안녕하세요?
이스트시큐리티 시큐리티대응센터(ESRC) 입니다.
금일(2019년 03월 28일) 오전, ESRC에서는 대한민국 국세청을 사칭한 악성 이메일을 포착하였습니다. 국세청을 사칭한 만큼, 기업 회계 담당자들의 각별한 주의가 필요합니다.
금일 악성 메일을 유포한 이 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과 유사한 방식으로 악성메일을 유포하였습니다.
ESRC에서는 이전에 한국어를 어눌하게 사용하여 지마켓, 한국은행, 헌법 재판소를 위장해 갠드크랩을 유포하던 조직이 이젠 기존에 갠드크랩을 유포하던 비너스락커 조직을 모방하여 갠드크랩을 유포하고 있다고 추정하고 있습니다.
공격자는 대한민국 국세청을 영문으로 직역한 National Tax Service of South Korea 이름의 발신자 명을 사용하여 피해자들을 속이려고 시도했습니다.
금일 발견한 발신자 메일의 도메인인 'werk.me', 'dubmv.me'를 확인해 보면 대한민국 국세청과 전혀 다른 도메인 주소로 이메일이 발송되었음을 확인하실 수 있습니다.
해당 사이트들을 확인해 보면 It Worked! 라는 페이지 동작을 확인하는 듯한 내용의 화면만 떠 있으며, Powered by VESTA라는 주석이 달려있습니다.
ESRC에서는 공격자가 악성 이메일을 유포하기 위해 만든 임시 도메인일 것으로 추정하고 있습니다.
메일 내용을 확인해 보면, 메일 제목으로는 피고인 심문에 대한 소환 안건이라는 제목을 달았고, '국세 검사 문서.rar'이라는 악성 RAR 파일을 첨부하였습니다.
비너스락커를 모방한 이 조직은 진짜 국세청에서 발행한 듯한 내용인 것처럼 국세법 조항을 들어가며 자연스러운 한국어로 메일을 작성하였으며, 국세청의 주소 또한 도용하였습니다.
[대한민국 국세청 사칭 이메일의 본문 내용]
대한민국 국세법 제 211조에 따라 귀하는 피고인 자격으로 심문을 위해2019년4월2일 12:00까지 국세청으로 출두해야 합니다. (주소: 세종특별자치시 국세청로 8-14 )
신분을 확인할 수 있는 여권이나 서류를 지참하십시오. 지정된 기간에 출두하지 못할 사유가 있을 경우, 이메일이나 다른 방법으로 통보해 주십시오. 사건의 추가 정보는 본 전자 편지에 첨부됩니다. 귀하는 서류에서 본 소환에 모든 정보와 발생 원인을 알게 되며, 또한 귀하의 사건 조사관에 대한 연락처를 알게 됩니다.
대한민국 국세법 제177조에 따라, 피고인 자격으로 세법 위반에 대한 사건으로 소환되는 자가 특별한 사유없이 출두하지 않거나 출두를 거부할 경우 형사적 책임을 수반합니다. 법 명령에 대한 불복종이나 정부 조사자의 요구에 따르지 않을 경우 대한민국 형사법 제18.5조1항에 따라 책임을 수반합니다. |
이번에 발견된 국세청 메일 또한, 기존의 랜섬웨어 유포 방식처럼 개인 사용자보다는 국내 중소형 기업을 타깃으로 악성 메일이 발송되었습니다.
이메일에 첨부된 RAR 형식의 파일을 압축 해제하면 다음과 같은 '국세 검사 문서' 폴더 안에는 마이크로소프트 오피스 워드 파일(.docx)을 위장한 실행파일이 들어 있습니다.
파일 확장명을 체크해서 보지 않는다면 그림과 같이 워드 파일로 착각할 가능성이 높습니다.
압축 파일 안의 실행 파일 제목은 다음과 같습니다.
- 귀하의 케이스에 있는 문서.docx.exe
- 연락처 세부 정보.docx.exe
만약 사용자가 첨부되어있는 exe 파일을 docx 파일로 간주하여 실행하면 갠드크랩 5.2에 감염되게 됩니다.
최근 대량의 악성 이메일을 통해 갠드크랩을 유포하는 방식이 다양화되고 있고, 비너스락커 조직과 같은 기존의 유명 갠드크랩 유포 조직을 모방한 조직이 발견되고 있습니다.
각 기업의 보안 담당자, 외부 업무 담당자들께서는 최근 대량으로 유포중인 국가 기관을 사칭한 악성 이메일로부터 랜섬웨어 감염을 막기위해 아래와 같은 예방 수칙 및 대응방안을 참고하시기 바랍니다.
※ 랜섬웨어 감염 예방 수칙 및 대응방안
- 출처를 확인할 수 없는 이메일 내 URL 링크 혹은 첨부파일을 클릭하지 않는다.
- 신뢰할 수 없는 웹 페이지 접속을 지양한다.
- 중요 자료들은 외장 매체에 수시로 백업해 놓는다.
- 운영체제 및 자주 사용하는 프로그램, 인터넷 브라우저 등을 항상 최신 버전으로 유지한다.
- 신뢰할 수 있는 백신 프로그램을 사용한다.
현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.GandCrab으로 탐지 중에 있습니다.
※ 비너스락커(Venus Locker) 그룹 게시글 바로가기
▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 (2017.01.03)
▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중! (2017.02.17)
▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중 (2017.02.23)
▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중 (2017.04.13)
▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산! (2017.05.26)
▶ 한국어를 구사하는 랜섬웨어 유포자, 이젠 매크로 기반으로 갠드크랩 유포 중 (2018.05.15)
▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의! (2017.06.01)
▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의! (2018.10.22)
▶ 비너스락커 위협조직, 입사지원서로 위장해 갠드크랩 랜섬웨어 한국에 급속 유포 중 (2018.11.15)
▶ 비너스락커 랜섬웨어 조직, 베리즈 웹쉐어를 통해 갠드크랩 국내 다량 유포 (2018.11.19)
▶ 비너스락커 조직, 임금체불 관련 출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의 (2018.11.20)
▶ 비너스락커 조직, 또 다시 이력서로 위장하여 갠드크랩 랜섬웨어 유포 중! (2018.11.27)
▶ 비너스락커 조직 ‘바로가기’ 파일(LNK) 변경하여 유포 중인 갠드크랩 랜섬웨어 주의 (2018.12.03)
▶ 비너스락커 랜섬웨어 조직, 한국 상대로 악성 문서파일 융단폭격 중 (2018.12.10)
▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥! (2018.12.13)
▶ 2018 연말정산 시즌 비너스락커 유포 조직 활동중! (2018.12.27)
▶ 입사지원서로 위장한 갠드크랩(GandCrab) 랜섬웨어 v5.1 유포중! (2019.01.21)
▶ [주의] 지방 경찰서 출석통지서로 사칭한 갠드크랩 다량 유포 중! (2019.02.12)
▶ 입사지원서로 위장한 갠드크랩(GandCrab) 랜섬웨어 v5.2 유포중! (2019.02.26)
※ 어눌한 한국어 표현을 사용하는 갠드크랩 유포 조직 게시글 바로가기
▶ 경찰청 소환장으로 유포중인 갠드크랩 랜섬웨어 5.1 주의 (2019.02.20)
▶ 지마켓 할인 쿠폰을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.22)
▶ [주의] 헌법 재판소 소환장으로 유포중인 갠드크랩 v5.2 주의! (2019.02.25)
▶ 한국은행을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.27)
▶ [주의] 헌법 재판소 소환장으로 유포중인 업그레이드된 갠드크랩 v5.2 주의! (2019.03.11)
▶ 'Min Gap Ryong'과 한국은행을 사칭한 악성 이메일 유포 중 (2019.03.14)
▶ 이미지 저작권 위반 내용 메일의 GandCrab v5.2 랜섬웨어 유포 주의 (2019.03.18)
▶ [주의] 새로운 헌법 재판소 소환장으로 사칭, 유포중인 갠드크랩 v5.2 주의! (2019.03.20)
▶ [주의] 헌법 재판소 소환장으로 사칭한 갠드크랩 v5.2 여전히 유포중! (2019.03.25)
금성121 APT 조직, '오퍼레이션 하이 엑스퍼트(Operation High Expert)' (0) | 2019.04.02 |
---|---|
거대 위협으로 다가온, 특명 '자이언트 베이비(Operation Giant Baby)' (0) | 2019.03.28 |
라자루스(Lazarus) 그룹, 이스라엘 군수업체 대상 APT 역습 (0) | 2019.03.27 |
[주의] 헌법 재판소 소환장으로 사칭한 갠드크랩 v5.2 여전히 유포중! (0) | 2019.03.25 |
Trojan.Android.InfoStealer 악성코드 분석 보고서 (0) | 2019.03.25 |
댓글 영역