유명 취업사이트 채용공고 지원문의로 위장된 랜섬웨어 피해 속출

안녕하세요? 이스트시큐리티 위협인텔리전스 전문조직인 시큐리티대응센터 (이하 ESRC)입니다.

마치 한국의 유명 취업전문 웹 사이트의 채용 공고와 지원문의로 교묘하게 위장된 갠드크랩 (GandCrab) 랜섬웨어(Ransomware) 이메일이 국내에 급속도로 전파되고 있으며, 실제 감염 피해 보고까지 속출하고 있어 기업의 채용 및 인사담당자들의 각별한 주의가 요망됩니다.

이 공격자(해커)는 2016년 말부터 한국의 특정기관 및 기업, 고유 커뮤니티에 속한 개인들을 상대로 약 1년 넘게 랜섬웨어 유포를 수행하고 있습니다. 

그런 가운데 며칠 전부터 국내 취업전문 웹 사이트의 채용정보에 기재된 기업 내 인사담당자의 이메일로 집중 공격을 수행하고 있어 피해가 연이어 보고되고 있는 실정입니다.

이전에는 주로 이메일에 압축된 형태로 악성파일(LNK, EXE, DOC)을 첨부해 사용하였는데, 최근에는 이메일 본문에 악성 URL 링크를 한글로 연결시켜 클릭을 유도하고, 다운로드된 압축파일 내의 'resume.js' 스크립트 파일로 랜섬웨어가 설치하도록 변경한 상태입니다.

현재 관련해 특정 취업전문 사이트에서도 다음과 같은 긴급 공지로 주의를 안내하고 있습니다.

[긴급] 이메일 입사지원으로 위장된, 바이러스 메일 주의 필요!

▷ http://www.saramin.co.kr/zf_user/help/live/view?idx=80926&listType=notice

[긴급] 이메일 지원으로 위장된, 바이러스 메일 주의 2차 공지

▷ http://www.saramin.co.kr/zf_user/help/live/view?idx=81111&listType=notice

아래 화면은 2018년 5월 9일 한국에 유포된 이메일 중 하나로, 실제 채용지원 문의내용과 크게 차이가 없을 정도로 매우 정교하게 만들어진 것을 알 수 있습니다.

 

[그림 1] 취업사이트 채용공고 지원 메일로 위장한 랜섬웨어 유포 이메일 화면

기존의 랜섬웨어 유포 이메일과는 다르게 악성 (압축)파일을 이메일에 첨부하지 않고, 본문에 '이력서를 첨부하였습니다.' 부분에 악성 URL 주소를 링크시켰습니다.

만일 해당 이메일을 수신한 인사담당자가 해당 링크를 클릭하면 IP주소가 미국 소재인 특정 대만기업의 웹 사이트로 통신을 하고, 발신자의 이메일 아이디처럼 위장한 이름의 압축 파일(발신자 이메일 아이디_resume.zip)이 또 다른 프랑스 소재의 서버에서 다운로드됩니다. (※ 변종 공격에 따라 이메일 내용과 링크는 일부 달라지고 있습니다.)

[그림 2] 이력서 파일로 위장해 다운로드된 압축파일

다운로드된 압축파일 내부에는 이력서를 의미하는 영문표기의 악성 자바스크립트 'resume.js' 파일이 포함되어 있습니다.

[그림 3] 이력서 파일로 위장한 악성 스크립트 포함 압축 파일 화면

'resume.js' 자바스크립트 파일은 분석 및 보안탐지 회피 목적으로 코드가 난독화되어 있습니다.

[그림 4] 난독화된 'resume.js' 악성 스크립트 파일 코드 화면

기업의 인사담당자가 악성 스크립트 파일을 실행할 경우, 호스트가 미국 소재인 또 다른 명령제어(C2) 서버로 통신을 시도하게 됩니다.

만약 통신이 성공할 경우 컴퓨터의 임시폴더(Temp) 경로에 EXE 랜섬웨어 파일이 다운로드되게 됩니다.

다음 화면은 실제 공격자의 명령제어(C2) 서버와 통신이 성공해 랜섬웨어 악성 파일이 다운로드된 패킷 화면입니다.

[그림 5] 명령제어(C2) 서버에서 추가로 다운로드된 EXE 악성파일 패킷 화면

악성 자바스크립트 파일은 C2 서버의 'update.php' 명령에 의해 '1.pdf' 파일명으로 다운로드한 후 다시 임시폴더(Temp) 경로에 랜덤한 파일명의 EXE 파일로 랜섬웨어를 생성하고 실행합니다. 암호화가 완료되면 사용자의 바탕화면을 바꾸고 기존 파일명 뒤에 '.CRAB' 이라는 확장자가 추가됩니다.

[그림 6] 암호화 완료 후 바탕 화면 교체된 화면

[그림 7] .CRAB 확장자 추가된 화면

공격자는 C2 서버에 시간차를 두고 계속 변종 EXE 파일을 등록해, 새로운 변종 랜섬웨어를 지속적으로 유포하는데 활용하고 있습니다.

ESRC에서는 한국인터넷진흥원(KISA)과 협력해 해당 서버의 국내 접속을 차단할 수 있도록 진행 중이며, 추가 공격에 대한 모니터링을 강화하고 있습니다.

이처럼 과거 비너스락커(Venus Locker) 랜섬웨어를 유포했던 공격자가 오토크립터(AutoCryptor) 랜섬웨어, 갠드크랩(GandCrab) 랜섬웨어 등 거의 1년 넘도록 한국 맞춤형 공격을 지속적으로 수행하고 있습니다.

다음과 같은 실제 사례들을 참고해 유사 보안 위협에 노출되지 않도록 각별한 주의가 필요합니다.

특히, 최근 인사담당자를 겨냥한 공격이 증가하고 있다는 점에서 기업 보안 강화가 절실한 상황입니다.

현재 알약에서는 관련 악성파일들을 'Trojan.Ransom.GandCrab, Trojan.JS.Downloader.Agent' 등으로 진단하고 있습니다. 

▶ 갠드크랩(GandCrab) 랜섬웨어 CVE-2017-8570 취약점으로 유포 

▶ 입사지원서로 위장하여 유포되는 GandCrab 랜섬웨어 주의

▶ 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의

▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의

▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의

▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요

▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의

▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염

▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중!

▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중

▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중

▶ 10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중!

▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산!

▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의!

▶ '차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 랜섬웨어 국내 다량 유포 주의

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요