2024년 악성 인프라 보고서

Executive Summary

2024년에 Insikt Group은 더 많은 멀웨어 계열과 범주, 스테이징 서버와 같은 추가 인프라 유형을 포함하고, Recorded Future® Network Intelligence와 같은 데이터 소스를 통합하여 위협 탐지와 상위 계층 인프라 인사이트 및 피해자 분석을 강화함으로써 악성 인프라 추적을 크게 확장했습니다. 공격형 보안 툴(OST)을 지배하는 Cobalt Strike, 원격 액세스 트로이목마(RAT)의 선두 주자인 AsyncRAT 및 QuasarRAT, 상위 호스팅 지역인 중국과 미국, 일시적인 영향만 미치는 경우가 많은 법 집행 조치 등, 2023년의 주요 동향이 지속되는 가운데 Insikt Group은 2024년에 몇 가지 새로운 동향을 확인했습니다.

특히, 악성 소프트웨어 서비스(MaaS) 기반 정보 유출 악성 소프트웨어(infostealers) 중 LummaC2를 중심으로 한 그룹이 확산세를 보였으며, 이는 경쟁사 정보 유출 악성 소프트웨어에 대한 법 집행 기관의 조치와 LummaC2의 빠른 기술 혁신에 의해 촉진된 것으로 추정됩니다. 또한, 안드로이드는 모바일 악성 소프트웨어의 주요 표적으로 남아 있으며, 그 중 Hook이 가장 큰 비중을 차지했습니다. 라트로데쿠스(Latrodectus)는 로더 생태계에서의 법 집행 기관의 방해에도 불구하고 드롭퍼와 로더 분야에서 지배적인 위치를 유지했습니다. 한편, 트래픽 분배 시스템(TDS)은 TAG-124 사례에서 보듯이 사이버 범죄의 효율성을 지속적으로 향상시켰으며, 클라우드플레어(Cloudflare)와 같은 콘텐츠 전송 네트워크(CDN)의 악용이 급증했습니다. 국가 후원 단체와 관련하여, 중국은 ArcSilt와 같은 중계 네트워크의 사용을 크게 확대했으며, 러시아는 합법적인 인터넷 서비스(LIS)의 광범위한 남용을 계속했습니다.

방어자는 이 보고서의 인사이트를 활용하여 주요 멀웨어 및 인프라 기술을 우선시함으로써 보안 통제를 강화하고, 네트워크 모니터링을 개선하며 YARA, Sigma, Snort와 같은 관련 탐지 기능을 배포해야 합니다. 이를 보완하기 위해, 진화하는 악성 인프라의 동태를 추적하고 방어 체계를 테스트하기 위한 위협 시뮬레이션을 수행하며 더 넓은 위협 환경을 효과적으로 모니터링하는 데 투자해야 합니다. LIS와 관련하여, 방어자는 평가된 중요도와 위험 수준에 따라 고위험 서비스를 차단, 플래그 지정 또는 허용하는 균형을 유지해야 합니다.

악성 인프라가 진화하고 탐지가 개선됨에 따라 Insikt Group은 급격한 변화보다는 지속적인 위협 행위자 혁신에 의해 2025년에도 기존 동향이 지속될 것으로 예상합니다. 예를 들어, '서비스형(as-a-service)' 생태계가 확장될 가능성이 높으며, 위협 행위자는 탐지를 피하기 위해 합법적인 도구, 서비스, 그리고 CDN을 점점 더 많이 사용할 것입니다. 또한 모바일 의존도가 증가함에 따라 Insikt Group은 모바일 기반 위협이 계속해서 증가할 것으로 예상합니다. 지금까지 주로 중국 국가 후원 그룹이 사용했던 릴레이 네트워크가 사이버 범죄자 및 다른 국가 후원 그룹에 의해 더 널리 채택될 수 있습니다. 마지막으로, 국제 협력이 강화되고 대규모 사이버 범죄 단속에 대한 전문성이 축적됨에 따라 법 집행 조치가 더 큰 영향을 미칠 것으로 예상됩니다.

주요 연구 결과

• 2024년에는 MaaS 인포스틸러가 감염을 주도했으며, RedLine Stealer와 같은 라이벌에 대한 법 집행 조치와 지속적인 혁신으로 인해 사이버 범죄 생태계가 재편되면서 LummaC2가 명령 및 제어(C2) 서버를 장악했습니다.
• AsyncRAT와 Quasar RAT는 여전히 최고의 원격 액세스 도구(RAT)로 남아 있으며, DcRAT와 같은 MaaS 기반 멀웨어는 계속해서 광범위하게 사용되고 있습니다.
• Recorded Future Network Intelligence에 따르면, 미국(북미), 브라질(남미), 앙골라(아프리카), 프랑스(유럽), 인도(아시아), 호주(오세아니아)가 해당 지역에서 가장 많은 피해자를 기록했으며, 대부분의 경우 AsyncRAT가 가장 널리 퍼진 멀웨어로 떠올랐습니다. 다른 주요 위협으로는 QuasarRAT와 Cobalt Strike가 있습니다.
• Android는 여전히 모바일 멀웨어의 주요 표적이었습니다. 상위 10개 계열 중 9개가 Android에 집중되었고, 용병 스파이웨어와 스토커웨어 같은 잠재적으로 원치 않는 프로그램(PUP)이 증가했습니다.
• Cobalt Strike는 공격 보안 도구 명령 및 제어(C2) 서버의 3분의 2를 차지했으며, jQuery가 가장 많이 사용된 변형 프로필이었고 cs2modrewrite는 가장 많은 피해 국가를 대상으로 했습니다. Cobalt Strike에 이어 Metasploit이 뒤따르고 있으며, Sliver와 Brute Ratel C4의 탐지가 크게 증가하고 있습니다.
• Mozi Botnet은 식별된 봇 수를 기준으로 2024년에 가장 많이 추적된 봇넷이었습니다. 오래된 봇넷은 여전히 활발하게 활동하면서 주로 분산 서비스 거부(DDoS) 공격, 자격 증명 도용 및 지역화된 공격에 사용되었으며, 이는 Fenix Botnet에서 볼 수 있습니다.
• 2024년에는 Latrodectus가 모든 드롭퍼와 로더를 지배하여 탐지의 33%를 차지했습니다. 이는 법 집행 기관의 로더 생태계 단속에 의해 촉발된 것으로 보입니다. 반면, 대부분의 상위 계열은 2021년 이후에 등장했으며 수명이 더 짧습니다.
• Rhysida와 같은 랜섬웨어 그룹을 포함하여 광범위한 사용자 기반에 서비스를 제공한 TAG-124에서 볼 수 있듯이, TDS는 탐지를 회피하면서 효율성, 표적 지정 및 수익성을 개선함으로써 사이버 범죄에서 중요한 역할을 계속했습니다.
• 미국과 중국은 악성 호스팅을 주도했으며, Stark Industries와 같은 방탄 호스팅 제공업체는 사이버 범죄 인프라에서 점점 더 중요한 역할을 하고 있습니다.
• 중국 국가 지원 그룹은 2024년에 전 세계의 기관을 대상으로 익명화 네트워크 사용을 확대하여 합법적인 트래픽과 혼합하고 피해자 식별을 복잡하게 만들었습니다. RedDelta는 Cloudflare를 사용하여 C2 트래픽을 프록시하고 악성 파일의 지오펜스를 설정했습니다.
• 러시아 국가 지원 그룹은 탐지를 피하기 위해 Ngrok, Cloudflare, Telegram 같은 합법적인 서비스를 점차 더 많이 이용하고 있으며, BlueDelta는 차단 시도 후 Ngrok으로 전환하고 BlueAlpha는 Cloudflare 터널을 사용하여 GammaDrop 멀웨어를 배포했습니다.

소개

Insikt Group은 피싱 키트, 스캐너, 릴레이 네트워크 등 수백 개의 멀웨어 계열, 위협 행위자 및 기타 아티팩트와 관련된 인프라를 사전에 식별하고 모니터링합니다. Insikt Group은 매일 다양한 독점적인 방법으로 악성 인프라를 자동으로 검증하여 정확한 위험 표현을 제공함으로써 Recorded Future 고객이 탐지 및 방어 역량을 강화할 수 있도록 지원합니다.

Insikt Group 의 2022년 및 2023년 연간 악성 인프라 보고서 기반, 2024년 악성 인프라 보고서는 2024년 동안 관찰된 악성 인프라에 대한 간결하고 데이터 기반의 개요를 제공합니다. 올해는 특히 수동 인프라 탐지, Recorded Future Network Intelligence 를 기반으로 한 고도화된 인프라 인사이트, 그리고 피해자 식별 간의 시너지 효과를 강조합니다. 전체적으로 이 보고서는 악성 인프라에 관심 있는 모든 사람을 대상으로 하며, 현재 상태에 대한 고수준 개요와 주요 발견 사항의 요약 내용을 제공하여 의사결정에 도움을 주고 이 매우 역동적인 환경에서 폭넓은 관점을 제시합니다.

기능이 겹쳐 멀웨어 유형을 상호 배타적으로 분류하기 어려운 점을 인식하여, 이 보고서에서는 원활한 분석을 위해 부록 A에 설명된 멀웨어 범주를 설정하고 각 범주에 대한 간략한 정의를 제공합니다. 특히 크립터와 같은 특정 멀웨어 범주는 네트워크 아티팩트가 일반적으로 존재하지 않기 때문에 의도적으로 제외되었습니다.

Insikt Group은 멀웨어 범주를 통해 악성 인프라를 검사하는 데 그치지 않고 유형별로 모니터링하며, 각 유형에는 Recorded Future Intelligence Cloud 내에서 고유한 위험 점수가 할당됩니다. 이러한 차이는 심각도의 다양한 수준을 반영합니다. 예를 들어, 기업 네트워크의 C2 서버로 들어오거나 나가는 네트워크 트래픽은 일반적으로 적극적인 악성 활동을 암시하므로 관리 패널에 비해 더 높은 위험을 나타낼 수 있습니다. Insikt Group이 정의한 인프라 유형은 부록 B에 자세히 설명되어 있습니다.

수치로 본 2024년 악성 인프라 인사이트

악성 인프라를 적극적으로 식별하는 것은 다양한 요인에 의해 형성된 복잡한 과제입니다. 데이터의 방대한 양 외에도, 특정 위협 행위자와 연결된 각 악성 소프트웨어 가족, 버전, 또는 인프라스트럭처는 종종 완전히 독특한 구성 방식을 사용합니다. 탐지가 더욱 어려워지는 이유는 CDN(Content Delivery Network)과 같은 Cloudflare 뒤에 호스팅되는 경우, 높은 또는 임의의 포트를 사용하는 경우, Discord나 Telegram과 같은 합법적인 인터넷 서비스를 의존하는 경우, 또는 침해된 인프라를 악용하는 경우 등이 있습니다.

이러한 설정은 지속적으로 진화하므로, Insikt Group은 추적 방법론을 끊임없이 혁신하고 개선해야 합니다. 이 보고서는 이러한 모든 요소를 고려하여 인포스틸러, 백도어 및 RAT, 모바일 멀웨어, OST, 봇넷, 드로퍼 및 로더, 피싱 키트, 웹 셸, 랜섬웨어 등 여러 범주의 악성 인프라를 조사합니다.

전반적으로 2024년에는 진화하는 위협 환경과 Insikt Group의 탐지 방법론 발전으로 인해 식별된 악성 인프라가 크게 증가했습니다. 예를 들어, 검증된 고유 C2 서버의 수는 2023년에서 2024년 사이에 두 배로 증가했으며, 검증된 고유 관리 패널은 같은 기간에 69% 증가했습니다.

또한 Insikt Group은 Recorded Future Network Intelligence를 사용하여 피해자 IP 주소의 지리적 위치를 기반으로 2024년에 전 세계 약 200개국에서 피해자를 식별했습니다. 그림 1의 국가들은 확인된 고유 피해자 수를 기준으로 다섯 그룹으로 분류되었으며, 노출이 높은 국가는 전 세계에 지리적으로 분산되어 있습니다. 특히 인구 규모, 디지털 발자국, 분석 편향(예: 추적되는 멀웨어 유형), 인터넷 인프라(프록시 등), 피해 조직의 지리적 호스팅 선택 등의 차이로 인해 국가별로 멀웨어의 영향을 정확하게 측정하는 것은 어려운 일입니다.

그림 1: 국가별 악성 소프트웨어 영향 분석 ( Recorded Future 기준) Network Intelligence (출처: Recorded Future)

그림 2는 대륙별 국가별 피해자 분포를 보여줍니다. 북미 지역에서 미국은 가장 많은 공격 대상 국가로, 해당 지역 전체 인구의 약 절반을 차지함에도 불구하고 약 87% 의 고유 피해자를 기록하고 있습니다. 미국에서 높은 피해자 수는 인구 규모, 광범위한 디지털 발자국, 영어의 광범위한 사용(피싱 캠페인에 악용됨) 및 경제 요인 등에 의해 주로驱动될 가능성이 높으며, 동시에 해당 국가가 전 세계 조직에 호스팅 및 디지털 서비스를 제공하는 글로벌 인프라 허브로서의 역할도 영향을 미치고 있습니다. 대부분의 피해자는 AsyncRAT와 연관되어 있으며, 그 다음으로 SolarMarker RAT와 QuasarRAT가 이어집니다( 표 1 참조). 특히, AsyncRAT 및 QuasarRAT와 달리 SolarMarker RAT는 단일 위협 행위자에 의해 운영되는 것으로 추정되며, 이전에 주로 미국을 표적으로 삼은 것으로 관찰되었습니다.

그림 2: 국가 및 대륙별 고유 피해자 수 (출처: Recorded Future)

남아메리카에서 브라질은 지역 총 피해자 수의 86% 를 차지하며 가장 많은 유일한 피해자를 기록했으며, 이는 대륙 인구의 약 절반에 해당합니다. 이전부터 사이버 공격에 가장 취약한 국가 중 하나로 지목된 브라질은 글로벌 및 지역 사이버 위협의 주요 발생지로 오랫동안 주목받아 왔으며, 사이버 범죄 활동에서 높은 순위를 차지하고 있습니다. 특히 Grandoreiro와 같은 그룹은 거의 전적으로 브라질 내부에 기반을 두고 활동하고 있습니다. 2024년 브라질 피해자 중에서 QuasarRAT 감염이 가장 널리 퍼졌으며, 이어 AsyncRAT 및 SectopRAT와 관련된 감염이 뒤를 이었습니다.

아프리카에서는 앙골라가 고유 피해자 수에서 가장 높은 기록을 세웠으며, 가나, 남아프리카 공화국, 콩고 공화국, 콩고 민주 공화국이 그 뒤를 이었습니다. 특히 아프리카에서 가장 많이 표적이 된 5개 국가 중 두 국가에서는, 여러 중국 정부 후원 단체와 연계된 멀웨어인 PlugX가 가장 널리 퍼진 멀웨어 중 하나로 평가되었습니다.

유럽에서는 프랑스가 가장 많은 고유 피해자 수를 기록했으며, 독일, 영국, 네덜란드, 폴란드가 그 뒤를 이었습니다. 5개 국가 모두에서 가장 널리 퍼진 멀웨어는 AsyncRAT였으며, 3개 국가에서 2위를 차지한 Cobalt Strike가 그 뒤를 이었습니다. 이 상위 5개 국가의 피해자 분포는 인구 규모와 밀접하게 일치합니다. 특히 네덜란드에서는 Go 언어로 작성된 멀웨어로 Linux 라우터를 노리는 백도어인 GobRAT가 상위 3대 멀웨어 계열에 포함되었습니다.

아시아에서는 인도가 가장 많은 고유 피해자를 기록했으며, 중국, 인도네시아, 태국, 홍콩이 그 뒤를 이었습니다. 이들 국가의 피해자 중 약 73%가 AsyncRAT, QuasarRAT, Cobalt Strike 감염과 관련되었습니다. 특히, Brute Ratel C4는 홍콩에서 상위 3개 멀웨어 중 하나로 선정되어 그 중대성이 커지고 있음을 보여줍니다.

오세아니아에서 호주는 지역 인구의 60%에 불과하지만, 전체 고유 피해자의 87%를 차지했습니다. AsyncRAT는 호주 피해자의 절반 이상과 관련된 가장 널리 퍼진 멀웨어였으며, 뉴질랜드에서는 피해자의 67%가 AsyncRAT 감염과 관련이 있었습니다.

표 1에는 해당 국가에서 Insikt Group이 관찰한 고유 피해자 수를 기준으로 각 대륙의 5개 주요 국가별 상위 3개 멀웨어 계열의 전체 목록이 나와 있습니다.

표 1: 대륙별 상위 5개 국가의 상위 3개 계열(출처: Recorded Future)

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.