포스팅 내용

악성코드 분석 리포트

2020년 상반기 악성 이메일 기준 위협 통계 보고서



안녕하세요?

이스트시큐리티 시큐리티대응센터(ESRC)입니다.


2020년 1월부터 6월까지 상반기 기간동안 ESRC 내부적으로 운영하고 있는 이메일 모니터링 시스템을 통해 확인한 악성 이메일 위협 관련 특징 및 통계에 대해 정리해보았습니다. 



1. 2020년 상반기 수집된 이메일 통계



[그림 1] 2019년 하반기 및 2020년 상반기에 수집된 이메일 통계



2020년 상반기 수집된 이메일은 총 4,704건으로 지난해 하반기 6,611건 보다 무려 28%가 줄었습니다. 이는 2019년 하반기부터 2020년 2월까지 다수 유포되었던 Emotet과 TA505 Campaign의 영향으로 볼 수 있습니다. 



[그림 2] 2020년 상반기에 수집된 월별 이메일 통계



2020년 상반기 유입량을 월별로 살펴보면 1분기동안 유입수치가 꾸준히 감소하다가 2분기부터 다시 상승 추세임을 확인 할 수 있습니다. 아직까지는 2019년 하반기 만큼의 유입은 없지만, 기존 공격 패턴으로 미루어 보아 2020년 하반기는 악성 이메일 공격과 유입이 증가할 것으로 예측됩니다.


2020년 상반기 동안 유포된 악성 이메일을 유형별로 살펴보면 다음과 같은 특징을 확인 할 수 있습니다.



[그림 3] 2020년 상반기 수집된 악성 이메일의 유형



2020년 상반기 악성 이메일을 자체 정의한 기준(아래 표1 참조)으로 유형을 나눴을 때, 악성코드 첨부파일형이 86.4%로 거의 대부분이었고, 뒤를 이어 링크를 통한 피싱형이 7.3%를 차지하였습니다. 

악성 첨부파일(Attach-Malware)을 이용한 공격이 다수이고 공격자 입장에서는 아직까지 꽤나 유용한 방법임을 반증한다 할 수 있습니다.



 유형

 설명 

 Attach - Phishing

 첨부파일을 통해 개인정보를 입력하게 하는 유형

 Attach - Malware

 첨부파일에 멀웨어가 존재하는 유형

 Link - Phishing

 링크 클릭시 Phishing 사이트로 연결되는 유형

 Link - Malware

 링크 클릭시 멀웨어가 외부에서 다운로드되는 유형

 Img Tag

 이메일 본문 내 악성 'img' 태그를 이용하는 유형

 Hoax

 거짓 내용으로 상대에게 송금을 유도하는 유형

[표 1] ESRC 자체 정의 기준 악성 이메일 유형



다음은 악성 이메일 첨부파일이 어떤 특징이 있는지 살펴보기 위한 차트입니다.



[그림 4] 2020년 상반기 수집된 악성 이메일의 첨부파일 유형에 따른 분류



첨부파일의 가장 큰 비중은 Trojan(70%)인데 그 중 Downloader형이 전체 통계 중 33%를 차지 할 만큼 비중이 높았습니다. 

Exploit(13%)이나 Spyware(13%)도 결국 Download를 통해 공격을 수행하기 때문에 대부분의 악성 이메일 첨부파일은 Download를 통해 악성행위가 이루어진다고 볼 수 있습니다. 


Download형 공격은 최소의 기능만 넣어 사이즈는 물론이고 백신으로부터 탐지도 일부 회피할 수 있기 때문에 공격자 입장에서는 매우 선호되는 방식입니다.



2. 2020년 상반기 주요 위협 이메일의 특징


지금부터는 2020년 상반기에 추가되거나 중단된 위협 이메일에는 어떤 것들이 있었는지 주요 이슈가 된 내용 위주로 정리해보겠습니다.



[그림 5] 수집된 주요 악성 이메일 4가지 유형에 대한 2019년 하반기 및 2020년 상반기 비교 통계



1) Emotet Campaign

Emotet Campaign은 주로 문서 파일 또는 링크를 첨부하여 보내는 특징을 가지고 있습니다. 

2019년 3분기에 26건을 시작으로 4분기에 477건(1730%)으로 공격이 크게 급증한 후, 2020년 2월까지 99건을 유포한 뒤 현재까지는 잠시 공격이 중단된 모습입니다. 


2) TA505 Campaign

TA505 Campaign은 주로 엑셀(excel) 문서를 첨부하여 보내는 특징이 있습니다. 

Emotet보다 규모가 크지는 않았으나 2019년 12월에 공격이 급증된 후, 2020년 들어서는 공격수치가 소강된 상태를 보이고 있습니다. 


3) COVID19 키워드를 사용한 악성 이메일의 등장

2020년 3월 9일 코로나19 바이러스로 인한 세계보건기구(WHO)의 “Pandemic”발표가 있었습니다. 전 세계적으로 퍼져나간 코로나19 바이러스의 영향으로 이를 악용한 악성 이메일들이 등장하기 시작했습니다. 

2020년 3월부터 그 수치가 급증하였고 2분기가 지난 현재까지 지속적인 유입이 이뤄지고 있습니다. 공격자들이 악성 이메일 공격 시, 사회적인 이슈를 어떻게 활용하고 있는 지 여부를 확인 할 수 있는 부분입니다. 

(실제 COVID19 키워드를 이용한 악성 이메일 수치는 훨씬 더 많았으나, 저희가 보여드리는 COVID19 이메일 수집 통계는 내부 시스템을 통해서만 수집한 수치임을 참고하시기 바랍니다.)


4) 비너스락커 조직의 꾸준한 위협

비너스락커(Venuslocker) Campaign의 경우 매우 오랜 기간동안 꾸준하게 이메일 공격을 시도하고 있습니다. 지난 2019년 4분기에 다소 많이 공격이 이뤄지긴 했지만, 전체 트렌드가 바뀔 정도의 유의미한 차이로 보이지는 않습니다. 다만, Sodinokibi, Nemty, Makop 등 다양한 랜섬웨어를 일정 기간 사용하는 것으로 보아 해당 조직은RaaS(Ransomware as a Service)를 적극 공격에 활용하고 있는 것으로 유추해 볼 수 있습니다.



3. 2020년 상반기 실제 유포된 주요 위협 이메일 사례


다음은 실제 유포된 주요 위협 이메일입니다. 추가적인 정보는 하단 링크를 통해 자세히 확인 가능합니다.



[그림 6] Emotet email 실제 화면



관련 내용 :





 

[그림 7] TA505 email 실제 화면



관련내용 :




[그림 8] Covid19 email 실제 화면



관련내용 :



 

[그림 9] Venuslocker 공정거래위원회 사칭 email 실제 화면



[그림 10] Venuslocker 이력서 사칭 email 실제 화면



관련 내용 :




2020년 하반기에도 악성 이메일 모니터링을 통해 신속하게 이슈 공유를 진행할 예정이며, 좀 더 상세한 개별 악성 이메일 관련 이슈&분석 및 상세 침해지표(IoC) 정보는 '쓰렛 인사이드(Threat Inside)'를 통해 확인이 가능합니다. 





티스토리 방명록 작성
name password homepage