NemucodAES 랜섬웨어와 Kovter 악성코드, 동일한 캠페인을 통해 배포 돼

NemucodAES ransomware and Kovter trojan bundled in the same campaigns

최근 보안전문가들이 NemucodAES 랜섬웨어와 Kovter 악성코드가 스팸 캠페인을 통해 함께 배포 되고 있다고 밝혔습니다.

보안 연구원들은 지난 2주 동안 NemucodAES 랜섬웨어와 Kovter 클릭 악성코드를 다운로드 및 실행하는 JavaScript 파일이 담긴 .zip 파일을 배포하는 악성 스팸 메일이 급격히 증가한 것을 발견했습니다.

NemucodAES는 2016년 Locky 및 TeslaCrypt 랜섬웨어를 배포한 여러 캠페인들에서 사용 된 것으로 알려진 Nemucod 악성코드 다운로더의 변종입니다.

NemucodAES 랜섬웨어는 복호화 툴로 위협을 최소화 할 수 있지만,Kovter 악성코드는 파일리스 악성코드로 발견이 힘듭니다. Kovter 악성코드는 개인 정보를 훔치고 추가 악성 페이로드를 다운로드 및 실행하기 위해 많은 공격자들에게 사용되어 왔습니다.

스팸 캠페인들은 United Parcel Service의 공지로 위장한 악성 .zip 압축파일을 전송합니다.

연구원들은 “대부분의 조직들에서, JavaScript 파일을 포함한 Zip 파일이 첨부된 악성 스팸은 거르기 쉽다. 하지만, 이러한 메시지들 중 일부는 필터링을 우회해 일부 사람들이 감염 될 가능성이 있다. 사용자들은 NemucodAES 복호화 툴을 이용해 파일을 복구할 수 있지만, 나는 이 랜섬웨어가 지속적으로 진화할 것이라고 생각 된다.”고 밝혔습니다.

최근 캠페인은 NemucodAES와 Kovter 악성코드를 악성 .zip 압축파일 내에 함께 포함시켜, 사용자가 이 압축파일을 열 경우 악성JavaScript 파일이 추출 됩니다.

NemucodAES 랜섬웨어는 원본 파일 이름에 어떠한 정보도 추가하지 않으며, “AppData\Local\Temp” 디렉토리에 (.hta 파일을 통해) 파일 복호화를 위한 내용을 전달합니다. 또한 랜섬 노트로 bmp 파일을 사용합니다.

<이미지 출처 : http://securityaffairs.co/wordpress/61036/malware/nemucodaes-ransomware.html>

피해자들은 $1,500 랜섬머니를 비트코인으로 지불하라는 요구를 받습니다. 

Kovter 악성코드는 트래픽을 체크하고 C&C 트래픽을 생성하는데만 사용 되는 것으로 추정됩니다. 

출처 :

http://securityaffairs.co/wordpress/61036/malware/nemucodaes-ransomware.html

https://isc.sans.edu/forums/diary/NemucodAES+and+the+malspam+that+distributes+it/22614/