAT기능과 더불어 원격제어 가능하다는 특징

- DOC문서 : 러시아어로 작성된 비밀번호 설정, 악성코드 방지 등 정보보안 수칙에 대한 내용이 보여지고 Folina취약점을 이용해서 c2접속후 페이로드를 다운로드 하고 실행

- woodyRAT파일분석
(쿠기값 설정, 정보전송, 명령제어, 닷셋&파워쉘 명령제어 ...)

- 결론 : woodyRAT 악성코드는 사용자 정보 전송 및 명령 제어 기능을 수해하는 원격제어 악성코드.
위의 최초 문서파일은 러시아어로 작성되어있으나 다양한 언어로변경되어 유포될 가능성이 있고, 닷셋,파워쉘 등 다양한 언어로 작성된 원격제어 명령을 처리함
--> 공격자의 의도에 따라 기업과 개인의 정보유출 또는 명령어 실행 등으로 큰 금전피해 발생 가능
--> 이런 악성 코드에 감염되지 않도록 출처불분명한 이메일 링크 혹은 첨부파일에 대해 실행 하지 말아야. 백신최신으로 유지해야.


2) Trojam.Android.SmsSpy악성코드 분석 보고서
- 개요 : 스미싱을 통한 악성 앱 공격은 스마트폰 사용시작했던 초기부터 꾸준히 발견되었음. 수사기관 사칭 스미싱도 이중 하나. 보통 경찰 혹은 검찰을 사칭해 스미싱 진행. 택배와 같이 자주 접할 수 있는 문자가 아니기에 쉽게 속을 가능성 존재.
스미싱 문자로 온 링크를 클릭하면 악성앱이 스마트폰에 다운로드, 설치됨. 다운로드된 악성 앱은 경찰에서 배포하는 이파인 앱으로 위장, 피해자는 피해를 당하고 있다는 사실조차 알기 어려움

- 악성 앱 분석 : 이 사진은 스미싱문자의 링크를 클릭하면 이동하는 랜딩페이지. 공격자가 만들어놓음

전화번호 및 이름, 생년월일을 기입하게끔 하고 다 입려하면 악성 앱 다운로드 페이지로 이동해서 앱을 다운로드 하게되고, 이 악성앱이 실행되면 여러 단계를 걸쳐 피해자의 개인정보 탈취가 진행됨. 각 단계에서 입력했던 개인정보는 그때그때 공격자(c2)에게 전송됨.
--> 신분증, 신용카드정보, 전화번호 등의 개인정보

- 이 악성앱의 주요 기능 : 개인 정보 탈취 ( 신분증, 주민번호) / 금융 정보 탈취 (신용카드, 은행정보) / SMS탈취 / SMS전송 / 연락처 탈취 / 인증서 탈취
---> 탈취코드 보여줌

- 결론 : Trojam.Android.SmsSpy는 스미승을 통해 유포되는 대표적인 악성 앱 중 하나. 악성행위들을 통해 피해자의 민감한 개인정보 탈취가 목적임을 알 수 있음. 이렇게 탈취한 개인정보를 통해 이를 악용해 2차 공격을 통해 더 큰 피해가 발생할 수도 있음. 이런 공격들은 사용자가 앱 설치에 충분한 주의를 기울이면 예방가능 하기에 사용자의 예방노력이 필요

예방 : 출처가 불분명한 앱 설치 급지 / 공식사이트에서만 앱 설치 (제작자체크) / SMS나 메일 등으로 보낸 앱 설치금지
대응 : 신뢰가능한 백신앱으로 검사 수행 및 삭제 / 백신앱이 악성앱을 탐지하지 못했을경우 백신앱의 신고하기 기능을 사용해 신고 후 수동으로 악성 앱 삭제

3. 최신 보안 동향

- 국내에 LockBit3.0랜섬웨어 유포 시작! 비너스 락커 혹은 모방 조직으로 추정돼..
- 매그니베르 랜섬웨어, 지속적인 파일명 변경을 통해 사용자 감염 시도중!
- 북한 해커 조직, 국내 대형 포털 클라우드 서비스 사칭해 공격 중!
- 북 해킹 조직, 국내 유명 모바일 메신저를통해 공격 진행 중 !
- 국방 관련 부처 계정정보 탈취를 시도하는 공격주의!