상세 컨텐츠

본문 제목

비너스락커 위협조직, 입사지원서로 위장해 갠드크랩 랜섬웨어 한국에 급속 유포 중

악성코드 분석 리포트

by 알약(Alyac) 2018. 11. 15. 18:31

본문




안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다.


2018년 11월 15일부터 입사지원서를 사칭한 악성 이메일을 통해 한국의 불특정 다수의 이용자들에게 랜섬웨어가 급속 유포되고 있어 각별한 주의가 필요합니다.


추가 위협 분석자료는 이스트시큐리티 악성코드 위협대응 솔루션인 쓰렛 인사이드(Threat Inside) 서비스를 통해서도 확인해 보실 수 있습니다.



[그림 1] 비너스락커 랜섬웨어 유포 조직이 입사지원서를 사칭해 유포 중인 악성 이메일 화면



한국에 유포된 악성파일은 갠드크랩(GandCrab) 랜섬웨어 v5.0.4 변종이며, 마이크로소프트사 오피스 문서파일(.DOC)의 악성 매크로 기능을 통해 다량 전파되었습니다.


해당 위협그룹은 기존 비너스락커(VenusLocker) 랜섬웨어 조직으로 확인되었으며, 이들 조직은 과거 DOC 취약점을 이용해 랜섬웨어를 유포한 이력도 가지고 있습니다.


갠드크랩 랜섬웨어는 러시아에서 제작되어 Ransomware-as-a-Service (RaaS) 형태로 글로벌 사이버 범죄자들에게 판매되고 있는 것으로 알려져 있습니다.


ESRC는 15일 오후부터 해당 랜섬웨어가 국내에 급속 유포 중인 것을 자체 랜섬웨어 행위기반 차단통계 시스템과 '쓰렛 인사이드(Threat Inside)' 정보 등을 활용해 분석했고, 신속하게 긴급 대응을 완료한 상태입니다.


특히, 악성파일은 한국인의 특정 개인정보가 포함된 워드 문서파일처럼 위장한 특징을 가지고 있으며, 워드파일 버전의 차이로 내용이 정상적으로 보여지지 않는 것처럼 조작한 후, [콘텐츠 사용] 버튼을 클릭하도록 유도하고 있습니다.



[그림 2] 개인정보를 담고 있는 악성 매크로 문서 화면 (일부 모자이크 처리)



만약, [콘텐츠 사용]을 클릭할 경우 악성 매크로 코드가 작동하며, 특정 서버로 접속해 갠드크랩 랜섬웨어 변종을 설치하는 과정을 수행하게 됩니다.


해당 서버는 동적 DNS 주소로 구성되어 있으며, 명령 제어(C2)로 사용된 서버에서 변종 악성코드가 추가로 발견되었습니다.



[그림 3] 악성 DOC 문서와 EXE 갠드크랩 랜섬웨어가 등록된 서버 화면



한편, 변종 워드파일의 매크로 실행 유도용 이미지 화면에는 기존과 다른 형태가 발견되기도 했습니다.


하나는 ['콘텐츠 사용', '편집 사용']이고, 다른 하나는 ['콘텐츠 사용']입니다. 이런 정황으로 보아 공격자가 직접 이미지 편집까지 수행한 것으로 판단됩니다.



[그림 4] 악성 DOC 워드 문서 변종 비교 화면



ESRC는 악성 DOC 문서를 분석한 결과, 공격자는 코드 페이지가 한국어(949) 기반인 상태에서 제작했고, 2018년 11월 15일 오전에 악성파일을 제작함과 동시에 한국에 다량 유포를 수행하고 있어 각별한 주의가 필요한 상태입니다.



[그림 5] 악성 DOC 파일의 메타 데이터 중 한국어 코드페이지 화면



악성 DOC 문서에는 VBA 매크로 코드가 포함되어 있으며, 내부 분석을 방해하기 위해 함수들이 대부분 난독화되어 있는 상태입니다.


매크로 코드가 작동하게 되면, 명령제어(C2) 서버로 통신을 시도하고 갠드크랩(GandCrab) 랜섬웨어 5.0.4 변종이 다운로드됩니다.



[그림 6] 난독화되어 있는 악성 매크로 VBA 코드 화면



최종적으로 설치된 EXE가 실행되면 갠드크랩 랜섬웨어가 감염되어 바탕화면이 변경되고, 컴퓨터에 보관되어 있던 주요 데이터들이 모두 암호화됩니다.


그리고 랜섬노트 'CRRILRPP-DECRYPT.txt' 파일이 다수의 경로에 생성되어 집니다.



[그림 7] 갠드크랩 랜섬웨어 5.0.4 변종에 감염된 화면



'CRRILRPP-DECRYPT.txt' 랜섬노트 파일에는 다음과 같이 암호화된 파일들을 복호화하기 위한 설명이 포함되어 있습니다.



[그림 8] 갠드크랩 5.0.4 랜섬노트 화면



랜섬노트를 통해 토르(Tor) 사이트로 접속하면, 다음과 같이 대시(DASH)와 비트코인(Bitcoin) 요구 화면을 보게 됩니다.



[그림 9] 갠드크랩 복구 비용 안내 토르 사이트 화면



갠드크랩 랜섬웨어는 한국에서 가장 활발하게 유포되고 있는 랜섬웨어 종류 중에 하나입니다. 따라서, DOC 등의 문서파일 실행시 [콘텐츠 사용] 보안 경고창이 나타날 경우 절대 실행하지 않아야 합니다.


ESRC에서는 기존 비너스락커(VenusLocker) 랜섬웨어 유포 조직이 이번 공격에 가담한 것으로 확인했으며, 상세한 위협 인텔리전스 분석을 수행하고 있습니다.


이처럼 한국 맞춤형으로 랜섬웨어 공격이 끊임없이 발생하고 있다는 점에서 기업 및 기관의 이용자분들은 개인 보안(최신 업데이트 유지) 및 자료 보관(분리 백업)에 보다 철저한 노력이 절실한 상황입니다.


이스트시큐리티는 알약 제품군에 해당 악성파일에 대한 탐지 및 치료 기능을 긴급 업데이트해 배포하고 있는 상태이며, 랜섬웨어 행위기반 기술을 통해서도 사전대응을 유지하고 있습니다.


더불어 한국인터넷진흥원(KISA)과 긴밀한 협력을 통해 악성파일 유포 주소에 대한 조기 접근차단을 통해 피해 확산 방지에 최선을 다하고 있습니다.



※ 참고정보


▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의!


▶ 비너스 락커! 이번에는 DOC 문서 취약점을 이용하여 유포 중


▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의


▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가


▶ 가상화폐 채굴 공격으로 귀환한 비너스락커 랜섬웨어 제작자


▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요


▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의


▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염


▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중!


▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중


▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중


▶ 10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중!


▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산!


▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의!


▶ '차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 랜섬웨어 국내 다량 유포 주의


▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요




관련글 더보기

댓글 영역