포스팅 내용

악성코드 분석 리포트

[주의] 새로운 헌법 재판소 소환장으로 사칭, 유포중인 갠드크랩 v5.2 주의!



안녕하세요?


이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 


금일(2019년 03월 20일) ESRC에서는 새로운 헌법재판소 사칭 악성 이메일을 포착하였습니다. 헌법재판소를 사칭한 악성이메일은 2019년 02월 25일부터 내용이 수정된 버전으로 꾸준히 유포되고 있습니다.


최근 이 갠드크랩 유포 조직은 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있으며 어눌한 한국어를 사용하는게 특징인 조직이었습니다.


하지만 최근에 이 조직은 이전에 발견된 내용과 달리 한국어 표현이 많이 자연스러워졌으며 금일 발견된 헌법 재판소 사칭 이메일에서도 자연스러운 한국어로 작성된 메일을 유포하였습니다.



이번 갠드크랩 공격은 2019년 02월 25일부터 유포되었던 헌법재판소 사칭 내용이 다시 수정된 버전으로 유포되고 있는데, 기존과 다른 법원 이미지를 이메일 내용에 삽입한 것이 특징이며, 기존과 동일한 '판례 #'로 시작하는 이메일 제목을 붙였습니다.


또한 발신자명에는 영어로 Supreme Court of South Korea를 사칭하였습니다.


[그림1] 헌법 재판소 사칭한 최신 공격 이메일 화면



이번 악성 이메일도 역시 개인 사용자 보다는 국내 중소형 기업을 타깃으로 악성 메일이 발송 되었으며, 3월 11일 유포되었던 이메일처럼 자연스러운 한국어로 메일 내용을 작성하였습니다.


한국 헌법 재판소에서 알려 드립니다.

 

귀하는 15월4일 오후 3시에 헌법 재판소에 출두해야 합니다. 신분을 확인할 수 있는 여권이나 다른 서류를 지참하십시오. 아울러 조사에 참석함에 있어, 귀하는 스스로 보호인을 초대하거나 무료 변호사를 신청할 권리가 있습니다. 정해진 시간에 출두하지 못할 사유가 있고, 또한 변호사를 고용할 계획이면, 귀하는 사전에 저희에게 이메일이나 다른 방법으로 통보해야 합니다. 저희 연락처와 신청서 양식이 이 편지에 동봉되어 있습니다.

 

귀하의 사건 번호: #658 04 299

경찰서 출두 날짜: 2019-03-15

 

귀하의 사건 자료를 주의깊게 살펴 보십시오. 저희는 필요한 모든 서류와 함께 기록을 이 편지에 동봉합니다.


우편번호 03060 서울특별시 종로구 북촌로 15 (재동 83)

대표전화 02-708-3456 / 대표팩스 02-708-3566 / Copyright 2013 Constitutional court of Korea all rights reserved..


또한, 메일 제목의 판례 번호를 확인해 보면 아래 그림과 같이 3월 11일 유포되었던 판례 번호와 동일한 것을 확인해 보실 수 있습니다.


[그림2] 동일한 판례번호의 메일 제목


첨부 파일은 RAR 형식의 파일이며, 첨부된 파일을 압축 해제하면 다음과 같은 마이크로소프트 워드 파일(doc)을 가장한 exe실행 파일과, 그림 파일(png)을 가장한 JavaScript 파일이 숨겨져 있습니다. exe실행파일은 갠드크랩 랜섬웨어 v5.2이며, js파일 역시,  C:\Users\[사용자계정명]\AppData\Roaming\Microsoft 경로에 랜덤숫자 5자리의 exe파일을 생성하고 실행하는 역할을 수행하는데 이 역시 동일한 갠드크랩 v5.2 랜섬웨어를 생성하고 실행하는 부분입니다.



[그림3] 악성 파일 내용


압축 파일 안의 파일 제목은 다음과 같습니다.

- 법원의 논문.doc.exe

- 법원의 논문.png.js


만약 사용자가 첨부되어있는 exe 파일을 doc 파일이나 png 파일로 간주하여 실행하면 갠드크랩 5.2에 감염되게 됩니다. 


해당 조직은 shanghaipolice.top, policeshanghai.top 등 koreasecurity.top과 유사한 도메인으로 이미 국내에 갠드크랩 랜섬웨어가 포함된 악성 이메일을 유포한 적이 있습니다. 


최근 대량의 악성 이메일을 통해 갠드크랩을 유포하고 있는 조직은, 기존 국내에 갠드크랩을 유포하던 비너스락커 조직과는 다른 특징을 보이고 있어, 이스트시큐리티에서는 최근 공격의 배후가 새로운 공격 조직일 것으로 추정하고 있습니다. 


현재 알약에서는 해당 랜섬웨어에 대해  Trojan.Ransom.GandCrab으로 탐지 중에 있습니다.



티스토리 방명록 작성
name password homepage