또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥!

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다.

저희는 대한민국을 주무대로 활동하는 사이버 위협그룹의 활동반경을 집중 모니터링하고 있으며, 최근 몇 개월사이 가장 활발한 움직임이 감지되고 있는 조직에 주목해 위협 인텔리전스 기반 대응을 강화하고 있습니다. 

이들이 사용하고 있는 침해지표 IoC 들은 A.l(인공지능) 기반 악성코드 위협대응 솔루션 '쓰렛인사이드(Threat Inside)'를 통해 제공되고 있습니다.

대표적인 한국대상 위협 행위자(Threat Actor)들 가운데에서도 금전적인 수익을 비지니스 모델로 유지하고 있는 것은 단연 독보적으로 비너스락커(VenusLocker) 조직을 꼽을 수 있습니다.

2016년 비너스락커 조직의 태동과 과거로의 회상

이들은 2016년 전후로 비너스락커라는 랜섬웨어를 한국의 기관들을 중심으로 맞춤형 공격하기 시작하였고, 이후에 민관 구분없이 범죄 대상을 확대하고 있습니다.

2016년 12월 24일 크리스마스 이브에 공격자들은 한국인 발신자 형식의 이메일 계정과 '한국' 키워드가 포함된 특정 기관을 대상으로 공격한 사례를 기억하실지 모르겠습니다.

당시 2016년 연말정산관련 안내 메일로 위장해 비너스락커 랜섬웨어를 무차별적으로 유포한 바 있고, 초기에는 10여명이 넘는 (공)기업 내부의 임직원 메일로 다량 전파를 시도했습니다.

[그림 1] 2016년도 비너스락커 조직이 초창기 사용했던 악성 이메일의 화면

위협조직이 활동하기 시작한 2016년 초기에는 DOC 매크로 기법을 많이 사용했고, 이후에는 바로가기 LNK 파일을 활용한 공격벡터를 함께 쓰기도 합니다.

그리고 암호화 압축을 사용해 이메일 보안 솔루션의 의심파일 탐지 행위 등을 회피하는 시도도 수행합니다.

 [그림 2] 2016년 연말정산 내용으로 위장한 악성 압축파일 화면

초기시절 비너스락커 위협그룹이 사용한 악성 문서파일에는 중국어 기반의 DengXian 폰트가 사용되었고, 알약 블로그의 포스팅 이미지가 사용된 바도 있습니다. 공격자들이 알약 블로그를 보고 있었다는 가능성을 배제할 수 없습니다.

더불어 공격자가 악성파일을 제작할 때 ALZip 압축프로그램을 이용하고, 한국어 OS 운영체제를 쓰고 있었다는 것도 중요한 포인트 중에 하나입니다.

더불어 한국 표현에 매우 능통하고, 유창한 언어 구사력을 가지고 있다는 점도 위협 인텔리전스에 있어 중요한 지표로 활용되고 있습니다.

ESRC에서는 이들 조직에 대한 지속적인 추적과 분석을 수행하고 있으며, 비트코인 등 최근 크립토커런시 시세에 영향을 주기 위한 의도적인 사이버 범죄 활동 가담여부 등 다양한 가능성을 염두에 두고 조사를 진행 중입니다.

2018년 또 다시 귀환한 연말정산 위협 시나리오

2018년 12월 12일 수요일 새벽 약 2년만에 동일한 공격 벡터를 가지고 비너스락커 조직들이 귀환한 것이 ESRC 위협 헌팅(Threat Hunting)에 탐지되었습니다.

이번 사례도 기존과 마찬가지로 당해년도 연말정산 변경사항 안내처럼 사칭한 제목이 쓰였으며, 기존 이메일 문장에는 마침표(.)가 대부분 생략되어 있었지만, 이번 공격 이메일에서는 마침표들이 많이 포함되어 있습니다.

그리고 발신자 이메일 주소가 구글 지메일에서 특정 한국 회사의 도메인이 사용된 특징이 있습니다. 과거 공격자들이 직접 이메일 서버를 구축한 사례도 목격된 바 있었고, RAT 계열의 악성파일을 유포한 이력도 존재합니다.

[그림 3] 2018년도 연말정산 변경사항 안내로 위장한 악성 이메일

공격에 사용된 기법은 기존과 마찬가지로 악성 MS 워드(DOC)파일이 첨부되어 있고, 매크로 실행(콘텐츠 사용)을 유도해 또 다른 Payload 파일을 다운로드시키는 과정을 거치게 됩니다.

최근 알약 블로그를 통해 지속적으로 알려드리고 있지만, '입사지원서', '이미지 저작권 위반', '개인정보 유출', '임금체불 출석요구서', '교통 범칙금' 등 사회공학적 기법을 교묘하게 결합해 사용하고 있습니다.

금번에 유포된 DOC 악성파일도 보여지는 화면은 기존과 크게 다르진 않습니다.

[그림 4] 악성 문서 실행시 보여지는 매크로 실행 유도 화면

[콘텐츠 사용] 버튼을 눌러 악성 매크로가 작동되면 내부에 난독화된 코드에 의해 특정 웹 사이트로 접속해 'jackripper.exe' 파일을 다운로드하고 실행을 진행합니다.

'jackripper.exe' 파일 이름은 기존이랑 동일한 파일명으로 계속 쓰이고 있으며, 공격자가 곧 변경할 것으로 예상이 되며, 유포 IP 주소(192.227.133.51)는 계속해서 달라지고 있는 상태입니다.

대표적인 주소들은 다음과 같습니다.

- 192.227.133.51/jackripper[.]exe

- 192.154.213.122/jackripper[.]exe

- 104.227.244.149/jackripper[.]exe

- 104.227.244.162/jackripper[.]exe

[그림 5] 추가로 설치되는 악성파일 화면

최근까지 공격자들은 RaaS 기반의 갠드크랩(GandCrab) 랜섬웨어를 유포하는데 집중하고 있고, 현재도 계속 활성화되어 있는 위협으로 유지되고 있습니다만, 요 며칠사이에 공격그룹이 변화를 시도한 정황이 속속 포착되고 있습니다.

기존에 목격되지 않았던 실행파일 패킹을 도입해 쓰고 있고, 랜섬웨어 뿐만 아니라 RAT 계열의 Smoke Bot 을 유포해 감염된 컴퓨터의 관리자 권한을 획득하거나 내부 정보를 탈취할려는 모습이 보이고 있습니다.

ESRC는 비너스락커 위협그룹이 또 다른 거점과 교두보를 확보하기 위한 새로운 시도일 가능성을 염두에 두고, 특별히 예의주시하고 있는 상황입니다.

이스트시큐리티는 알약 보안 제품군에 해당 악성파일에 대한 탐지 및 치료 기능을 긴급 업데이트해 배포하고 있는 상태이며, 랜섬웨어 행위기반 기술을 통해서도 사전대응을 유지하고 있습니다.

더불어 한국인터넷진흥원(KISA)과 긴밀한 협력을 통해 악성파일 유포 주소에 대한 조기 접근차단을 통해 피해를 최소화하는데 노력하고 있습니다.

※ 참고정보

▶ 비너스락커 랜섬웨어 조직, 한국 상대로 악성 문서파일 융단폭격 

▶ 비너스락커 조직 ‘바로가기’ 파일(LNK) 변경하여 유포 중인 갠드크랩 랜섬웨어 주의

▶ 비너스락커 조직, 또 다시 이력서로 위장하여 갠드크랩 랜섬웨어 유포 중!

▶ 비너스락커 조직, 임금체불 관련 출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의

▶ 비너스락커 랜섬웨어 조직, 베리즈 웹쉐어를 통해 갠드크랩 국내 다량 유포

▶ 비너스락커 위협조직, 입사지원서로 위장해 갠드크랩 랜섬웨어 한국에 급속 유포 중

▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의!

▶ 비너스 락커! 이번에는 DOC 문서 취약점을 이용하여 유포 중

▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의

▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가

▶ 가상화폐 채굴 공격으로 귀환한 비너스락커 랜섬웨어 제작자

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요

▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의

▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염

▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중!

▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중

▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중

▶ 10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중!

▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산!

▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의!

▶ '차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 랜섬웨어 국내 다량 유포 주의

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요