포스팅 내용

악성코드 분석 리포트

[주의] 헌법 재판소 소환장으로 유포중인 갠드크랩 v5.2 주의!



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

헌법 재판소 소환장으로 위장하여 갠드크랩(GandCrab) 랜섬웨어 v5.2가 대량 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 



[그림 1] 깨진 파일이 첨부된 헌법 재판소 사칭 이메일



해당 메일은 25일 오전부터 대량으로 유포되기 시작하였으며 ‘당신은 의제에 법정에 표시해야’라는 어색한 한글로 작성되어 있습니다. 


수신자에는 국내 대기업, 기관, 연구소, 금융, 대학 등이 대거 포함되어 있어 주의가 필요합니다. 


이 이메일의 내용은 다음과 같이 어색한 한글로 작성되어 있습니다. 



최고 헌법 재판소에 의해 환영 받는다!

 

12:00 년 2 월 25 일에 헌법 재판소에 도착 해야 합니다. 신원 증명을 위한 여권 또는 기타 서류를 소지 해야 합니다. 

동시에, 나는 회의에 참여 하기 위해 당신은 수비수 자신을 초대 하거나 무료 변호사 법원에 적용 할 수 있는 권리가 있음을 알려드립니다. 지정 된 위치에 호출이 나타나지 않도록 하는 이유가 있는 경우 시간, 뿐만 아니라 변호사의 참여를 보장 하기 위해 요청을 할 의도, 당신은 이메일 또는 기타로 사전에 우리에 게 통지 해야 합니다. 우리의 연락처 세부 사항 뿐만 아니라이 편지에 첨부 된 샘플 문을.

 

케이스 번호: #8174 02 242

경찰서 도착 일시: 2019-02-25

 

 

귀하의 케이스에 있는 자료를 주의깊게 읽으십시오. 우리는 귀하의 케이스에 있는 모든 필요한 서류와 함께이 편지에 아카이브를 적용 합니다.



공격자의 실수인지 아니면 제작 과정 에서의 오류인지는 알 수 없지만, 피싱 메일에 첨부되어있는 첨부파일이 정상적으로 동작을 하지 않았습니다. 


하지만 오후부터 정상적인 파일이 첨부된 이메일이 유포되고 있습니다. 



[그림 2]  정상 파일이 첨부된 헌법 재판소 사칭 이메일



해당 메일의 내용은 오전에 유포되었던 이메일의 내용은 동일하며, 다만 이메일의 첨부 파일이 깨진 파일이 아닌 정상 파일이 첨부되어 있습니다. 



[그림 3] 대법원에서 통지.zip



첨부파일 안에는 대법원 통지서를 위장한 exe 파일이 포함되어 있습니다. 



귀하의 사례에 대 한 문서 #8314 92 187.doc.exe

- 행정 침해에 관한 문서 케이스 번호 #8314 92 187.doc.exe



만약 사용자가 해당 파일을 실행한다면, GandCrab v5.2 랜섬웨어에 감염되게 됩니다. 



[그림 4] 기존 경찰청, 지마켓 사칭과 조직 비교



금일 유포된 메일의 발신자 주소를 기존에 지마켓, 경찰청 사칭했던 메일의 발신자와 비교한 결과 동일 조직으로 보이 기존 비너스락커 조직과 연결되는지는 좀 더 파악이 필요합니다.





현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.GandCrab으로 탐지중에 있습니다. 



티스토리 방명록 작성
name password homepage