포스팅 내용

악성코드 분석 리포트

2018 연말정산 시즌 비너스락커 유포 조직 활동중!

안녕하세요이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

최근 연말정산 시즌을 겨냥한 홈택스 사칭 악성 메일을 통해 국내에 GandCrab랜섬웨어가 유포되고 있어 사용자 주의를 당부 드립니다.


※ 관련글 보기

 

▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥!

▶ 비너스락커 조직 바로가기’ 파일(LNK) 변경하여 유포 중인 갠드크랩 랜섬웨어 주의

▶ 이미지를 드롭하는 갠드크랩(GandCrab) 5.0.4 발견!


이번에 발견된 연말정산 사칭 악성 메일은 기존에 발견된 연말 정산사칭 악성 메일과 동일한 내용을 가지고 있으며, 첨부 파일의 실행을 유도합니다. 특징적으로 이전에 유포된 연말정산사칭 악성 메일과 비교했을 때, ‘벌써 2018년도의 한해를 마무리하는 12월도 절반을 지나고 있습니다.’ 에서 ‘벌써 2018년도 끝을 바라보고 있습니다로 변경되었습니다.

 

[그림 1] 수신된 메일


해당 공격자의 lnk 파일에 남겨진 정보를 추적하여 기존
비너스락커 조직 ‘바로가기’ 파일(LNK) 변경하여 유포 중인 갠드크랩 랜섬웨어 주의
제작자와PC가 동일한 것을 특정 할 수 있었고 현재도 지속적으로 악성코드를 생산하고 있는 것으로 확인하였습니다.
 



[
그림 2]  공격자 PC 고유 식별자


한편 메일 발송에 사용된 도메인은 실제 국세청 홈텍스와 비슷한 (hometax4.com)을 별도로 등록하고 사용했습니다.

 

[그림3] 도메인 등록 정보(whois)


해당 도메인 등록자는 해당 도메인 외에도 꾸준히 악성코드 유포에 활용될 수 있을만한 주로 회사이름으로 보이는 도메인을 등록, 전용으로 사용중인 것으로 보입니다.



[그림 4]도메인 등록자가 사용하는 도메인 목록

 

첨부 파일 2018년 연말정산 안내.alz 에는 2개의 바로가기 파일(lnk) 1개의 doc 파일이 담겨져 있습니다.  

 

 

[그림 5] 첨부된 ‘2018년 연말정산 안내.alz  파일

 

만일 이용자가 연말 정산을 확인하기 위해 바로가기 파일을 실행할 경우, 명령어에 의해 GandCrab 랜섬웨어가 실행됩니다.

 

 

 [그림 6] ‘2018년 연말정산 정리.jpg’ 바로가기 파일 

 

EXE가 실행되면 갠드크랩(5.0.4) 랜섬웨어가 감염되어 바탕화면이 변경되고, 컴퓨터에 보관되어 있던 주요 데이터들이 모두 암호화 됩니다.

 

 [그림 7] 갠드크랩 암호화시 연결되는 도메인

 

[그림 8] 갠드크랩 랜섬웨어에 감염된 화면

 

[그림 9] 갠드크랩 랜섬노트 화면

 

격자는 '연말 정산혹은 '이미지 무단 사용', ‘이력서등 다양한 형태로 업데이트하고 있습니다따라서 사용자 여러분들께서는 출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다

 

알약에서는 해당 샘플들에 대하여 ‘Trojan.Ransom.GandCrab으로 탐지중에 있습니다