글로벌 사이버 보안 솔루션 기업 체크 포인트 소프트웨어 테크놀로지(Check Point Software Technologies 이하 체크포인트)가 ‘2023년 4월 글로벌 위협 지수’를 발표했다.

발표에 따르면 지난 4월 체크포인트 리서치 연구원들은 여러 언어로 된 이메일에 첨부된 악성 PDF 파일을 통해 유포되는 상당한 규모의 Qbot 악성 스팸 캠페인을 발견했다. 또한 사물 인터넷(IoT) 악성코드인 미라이(Mirai)는 TP-Link 라우터의 새로운 취약점을 악용한 후 1년 만에 다시 목록에 올랐고 의료 분야는 두 번째로 많이 악용되는 산업으로 올라섰다.

지난 달에 나타난 Qbot 캠페인에는 보호된 PDF 파일이 포함된 첨부 파일이 포함된 이메일을 대상에게 보내는 새로운 전달 방법이 포함됐다. 다운로드가 완료되면 Qbot 악성코드가 장치에 설치된다. 연구원들은 악성 스팸이 여러 언어로 전송되는 사례를 발견했으며 이는 전 세계적인 조직이 표적이 될 수 있음을 의미한다.

지난 달에는 가장 많이 악용됐던 IoT 악성코드 중 하나인 미라이가 재 등장했다. 연구원들은 새로운 제로데이 취약점 CVE-2023-1380을 악용하여 TP-Link 라우터를 공격하고 이를 봇넷에 추가하고 있음을 발견했다.

영향을 받는 산업에도 변화가 있었는데, 지난 달에는 교육/연구가 전 세계적으로 가장 많은 공격을 받은 산업으로 남아 있었고 의료 및 정부/군이 그 뒤를 이었다. 의료 기관에 대한 공격은 점차 증가하고 일부 국가에서는 지속적인 공격에 직면하고 있다. 예를 들어, 사이버 범죄 그룹 메두사(Medusa)는 최근 호주의 암 시설에 대한 공격을 시작했다. 의료 업계는 기밀 환자 데이터 및 지불 정보에 대한 잠재적인 액세스를 제공하므로 해커에게 여전히 수익성이 높은 목표이다. 임상시험이나 새로운 의약품 및 기기에 대한 유출로 이어질 수 있어 제약회사에 악 영향을 미칠 수 있다.

마야 호로이츠(Maya Horowitz ) 체크 포인트 부사장은 “사이버 범죄자들은 ​​제한을 우회하기 위한 새로운 방법을 지속적으로 연구하고 있으며 이러한 캠페인은  악성코드가 살아남기 위해 적응하는 방법에 대한 추가 증거이다. Qbot이 다시 공격에 나서면서 포괄적인 사이버 보안을 갖추는 것의 중요성과 이메일의 출처와 의도를 신뢰하는 데 있어 실사를 하는 것이 중요하다는 것을 일깨워줬다.”고 말했다.

체크 포인트 리서치(이하 CPR)에 따르면 "웹 서버 악성 URL 디렉토리 통과 (Web Servers Malicious URL Directory Traversal)"가 전 세계 조직의 48%에 영향을 미쳐 가장 많이 악용된 취약성인 것으로 나타났으며, "Apache Log4j 원격 코드 실행"이 44%, "HTTP 헤더 원격 코드 실행"이 43%로 그 뒤를 이었다.

상위 악성코드군

(화살표는 전월 대비 순위 변화와 관련이 있다.)

에이전트테슬라(AgentTesla)는 지난달 전 세계 조직에서 각각 10% 이상의 영향을 받은 가장 널리 퍼진 악성 프로그램이었으며 Qbot과 Formbook이 4%의 영향을 받았다.

↑ 에이전트테슬라 – 에이전트테슬라는 키로거 및 정보 탈취 기능을 하는 고급 RAT로, 피해자의 키보드 입력, 시스템 키보드를 모니터링 및 수집하고, 스크린샷을 찍고, 피해자의 컴퓨터(Chrome, Mozilla Firefox 및 Microsoft Outlook 이메일 클라이언트)에 설치된 다양한 소프트웨어(Google 포함)로 자격 증명을 유출할 수 있다. Chrome, Mozilla Firefox 및 Microsoft Outlook 이메일 클라이언트).

↓ Qbot – Qbot AKA Qakbot은 2008년에 처음 등장한 뱅킹 트로이 목마이다. 사용자의 뱅킹 자격 증명과 키 입력을 도용하도록 설계되었다. 종종 스팸 이메일을 통해 배포되는 Qbot은 몇 가지 안티 VM, 안티 디버깅 및 안티 샌드박스 기술을 사용하여 분석을 방해하고 탐지를 회피한다.

↔ Formbook – Formbook은 윈도우 운영체제를 대상으로 하는 Infostealer로 2016년 처음 발견되었다. 강력한 회피 기술과 상대적으로 저렴한 가격 때문에 지하 해킹 포럼에서 MaaS(Malware as a Service)로 판매되고 있다. FormBook은 다양한 웹 브라우저에서 자격 증명을 수집하고, 스크린샷을 수집하고, 키 입력을 모니터링 및 기록하고, C&C의 명령에 따라 파일을 다운로드하고 실행할 수 있다.

가장 많이 악용된 취약점

지난 달에 "웹 서버 악성 URL 디렉토리 통과"가 가장 많이 악용된 취약점으로 전 세계 조직의 48 %에 영향을 미쳤으며 "Apache Log4j 원격 코드 실행"이 44%, "HTTP 헤더 원격 코드 실행"이 43%로 그 뒤를 이었다.

↑ 웹 서버 악성 URL 디렉토리 통과 - 다른 웹 서버에 디렉토리 통과 취약점이 존재한다. 이 취약점은 디렉터리 순회 패턴에 대한 URI를 적절하게 삭제하지 않는 웹 서버의 입력 유효성 검사 오류로 인해 발생한다. 악용에 성공하면 인증되지 않은 원격 공격자가 취약한 서버의 임의 파일을 공개하거나 액세스할 수 있다.

↓ Apache Log4j 원격 코드 실행(CVE-2021-44228) - Apache Log4j에 원격 코드 실행 취약점이 존재한다. 이 취약점을 성공적으로 악용하면 원격 공격자가 영향을 받는 시스템에서 임의 코드를 실행할 수 있다.

↓ HTTP 헤더 원격 코드 실행(CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - HTTP 헤더는 클라이언트와 서버가 HTTP 요청으로 추가 정보를 전달할 수 있도록 한다. 원격 공격자는 취약한 HTTP 헤더를 사용하여 피해자 시스템에서 임의 코드를 실행할 수 있다.

상위 모바일 악성코드

지난 달 Ahmyth가  모바일 악성코드 1위를 차지했으며 Anubis와 Hiddad가 그 뒤를 이었다.

AhMyth – AhMyth는 2017년에 발견된 원격 액세스 트로이 목마(Remote Access Trojan, RAT)이다. 앱스토어 및 다양한 웹사이트에서 확인할 수 있는 안드로이드 앱을 통해 배포된다. 사용자가 이러한 감염된 앱 중 하나를 설치하면 악성 프로그램은 장치에서 중요한 정보를 수집하고 키로깅, 스크린샷 만들기, SMS 메시지 보내기, 카메라 활성화 등의 작업을 수행할 수 있다.

Anubis – Anubis는 Android 휴대폰용으로 설계된 뱅킹 트로이 목마 악성코드이다. 처음 탐지된 이후 RAT 기능, 키로거, 오디오 녹음 기능 및 다양한 랜섬웨어 기능을 포함한 추가 기능을 얻었다. 구글 스토어에서 제공되는 수백 가지의 다양한 애플리케이션에서 감지되었다.

Hiddad - Hiddad는 합법적인 앱을 다시 패키징한 다음 타사 스토어에 릴리스하는 안드로이드 악성 프로그램이다. 주요 기능은 광고를 표시하는 것이지만 OS에 내장된 주요 보안 세부 정보에 액세스할 수도 있다.