2020년 상반기 악성 바카라 두바이 기준 위협 통계 보고서
2020년 1월부터 6월까지 상반기 기간동안 ESRC 내부적으로 운영하고 있는 바카라 두바이 모니터링 시스템을 통해 확인한 악성 바카라 두바이 위협 관련 특징 및 통계에 대해 정리해보았습니다.
1. 2020년 상반기 수집된 바카라 두바이 통계
[그림 1] 2019년 하반기 및 2020년 상반기에 수집된 바카라 두바이 통계
2020년 상반기 수집된 바카라 두바이은 총 4,704건으로 지난해 하반기 6,611건 보다 무려 28%가 줄었습니다. 이는 2019년하반기부터 2020년 2월까지 다수 유포되었던 Emotet과 TA505 Campaign의 영향으로 볼 수 있습니다.
[그림 2] 2020년 상반기에 수집된 월별 바카라 두바이 통계
2020년 상반기 유입량을 월별로 살펴보면 1분기동안 유입수치가 꾸준히 감소하다가 2분기부터 다시 상승 추세임을 확인 할 수 있습니다. 아직까지는 2019년하반기 만큼의 유입은 없지만, 기존 공격 패턴으로 미루어 보아2020년 하반기는 악성 바카라 두바이 공격과 유입이 증가할 것으로 예측됩니다.
2020년 상반기 동안 유포된 악성 바카라 두바이을유형별로 살펴보면 다음과 같은 특징을 확인 할 수 있습니다.
[그림 3] 2020년 상반기 수집된 악성 바카라 두바이의 유형
2020년 상반기 악성 바카라 두바이을 자체 정의한 기준(아래 표1 참조)으로 유형을 나눴을 때, 바카라 두바이코드 첨부파일형이 86.4%로 거의 대부분이었고, 뒤를 이어 링크를 통한 피싱형이 7.3%를 차지하였습니다.
바카라 두바이 첨부파일(Attach-Malware)을 이용한 공격이 다수이고 공격자 입장에서는 아직까지꽤나 유용한 방법임을 반증한다 할 수 있습니다.
유형 | 설명 |
Attach - Phishing | 첨부파일을 통해 개인정보를 입력하게 하는 유형 |
Attach - Malware | 첨부파일에 멀웨어가 존재하는 유형 |
Link - Phishing | 링크 클릭시 Phishing 사이트로 연결되는 유형 |
Link - Malware | 링크 클릭시 멀웨어가 외부에서 다운로드되는 유형 |
Img Tag | 바카라 두바이 본문 내바카라 두바이 'img' 태그를 이용하는 유형 |
Hoax | 거짓 내용으로 상대에게 송금을 유도하는 유형 |
[표 1] ESRC 자체 정의 기준 악성 바카라 두바이 유형
다음은 악성 바카라 두바이 첨부파일이 어떤 특징이 있는지 살펴보기 위한 차트입니다.
[그림 4] 2020년 상반기 수집된 악성 바카라 두바이의 첨부파일 유형에 따른 분류
첨부파일의 가장 큰 비중은 Trojan(70%)인데 그 중 Downloader형이 전체 통계 중33%를 차지 할 만큼 비중이 높았습니다.
Exploit(13%)이나 Spyware(13%)도 결국 Download를 통해 공격을 수행하기 때문에 대부분의 악성 바카라 두바이 첨부파일은Download를 통해 악성행위가 이루어진다고 볼 수 있습니다.
Download형 공격은 최소의 기능만 넣어 사이즈는 물론이고 백신으로부터 탐지도 일부 회피할 수 있기때문에 공격자 입장에서는 매우 선호되는 방식입니다.
2. 2020년 상반기 주요 위협 바카라 두바이의 특징
지금부터는 2020년 상반기에 추가되거나 중단된 위협 바카라 두바이에는어떤 것들이있었는지 주요 이슈가 된 내용 위주로 정리해보겠습니다.
[그림 5] 수집된 주요 악성 바카라 두바이 4가지 유형에 대한 2019년 하반기 및 2020년 상반기 비교 통계
1) Emotet Campaign
Emotet Campaign은 주로 문서파일 또는 링크를 첨부하여 보내는 특징을 가지고 있습니다.
2019년3분기에 26건을 시작으로 4분기에 477건(1730%)으로 공격이 크게 급증한 후, 바카라 두바이 2월까지 99건을 유포한 뒤 현재까지는 잠시 공격이 중단된 모습입니다.
2) TA505 Campaign
TA505 Campaign은 주로 엑셀(excel) 문서를 첨부하여 보내는 특징이 있습니다.
Emotet보다 규모가 크지는 않았으나 2019년 12월에 공격이 급증된 후, 바카라 두바이들어서는 공격수치가소강된 상태를 보이고 있습니다.
3) COVID19 키워드를 사용한 악성 바카라 두바이의 등장
2020년 3월 9일 코로나19 바이러스로 인한 세계보건기구(WHO)의 “Pandemic”발표가 있었습니다. 전 세계적으로 퍼져나간코로나19 바이러스의 영향으로 이를 악용한 악성 바카라 두바이들이 등장하기 시작했습니다.
바카라 두바이 3월부터 그 수치가 급증하였고 2분기가 지난 현재까지지속적인 유입이 이뤄지고있습니다. 공격자들이 악성 바카라 두바이 공격 시, 사회적인 이슈를어떻게 활용하고 있는 지여부를확인 할 수 있는 부분입니다.
(실제 COVID19 키워드를 이용한 악성 바카라 두바이 수치는 훨씬 더 많았으나, 저희가 보여드리는 COVID19 바카라 두바이 수집 통계는 내부 시스템을 통해서만 수집한 수치임을 참고하시기 바랍니다.)
4) 비너스락커 조직의 꾸준한 위협
비너스락커(Venuslocker) Campaign의 경우 매우 오랜 기간동안 꾸준하게 바카라 두바이 공격을 시도하고 있습니다. 지난 2019년 4분기에 다소 많이 공격이 이뤄지긴했지만, 전체 트렌드가 바뀔 정도의 유의미한 차이로 보이지는 않습니다. 다만, Sodinokibi, Nemty, Makop 등 다양한 랜섬웨어를 일정 기간 사용하는 것으로 보아 해당 조직은RaaS(Ransomware as a Service)를 적극 공격에 활용하고 있는 것으로유추해 볼 수 있습니다.
3. 2020년 상반기 실제 유포된 주요 위협 바카라 두바이 사례
다음은 실제 유포된 주요 위협 바카라 두바이입니다. 추가적인 정보는 하단 링크를 통해 자세히 확인 가능합니다.
[그림 6]Emotet email 실제 화면
관련 내용 :
[그림 7]TA505 email 실제 화면
관련내용 :
[그림 8]Covid19 email 실제 화면
관련내용 :
[그림 9]Venuslocker 공정거래위원회 사칭 email 실제 화면
[그림 10]Venuslocker 이력서 사칭 email 실제 화면
관련 내용 :
2020년 하반기에도 악성 바카라 두바이 모니터링을 통해신속하게 이슈 공유를 진행할예정이며, 좀 더상세한 개별 악성 바카라 두바이 관련 이슈&분석및 상세 침해지표(IoC) 정보는를 통해 확인이 가능합니다.