포스팅 내용

악성코드 분석 리포트

[업데이트] 'Min Gap Ryong'과 한국은행을 사칭한 악성 이메일 유포 중



안녕하세요? 

이스트시큐리티 시큐리티대응센터(ESRC)입니다.


2019년 3월 13일 오후경부터 한국은행을 사칭한 악성 이메일이 갠드크랩(GandCrab) v5.2를 유포중인 것으로 확인되어 주의가 필요합니다.


이번 이메일은 한국어로 작성된 것뿐만 아니라, 마치 중국어처럼 보이는 한문표기가 포함된 형태도 발견되었는데, 중국어 표기법에는 맞지 않는 의미없는 표기로 확인이 되었습니다.


그리고 발신자 명에 'Min Gap Ryong' 문구가 포함되어 있는 특징이 있습니다.


[그림1] 한국은행을 위장한 악성 이메일 한글 버전


[그림2] 한국은행을 위장한 의미없는 문자의 악성 이메일


지난 2월 27일 한국은행을 사칭한 악성 이메일 역시 갠드크랩 랜섬웨어가 첨부된 압축 파일을 포함하고 있었습니다. 



한국어로 작성된 이메일 본문 내용은 다음과 같습니다.


안녕하세요. xxx(수신자명)!


한국중앙은행보안부서에서알려드립니다.

귀하의온라인뱅킹은계정에권한이없는접근시도로인해정지됐습니다.

계좌를사용하려면, 저희가이편지에동봉하는서류를살펴보십시오.계정을복구할수있으며, 어떤이유로귀하의계좌가동결됐는지자세히알수있습니다.

저희는귀하의계좌가동결된것이매우안타깝습니다!저희보안팀은주의깊게사기에맞서고있습니다.


문장 자체의 어색함은 없지만 띄어쓰기가 제대로 되어 있지 않으며 또한, 이메일 발신주소는 다르지만 이메일 발송자의 이름이 동일하게 Min, Gap Ryong으로 되어 있는 것을 확인할 수 있습니다.


이메일의 첨부파일 내에는 08-03-2019.exe, 篮青 炼荤12-3-19.doc.exe 등의 exe파일이 포함되어 있으며 이 실행파일을 사용자가 열어볼 경우 갠드크랩 v5.2 랜섬웨어에 감염됩니다. 


[그림3] 갠드크랩 v5.2 랜섬웨어


전반적으로 지난 2월말에 확인했던 한국은행 사칭 갠드크랩 악성 이메일과 공격 스타일이 매우 흡사하며, 해당 조직은 shanghaipolice.top, policeshanghai.top 등 koreasecurity.top과 유사한 도메인으로 이미 국내에 갠드크랩 랜섬웨어가 포함된 악성 이메일을 유포한 적이 있습니다. 


최근 대량의 악성 이메일을 통해 갠드크랩을 유포하고 있는 이 조직은 기존 국내에 갠드크랩을 유포하던 비너스락커 조직과는 다른 특징을 보이고 있어, 이스트시큐리티에서는 최근 공격의 배후가 새로운 공격 조직일 것으로 추정하고 있습니다. 



+ 추가


금일(2019년 03월 15일) ESRC에서는 중화인민공화국 공안부를 사칭한 악성코드가 첨부된 이메일과 베트남어로 작성된 것으로 추정되는 악성 이메일이 유포되고 있는 것을 포착하였습니다.


[그림4] 중화인민공화국 공안부 사칭한 이메일 화면


[그림5] 베트남어로 작성된 이메일 화면


이번에 발견된 메일들 역시 3월 13일 자에 유포된 악성 이메일과 동일한 갠드크랩 v5.2 랜섬웨어가 첨부된 압축 파일을 포함하고 있습니다.


중화인민공화국 공안부를 사칭한 이메일의 경우 13일에 유포된 악성 메일과 동일한 발신자 명(Min Gap Ryong)으로 발송된 것을 확인하실 수 있습니다. 


그리고 날짜(월-일-년)로 표기된 파일명과 RAR 확장자를 가진 첨부 파일을 확인하실 수 있으며, 압축 파일 안에는 다음 그림과 같이 악성코드가 포함된 실행 파일이 들어 있습니다.


[그림6] 중화인민공화국 공안부 사칭 이메일의 첨부 파일 내용


베트남어로 작성된 것으로 추정되는 이메일의 첨부파일을 확인해 보면, 그림과 같이 파일이 비어있다는 내용을 확인하실수 있습니다.


[그림7] 베트남어로 작성된 이메일의 첨부파일 내용


하지만 현재까지 발견된 악성 이메일을 통한 랜섬웨어 공격 방식을 고려해 보면, 빠른 시일 내로 정상적으로 동작하는 악성 파일 포함된 이메일이 유포될 가능성이 높습니다.


최근 국내에 갠드크랩 v5.2이 활발하게 유포되고 있기 때문에 사용자분들께서는 이메일에 첨부된 파일은 안티 바이러스 제품으로 검사하시고, 알 수 없는 발신자로부터 받은 메일은 삭제함으로써 랜섬웨어 감염을 예방해 주시기 바랍니다. 


현재 알약에서는 해당 랜섬웨어에 대해  Trojan.Ransom.GandCrab으로 탐지 중에 있습니다. 






티스토리 방명록 작성
name password homepage