보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
알약 통계로 확인해 본 '코로나' 키워드를 활용한 최근 2달간의 공격 동향
현재 코로나 19 바이러스(COVID-19) 전염병은 전세계적으로 확산 추세이며, 3/30 현재(글 작성 시점)까지 약 200여개국에서 확진자 약 70만명 / 사망자 약 3만3천여명을 기록하고 있어 WHO(World Health Organization)에서는 팬데믹 선언을 하기까지 이르렀습니다.
전세계적으로 이러한 신종 코로나 바이러스가 확산되면서 이 '코로나' 키워드를 활용한 사이버 공격 건수도 함께 급증하고 있습니다.
ESRC에서 2020년 2월 초부터 3월 말까지 약 2달간 '코로나' 키워드로 수집/등록한 DB만 해도 약 400여 건에 이르며 그중 Top15 악성코드를 꼽아보면 다음과 같습니다.
[그림 1] 코로나 키워드를 활용해 유포된 악성코드 신규 DB등록건 Top15
신규로 가장 많이 DB로 등록된 악성코드는 Trojan.Agent.Wacatac이며, 그 뒤를 이어 Trojan.Agent.Emotet, Trojan.Downloader.DOC.Gen 등도 많이 유포되었습니다.
코로나 관련 이슈로 신규 등록된 악성코드와 관련하여 최근 2달 사이에 알약 공개용 백신을 통해 탐지된 전체 건을 합치면 약 11만 건에 이르며, 그 중 가장 많이 탐지된 악성코드는 역시 Trojan.Agent.Wacatac이었습니다.
Trojan.Agent.Wacatac : 이메일 첨부파일로 유입. 정상 프로세스에 인젝션하여 감염PC의 정보를 탈취하는 악성코드
다음은 신규로 등록된 코로나 관련 악성코드 중 2월부터 3월까지의 2달간 탐지 수치 Top15를 추린 통계입니다.
악성코드명 | 탐지수치 |
Trojan.Agent.Wacatac | 47,276 |
Trojan.Agent.Miner | 24,019 |
Trojan.Agent.FormBook | 12,326 |
Exploit.CVE-2017-11882 | 11,455 |
Trojan.Agent.Emotet | 9,601 |
Trojan.Downloader.DOC.Gen | 3,153 |
Spyware.LokiBot | 3,062 |
Trojan.Downloader.XLS.gen | 1,190 |
Spyware.AgentTesla | 1,052 |
Trojan.Agent.Vebzenpak | 488 |
Trojan.PDF.Phish | 276 |
Backdoor.Linux.Mirai | 107 |
Trojan.PSW.Predator | 89 |
Trojan.JAVA.Agent.Gen | 11 |
Trojan.Ransom.MBRLock | 7 |
신규DB로 가장 많이 등록된 Trojan.Agent.Wacatac이 4만이 훌쩍 넘는 탐지 수치를 보였으며, Trojan.Agent.Miner와 Trojan.Agent.FormBook, Trojan.Agent.Emotet도 높은 탐지 건을 기록했습니다.
2월 초부터 3월말까지 확인된 '코로나' 키워드를 이용한 국내외 주요 사이버 공격을 간략히 도식화해보면 다음과 같습니다.
[그림 2] 2020년 2월~3월간 코로나 키워드 활용 주요 공격 사례 요약
도식화한 내용을 포함하여 코로나19 바이러스 키워드를 활용했던 공격의 상세 내용은 아래와 같습니다.
2020/02/03
신종 코로나 바이러스 감염증에 관한 안전 조치를 사칭한 피싱 캠페인이 미국과 영국을 공격. 피싱 캠페인은 미국 질병통제예방센터의 공식 알림 메시지로 위장. 사용자 자격증명을 탈취 시도
2020/02/06
한국 특정 기업에 유입된 'Coronavirus Update: China Operations' 타이틀의 메일로, 코로나바이러스로 인한 중국 외 타국 공장과의 연락방법/생산일정 재개정보를 확인하도록 유도하며 키로깅 및 백도어 설치 시도
2020/02/10
코로나19 관련 정보로 가장해 휴대전화에 있는 은행 앱의 금융 정보를 빼가는 스미싱. '한국 코로나 바이러스 첫 사망자 발생'의 제목으로 휴대전화 문자 메시지나 카카오톡 메신저로 URL 유포 시도
2020/02/13
'corona virus' 키워드를 활용하여 다양한 내용의 이메일을 유포하며 조작된 문서를 통해 원격에서 임의의 코드를 실행하는 악성코드 설치 시도
2020/02/21
WHO를 사칭한 피싱 이메일 유포. 피싱 메일은 발송자의 주소를 실제 기관의 사이트 주소와 비슷하게 만들었으며 가짜 마이크로소프트 OutLook 페이지로 연결돼 사용자 이름과 비밀번호를 탈취 시도
2020/02/23
'코로나국내현황', '국내코로나실시간현황'등의 파일명을 사용하며 파일 실행시 원격제어,키로깅, 화면캡쳐, 정보탈취, 추가악성코드 설치 등이 가능한 악성코드 감염되며 국내에서 제작된 것으로 파악
2020/02/24
'마스크 무료 배포', '코로나로 인한 택배배송 지연' '국내 우한폐렴 급속도 확산', '감염자 및 접촉자 신분정보 확인하기' 등의 문자와 함께 스미싱 공격 시도
2020/02/27
미국 질병통제예방센터 메일로 사칭한 메일 대량 유포. 첨부파일을 통해 감염PC를 원격 제어할 수 있는 RemcosRAT 유포
2020/03/02
김수키 조직, 코로나19 이슈를 악용한 최초의 '한글'로 작성된 악성 이메일 유포 확인. 국제교류 및 외교 관련 기관 타겟으로 유포되었으며, 감염시 추가 악성코드 설치
2020/03/05
Hakbit 랜섬웨어의 변종이 Corona 랜섬웨어로 이름을 변경하여 등장. 랜섬머니로 300달러상당의 비트코인을 요구
2020/03/06
국내 코로나19 확산의 줄기 중 하나인 '신천지'의 비상 연락처로 위장한 Bisonal 악성코드 유포. 일단 감염시 백도어 설치
2020/03/09
WHO를 사칭하여 코로나19 관련 내용으로 전송된 이메일에서 FormBook 인포스틸러 유포 시도
2020/03/09
이탈리아를 타깃으로 WHO 소속 의사가 보낸 것으로 위장하여 감염 예방 조치로 위장한 문서가 포함된 이메일을 통해 Trickbot 유포 확인
2020/03/12
Johns Hopkins 대학에서 운영중인 실제 코로나19 바이러스 지도와 유사하게 제작한 가짜 지도를 통해 AZORult 인포스틸러를 유포하여 사용자 웹브라우저에 저장된 민감정보 탈취 시도
2020/03/13
한글로 작성된 코로나 19 이슈 악용 Hoax 등장. 랜섬웨어처럼 위장하여 복호화비용으로 10,000원 상당의 컬처랜드 문화상품권을 요구하나 실제 파일 암호화는 진행되지 않음
2020/03/13
CoronaVirus라는 신종 랜섬웨어가 특정 유틸리티 사이트로 위장하여 배포. 해당 랜섬웨어는 특정 파일에 대한 암호화를 진행하는 동시에 다양한 계정정보와 가상화폐지갑, 쿠키정보를 탈취 시도
2020/03/16
'코로나'라는 한글이름을 사용한 악성앱 유포. 위치 및 카메라 관련 파일 탈취, 원격명령을 통해 추가 악성행위 진행
2020/03/16
'코로나바이러스 대응'이라는 제목의 이메일을 통해 피싱 공격 시도. 이메일 첨부파일에는 기존 김수키 그룹에서 활용했던 BabyShark 악성코드가 부비트랩화되어 있는 것을 확인
2020/03/17
질병 연구를 위한 분산 컴퓨팅 프로젝트인 Folding@home 브랜드를 악용하여 메일 수신자에게 코로나 바이러스 치료법을 찾는 것을 도와달라고 요청하며 함께 RedLine Stealer 유포. 민감정보 및 하드웨어 구성 및 보안 소프트웨어와 같은 시스템 정보를 탈취
2020/03/18
코로나 바이러스 정보 확인 어플리케이션을 가장한 CovidLock 모바일 랜섬웨어 유포 확인. 화면잠금 공격을 수행하고 100달러 상당의 비트코인을 복호화비용으로 요구하지만, 복호화키가 발견되었음
2020/03/19
APT36 그룹에서 인도 정부의 코로나19 관련 보건 지침 문서로 위장한 피싱 캠페인 진행하여, CrimsonRAT 설치 유도. CrimsonRAT 감염시 피해자 자격증명, 스크린샷 캡쳐, 백신 정보등을 수집
2020/03/20
TrickBot과 Emotet 악성코드가 AI 및 머신러닝 기반 보안제품의 탐지 우회를 위해 실제 코로나 바이러스 관련 뉴스 기사 내용을 파일정보에 반영하기 시작한 것이 확인됨
2020/03/23
김수키 조직, MacOS 사용자 대상으로 “COVID-19 and North Korea.docx"라는 이메일 첨부파일을 통해 공격 시도. 감염시 사용자 정보 탈취
2020/03/23
Netwalker 랜섬웨어 공격자가 코로나19 관련 피싱 이메일을 통해 기업과 정부 기관을 공격
2020/03/25
WHO 사무총장이 보낸 메일로 위장한 피싱 메일이 HawkEye 키로거를 유포. 피싱 메일은 코로나19 치료 관련 약물 정보를 제공한다는 내용으로 위장. 감염 시 스크린샷 캡처, 모든 키 입력 기록, 자격 증명 도용 등의 작업을 수행
2020/03/25
Maze 랜섬웨어가 새로운 코로나19 백신을 준비 중인 영국의 임상 연구 조직을 공격. 해당 조직은 감염시스템을 복구했으나 공격자는 탈취한 데이터를 다크웹에 샘플 공개
2020/03/25
'코로나 안티 바이러스-세계 최고의 보호'라는 문구로 광고하는 악성 웹사이트 발견. 해당 사이트는 실제 코로나19 바이러스를 예방해준다며 컴퓨터 백신 프로그램을 설치하도록 유도하며, 설치시 BlackNET에 감염되어 피해자 PC를 bot으로 만듦
2020/03/26
사용자 주변의 코로나19 감염자를 알려준다며 설치를 유도하는 “Coronavirus Finder”라는 앱 발견. 해당 앱에는 Ginp 뱅킹 트로이목마가 숨겨져 있으며, 오버레이 앱을 통해 사용자의 결제 정보를 탈취
2020/03/27
브루트포싱 공격으로 해킹된 D-Link, Linksys 라우터가 특정 도메인 목록에 접근하려 하는 사용자를 가짜 코로나19 정보 앱을 설치하도록 요구하는 사이트로 리디렉션하는 공격 확인. 해당 앱 설치시 Oski 트로이목마를 설치해 브라우저로부터 계정 자격 증명 및 가상 화폐 계정을 탈취
2020/3/30
코로나19 바이러스에 노출되어 검사 필요하다는 내용으로 병원에서 보낸 이메일로 위장한 피싱 캠페인 발견
2020/3/31
Zeus Sphinx, 코로나19 바이러스 이슈 악용해 재등장, 악성코드 감염 시 사용자 정보 탈취
대부분의 공격은 코로나 관련 정보를 제공하거나 코로나 관련 치료/예방법을 제공한다는 내용의 이메일을 통해 사용자의 공포심/호기심을 이용해 문서 및 실행파일 등의 첨부파일을 클릭하도록 유도하고 있었습니다.
첨부파일에는 각종 실행파일, MS Office관련 문서&매크로 파일, LNK파일, Java스크립트, VBS스크립트 등 다양한 형태가 존재했으며, 파일명에는 대부분 covid19, coronavirus 등 corona관련 문자열이 포함되어 있었습니다.
악성코드가 포함되어 있지 않더라도 신뢰할 수 있는 기관인 것처럼 속여 계정입력을 유도/탈취하는 시도도 다수 확인되었습니다.
또한 MacOS 사용자 및 안드로이드OS 사용자를 노린 공격, 리눅스 Miraibot 등이 확인되었듯이 공격자는 Windows 사용자뿐만이 아닌 다양한 운영체제를 사용하는 사용자들을 타깃으로 광범위한 공격을 수행한 것으로 확인됩니다.
사용자 여러분들은 코로나 바이러스 관련 이메일을 받았을 경우 각별한 주의를 기울이고, 특히 첨부파일을 오픈하지 않고, 계정정보를 입력하는 내용에 동요하지 않는 것이 중요합니다.
신뢰할 수 있는 코로나 바이러스 관련 정보는 낯선 첨부파일이나 앱, 생소한 사이트가 아닌 CDC, WHO 공식 사이트 또는 지역 보건소 사이트를 방문하여 획득하시기 바랍니다.
ESRC에서는 지속적으로 코로나 키워드를 활용한 공격을 모니터링하고 신속하게 대응하기 위해 노력하겠습니다.
