포스팅 내용

악성코드 분석 리포트

비너스락커 랜섬웨어 조직, 한국 상대로 악성 문서파일 융단폭격 중



안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다.


과거 비너스락커(VenusLocker) 랜섬웨어를 유포했던 위협조직이 최근 대규모로 악성 이메일을 국내에 유포하는 정황이 지속적으로 포착되고 있어 이용자 분들의 각별한 주의가 필요해 보입니다.


이들 조직은 한글로 '입사지원서', '이미지 무단사용 내용의 저작권법 안내' 등으로 이용자들을 현혹하고, 악성 매크로 코드가 포함된 DOC 워드파일을 첨부해 집중적으로 유포하고 있으며, 주로 갠드크랩(GandCrab) 랜섬웨어를 전파시키고 있습니다.


아울러 최근에는 '임금체불관련 출석요구서', '바로가기(LNK) 파일을 새로 제작', '입사지원서 사칭 유포' 한 내용들을 알약 공식 블로그를 통해 신속하게 공개한 바 있습니다.



다양한 침해지표(IoC) 등의 추가 위협 분석자료는 이스트시큐리티 악성코드 위협대응 솔루션인 쓰렛 인사이드(Threat Inside) 서비스를 통해서 제공되고 있습니다.





ESRC에서는 해당 위협조직이 12월 08일 지난주 토요일부터 월요일 새벽까지 다양한 형태로 새로운 악성코드를 유포하고 있으며, 주말 기간에도 공격을 쉬지 않고 있는 것을 확인했습니다.


사례별로 비교해 보면 다음과 같으며, 발신자 이메일에는 한국식 이름이 설정되어 있고, 비너스락커 초창기 때처럼 다시 구글 지메일을 사용하기 시작했습니다.



[그림 1] 입사지원 및 면접 관련 내용으로 위장한 악성 이메일 (토요일 유포)



[그림 2] 입사지원서 공고 내용으로 위장한 악성 이메일 (일요일 유포)



[그림 3] 이미지 무단사용 저작권법 내용으로 위장한 이메일 (월요일 유포)



각각의 이메일에 첨부되어 있는 MS Word 문서파일에는 모두 악성 매크로 코드가 탑재되어 있으며, 실행 시 다음과 같은 화면을 보여주어 [콘텐츠 사용] 클릭을 유도하게 됩니다. 물론, 매크로가 실행되기 전까지는 악의적인 기능이 작동하진 않습니다.



[그림 4] 악성 매크로 실행을 유도하기 위해 보여지는 워드 파일 화면



매크로는 분석을 방해하기 위해 코드와 함수가 난독화되어 있으며, 특정 웹 사이트로 접속해 추가 악성파일을 설치시도 합니다.



[그림 5] 난독화된 매크로 코드 화면 일부



워드 파일의 메타 데이터를 확인해 보면 다음과 같이 한국어 기반에서 제작된 것을 알 수 있으며, 기존과 동일하게 'HP' 컴퓨터 계정에서 제작된 것을 확인할 수 있습니다.



Codepage: 949 (Korean)

Author: HP

Template: Normal.dotm

Last author: HP

Application name: Microsoft Office Word

Creation time: 일 12 9 02:48:00 2018

Last save time: 일 12 9 02:49:00 2018



매크로가 로딩되면 변종에 따라 다수의 아이피 주소로 접속해 'jackripper.exe' 악성파일을 추가로 설치하게 됩니다. 공격자는 기존처럼 베리즈 웹쉐어 서버를 구축해 추가 악성파일 유포에 활용하고 있습니다.



[그림 6] 베리즈 웹쉐어 웹서버에 등록된 악성코드 화면



한편, ESRC는 비너스락커 조직이 새로운 패턴으로 공격을 시도하는 것을 확인했습니다.


지난주 금요일 공격자는 한국의 특정 웹 사이트의 개인정보 유출 공지 내용처럼 위장해 동일한 유형의 악성파일을 유포했습니다. 과거 한국의 '특정 쇼핑몰 해킹사건과 관련한 유사사례'가 보고된 바 있었지만, 이런 유형이 자주 활용된 바는 없습니다.



 [그림 7] 개인정보 유출 안내문으로 위장한 악성 이메일



비너스락커 위협조직은 해당 공격에서 네이버 이메일 발신 아이디를 사용한 것이 목격되었습니다. 한국의 특정 웹 호스팅 서버 아이피가 사용돼 도용된 것으로 추정되고 있지만, 공격자 추적에 중요한 단서 중에 하나로 활용될 수 있습니다.


ESRC는 이들의 활동반경에 집중하고 있으며, 변화되고 있는 공격벡터와 유의미한 증거들을 확보하는데 주력하고 있습니다.


갠드크랩 랜섬웨어는 한국에서 가장 활발하게 유포되고 있는 랜섬웨어 종류 중에 하나입니다. 따라서, DOC 등의 문서파일 실행시 [콘텐츠 사용] 보안 경고창이 나타날 경우 절대 실행하지 않아야 합니다.


ESRC에서는 기존 비너스락커(VenusLocker) 랜섬웨어 유포 조직이 이번 공격에 가담한 것으로 확인했으며, 상세한 위협 인텔리전스 분석을 수행하고 있습니다.


이처럼 한국 맞춤형으로 랜섬웨어 공격이 끊임없이 발생하고 있다는 점에서 기업 및 기관의 이용자분들은 개인 보안(최신 업데이트 유지) 및 자료 보관(분리 백업)에 보다 철저한 노력이 절실한 상황입니다.


이스트시큐리티는 알약 제품군에 해당 악성파일에 대한 탐지 및 치료 기능을 긴급 업데이트해 배포하고 있는 상태이며, 랜섬웨어 행위기반 기술을 통해서도 사전대응을 유지하고 있습니다.


더불어 한국인터넷진흥원(KISA)과 긴밀한 협력을 통해 악성파일 유포 주소에 대한 조기 접근차단을 통해 피해 확산 방지에 최선을 다하고 있습니다.



※ 참고정보


▶ 비너스락커 조직 ‘바로가기’ 파일(LNK) 변경하여 유포 중인 갠드크랩 랜섬웨어 주의


▶ 비너스락커 조직, 또 다시 이력서로 위장하여 갠드크랩 랜섬웨어 유포 중!


▶ 비너스락커 조직, 임금체불 관련 출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의


▶ 비너스락커 랜섬웨어 조직, 베리즈 웹쉐어를 통해 갠드크랩 국내 다량 유포


▶ 비너스락커 위협조직, 입사지원서로 위장해 갠드크랩 랜섬웨어 한국에 급속 유포 중


▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의!


▶ 비너스 락커! 이번에는 DOC 문서 취약점을 이용하여 유포 중


▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의


▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가


▶ 가상화폐 채굴 공격으로 귀환한 비너스락커 랜섬웨어 제작자


▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요


▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의


▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염


▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중!


▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중


▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중


▶ 10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중!


▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산!


▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의!


▶ '차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 랜섬웨어 국내 다량 유포 주의


▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요




티스토리 방명록 작성
name password homepage