상세 컨텐츠

본문 제목

한국은행을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의!

악성코드 분석 리포트

by 알약(Alyac) 2019. 2. 27. 10:53

본문



안녕하세요?

이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 


2019년 02월 20일 경부터 포착되기 시작한 새로운 갠드크랩 한국 유포조직(특징:어눌한 한국어 표현 사용)이 국내 사용자들을 대상으로 지속적인 랜섬웨어 공격을 진행하고 있습니다.


최근 '경찰청 소환장', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있는 상태입니다.





2019년 02월 27일 헌법재판소 사칭 관련 내용도 수정된 버전이 유포되고 있는데, 이메일 제목에 '헌법재판소 마지막 경고' 표현을 담고 있기도 합니다.



[그림 1] 헌법 재판소 사칭한 최신 공격 이메일 화면



이런 가운데 2019년 2월 27일 추가로 발견된 악성 이메일은 한국은행을 사칭하고 있으며, 기존 악성 이메일들과 동일하게 갠드크랩 랜섬웨어가 첨부된 압축 파일을 포함하고 있습니다. 



[그림 2] 한국은행을 사칭한 악성 이메일



이번 악성 이메일도 역시 개인 사용자 보다는 국내 중소형 기업의 임직원들을 타겟으로 유포되었습니다. 


실제 한국은행 CI를 사용하여 사용자들을 속이려고 노력하였지만, 기존 메일들 처럼 어색한 한글로 작성되어 있습니다. 



당신을 환영 한국은행

 

로그인하는 것은 불가능합니다! 한도를 초과하의 로그인을 시도는 시스템입니다. 한 시도는 차단을 위한 무기한다.

로그인 온라인 은행업무는 차단으로 인해 무단으로 로그인을 시도합니다.

 

을 복원하기 위해 귀하의 계정에 액세스해야 합 문서를 읽을 우리는 첨부하는 이 편지입니다.그것은 당신이 정확하게 왜 귀하의 계정을 차단되었고 그것이 어떻게 복원할 수 있습니다.

 

우리는 매우 미리 차단하는 귀하의 계정!우리는 우리의 안전에 대한 우려는 우리의 고객입니다.

 


또한 특이하게 일반적인 이메일 계정 형식인 xxx@xxx.com 이 아닌 xxx.xxx의 형태를 사용하였습니다. 

분석 결과, 코드 상에는 koreasecurity.top@koreasecurity.top 형태로 작성되어 있지만, 이메일 발신자 주소가 보여지는 부분에서 공격자가 임의로 설정을 바꿔 koreasecurity.top 부분만 보이는 것으로 확인되었습니다. 



[그림 3] 악성 이메일 발신 도메인 정보



이번 이메일의 발신지는 러시아로 확인되었는데, 공격 패턴에 따라 네덜란드, 미국 등 다른 국가도 목격되고 있습니다.



[그림 4] 악성 첨부파일



압축 파일 안에는 pdf 파일을 위장한 exe 파일이 포함되어 있고, 표현이 부자연스러운 악성파일이 존재합니다.



- 의 원인에 문제가 당신의 계정.pdf.exe

- 지침에 대한 계정을 복구.pdf.exe



만약 사용자가 첨부되어있는 exe 파일을 pdf 파일로 간주, 실행한다면 갠드크랩 5.2에 감염되게 됩니다. 



[그림 5] 갠드크랩 v5.2 랜섬웨어



해당 조직은 shanghaipolice.top, policeshanghai.top 등 koreasecurity.top과 유사한 도메인으로 이미 국내에 갠드크랩 랜섬웨어가 포함된 악성 이메일을 유포한 적이 있습니다. 


최근 대량의 악성 이메일을 통해 갠드크랩을 유포하고 있는 조직은, 기존 국내에 갠드크랩을 유포하던 비너스락커 조직과는 다른 특징을 보이고 있어, 이스트시큐리티에서는 최근 공격의 배후가 새로운 공격 조직일 것으로 추정하고 있습니다. 


현재 알약에서는 해당 악성코드에 대해  Trojan.Ransom.GandCrab으로 탐지중에 있습니다. 




관련글 더보기

댓글 영역