포스팅 내용

악성코드 분석 리포트

[주의] 헌법 재판소 소환장으로 유포중인 업그레이드된 갠드크랩 v5.2 주의!



안녕하세요?


이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 


금일(2019년 03월 11일) ESRC에서는 2019년 02월 20일 경부터 포착되기 시작한 새로운 갠드크랩 한국 유포조직이 기존의 랜섬웨어 공격의 진화된 형태로 악성코드를 유포하고 있다는 점을 포착하였습니다.


최근 이 갠드크랩 유포 조직은 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있는 상태입니다.


이전 포스팅에서 해당 갠드크랩의 특징으로 어눌한 한국어 표현을 사용한다고 전해 드렸는데, 이번에 발견된 공격의 경우 이전 내용과 달리 한국어 표현이 많이 자연스러워 진 것을 확인하실 수 있습니다.



이번 갠드크랩 공격은 2019년 02월 27일 헌법재판소 사칭 관련 내용이 수정된 버전으로 유포되고 있는데, 이메일 제목에 '판례 #'로 시작하는 표현을 담고 있습니다.




[그림1] 헌법 재판소 사칭한 최신 공격 이메일 화면


이번 악성 이메일도 역시 개인 사용자 보다는 국내 중소형 기업을 타깃으로 악성 메일이 발송 되었으며, 기존 어색한 한글 표현의 악성 메일과 달리 정확한 표현과 문법으로 자연스러운 메일 내용을 작성하였습니다.


한국 헌법 재판소에서 알려 드립니다.

 

귀하는 13월4일 오후 3시에 헌법 재판소에 출두해야 합니다. 신분을 확인할 수 있는 여권이나 다른 서류를 지참하십시오. 아울러 조사에 참석함에 있어, 귀하는 스스로 보호인을 초대하거나 무료 변호사를 신청할 권리가 있습니다. 정해진 시간에 출두하지 못할 사유가 있고, 또한 변호사를 고용할 계획이면, 귀하는 사전에 저희에게 이메일이나 다른 방법으로 통보해야 합니다. 저희 연락처와 신청서 양식이 이 편지에 동봉되어 있습니다.

 

귀하의 사건 번호: #658 04 299

경찰서 출두 날짜: 2019-03-13

 

귀하의 사건 자료를 주의깊게 살펴 보십시오. 저희는 필요한 모든 서류와 함께 기록을 이 편지에 동봉합니다.

아카이브의 비밀번호 65804299


그리고 갠드크랩 랜섬웨어가 첨부된 파일에 비밀번호를 걸어 악성코드 탐지를 회피하려고 노력하였습니다.


[그림2] 비밀번호가 포함된 악성 파일


하지만 이메일 계정 도메인을 확인해 보면, 한국 헌법재판소에서 사용하는 도메인 주소가 아닌 것을 확인할 수 있습니다.


첨부 파일은 RAR 형식의 파일이며, 첨부된 파일을 압축 해제하면 다음과 같은 마이크로소프트 워드 파일(doc)을 가장한 실행 파일이 숨겨져 있습니다.



[그림3] 악성 파일 내용


압축 파일 안의 파일 제목은 다음과 같으며, 명예훼손 사건으로 가장했습니다.


- 명예훼손 고소장.doc.exe

- 명예휘손 출석요구서.doc.exe


만약 사용자가 첨부되어있는 exe 파일을 doc 파일로 간주, 실행한다면 갠드크랩 5.2에 감염되게 됩니다. 


해당 조직은 shanghaipolice.top, policeshanghai.top 등 koreasecurity.top과 유사한 도메인으로 이미 국내에 갠드크랩 랜섬웨어가 포함된 악성 이메일을 유포한 적이 있습니다. 


최근 대량의 악성 이메일을 통해 갠드크랩을 유포하고 있는 조직은, 기존 국내에 갠드크랩을 유포하던 비너스락커 조직과는 다른 특징을 보이고 있어, 이스트시큐리티에서는 최근 공격의 배후가 새로운 공격 조직일 것으로 추정하고 있습니다. 


현재 알약에서는 해당 랜섬웨어에 대해  Trojan.Ransom.GandCrab으로 탐지중에 있습니다. 



티스토리 방명록 작성
name password homepage