[주의] 헌법 재판소 소환장으로 사칭한 갠드크랩 v5.2 여전히 유포중!

안녕하세요?

이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 

금일(2019년 03월 25일) 오후, ESRC에서는 새로운 헌법재판소 사칭 악성 이메일을 포착하였습니다. 해당 메일은 아래 그림과 같이 내용이 깨진 상태로 유포되었으나, 1시간 뒤에 제대로 된 내용의 메일을 재유포 하였습니다. 

[그림 1] 본문 내용이 깨진 상태의 악성 이메일 화면

최근 이 갠드크랩 유포 조직은 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있으며 어눌한 한국어를 사용하는게 특징인 조직이었습니다.

하지만 최근에 이 조직은 이전에 발견된 내용과 달리 한국어 표현이 많이 자연스러워졌으며 금일 발견된 헌법 재판소 사칭 이메일에서도 자연스러운 한국어로 작성된 메일을 유포하였습니다.

※ 어눌한 한국어 표현을 사용하는 갠드크랩 유포 조직 게시글 바로가기

▶ 경찰청 소환장으로 유포중인 갠드크랩 랜섬웨어 5.1 주의 (2019.02.20)

▶ 지마켓 할인 쿠폰을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.22)

▶ [주의] 헌법 재판소 소환장으로 유포중인 갠드크랩 v5.2 주의! (2019.02.25)

▶ 한국은행을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.27)

▶ [주의] 헌법 재판소 소환장으로 유포중인 업그레이드된 갠드크랩 v5.2 주의! (2019.03.11)

▶ 'Min Gap Ryong'과 한국은행을 사칭한 악성 이메일 유포 중 (2019.03.14)

▶ 이미지 저작권 위반 내용 메일의 GandCrab v5.2 랜섬웨어 유포 주의 (2019.03.18)

▶ [주의] 새로운 헌법 재판소 소환장으로 사칭, 유포중인 갠드크랩 v5.2 주의! (2019.03.20)

이번 갠드크랩 공격은 2019년 03월 20일 포스팅한 헌법 재판소 사칭 이메일 내용과 거의 유사하며, 기존과 동일한 발신자명(Supreme Court of South Korea)을 사용하였습니다. 그리고 '헌법 재판소 청문 의제'라는 이메일 제목을 붙였습니다.

[그림 2] 헌법 재판소를 사칭한 공격 이메일 화면

이번 악성 이메일도 역시 개인 사용자 보다는 국내 중소형 기업을 타깃으로 악성 메일이 발송 되었으며, 자연스러운 한국어로 메일 내용을 작성하였습니다.

한국 헌법 재판소에서 알려 드립니다.

 

귀하는 4월02일 오후 3시에 헌법 재판소에 출두해야 합니다. 신분을 확인할 수 있는 여권이나 다른 서류를 지참하십시오. 

 

아울러 조사에 참석함에 있어, 귀하는 스스로 보호인을 초대하거나 무료 변호사를 신청할 권리가 있습니다. 

 

정해진 시간에 출두하지 못할 사유가 있고, 또한 변호사를 고용할 계획이면, 귀하는 사전에 저희에게 이메일이나 다른 방법으로 통보해야 합니다. 

 

저희 연락처와 신청서 양식이 이 편지에 동봉되어 있습니다.

 

귀하의 사건 번호: #8235 17 190

 

경찰서 출두 날짜: 2019-04-02

귀하의 사건 자료를 주의깊게 살펴 보십시오. 저희는 필요한 모든 서류와 함께 기록을 이 편지에 동봉합니다!

이메일에 첨부된 파일은 RAR 형식의 파일이며, 첨부된 파일을 압축 해제하면 다음과 같은 법원 통지서 폴더 안에 pdf 파일을 위장한 실행파일이 들어 있습니다.

[그림3] 악성 파일 내용

압축 파일 안의 파일 제목은 다음과 같습니다.

- 귀하의 케이스에 있는 문서,pdf.exe

- 불러일으키다 8235 17 190  .pdf.exe

만약 사용자가 첨부되어있는 exe 파일을 pdf 파일로 간주하여 실행하면 갠드크랩 5.2에 감염되게 됩니다. 

해당 조직은 shanghaipolice.top, policeshanghai.top 등 koreasecurity.top과 유사한 도메인으로 이미 국내에 갠드크랩 랜섬웨어가 포함된 악성 이메일을 유포한 적이 있습니다. 

최근 대량의 악성 이메일을 통해 갠드크랩을 유포하고 있는 조직은, 기존 국내에 갠드크랩을 유포하던 비너스락커 조직과는 다른 특징을 보이고 있으며, 이스트시큐리티에서는 최근 공격의 배후를 새로운 공격 조직으로 추정하고 있습니다. 

현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.GandCrab으로 탐지 중에 있습니다.