포스팅 내용

악성코드 분석 리포트

'리플라이 오퍼레이터(Reply Operator)' 경찰청, 국세청, 헌법재판소 등 사칭해 갠드크랩 유포 중



안녕하세요? 


이스트시큐리티 시큐리티대응센터(ESRC) 입니다.  


최근 2019.03.30~2019.04.01에 걸쳐 대한민국 국세청 및 경찰청을 사칭한 악성 이메일을 포착하였습니다.


[그림 1] 국세청 및 경찰청을 사칭한 악성 이메일 화면


최근 이 갠드크랩 유포 조직은 '대한민국 국세청', '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 


이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있으며 어눌한 한국어를 사용하는 것이 특징인 조직이었습니다.


해당 조직의 eml 파일 내부 분석 결과, 'reply-to' 부분이 공통적으로 존재한다는 고유 특징을 발견했습니다.


[그림 2] eml 파일 내부의 reply-to 키워드 화면 (2019.04.01 국세청 사칭 메일 헤더)


[그림 3] eml 파일 내부의 reply-to 키워드 화면 (2019.03.28 국세청 사칭 메일 헤더)


[그림 4] eml 파일 내부의 reply-to 키워드 화면 (2019.03.25 헌법재판소 사칭 메일 헤더)


ESRC에서는 해당 키워드를 활용해 최근 '대한민국 국세청', '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있는 이 조직을 '리플라이 오퍼레이터(Reply Operator)'로 명명하였습니다. 


최근 리플라이 오퍼레이터 조직은 갠드크랩 v5.2가 포함된 악성 메일을 한국에 집중적으로 유포하고 있으며, 국가 기관을 사칭한 것이 특징입니다. 


그리고 기존의 비너스락커(VenusLocker) 랜섬웨어 유포 조직과 유사한 방식으로 비너스락커 조직을 모방하여 갠드크랩을 유포하고 있습니다.


이번에 발견된 악성메일 또한, 지난 3월 유포했던 방식과 동일하게 대한민국 국세청을 영문으로 직역한 National Tax Service of South Korea 이름의 발신자 명을 사용하여 피해자들을 속이려고 시도했습니다. 


메일의 본문 내용은 동일하게 작성되었는데, 발견된 메일 각각에는 '국세 검사 문서.rar'라는 제목과 '경찰청 서류.rar'이라는 악성 RAR 파일을 첨부하였습니다. 


지금까지 리플라이 오퍼레이터 조직이 유포한 메일 내용으로 보아, 국세청과 경찰청을 각각 사칭하여 악성 메일을 유포를 시도하였으나, 본문 내용은 국세청 사칭 메일로 동일하게 작성한 것으로 추측됩니다.


본문 내용을 살펴보면 지난 3월 유포한 국세청 사칭 메일 내용과 동일하게 작성되었습니다.


[대한민국 국세청 사칭 이메일의 본문 내용]

대한민국 국세법 제 211조에 따라 귀하는 피고인 자격으로 심문을 위해2019년4월2일 12:00까지 국세청으로 출두해야 합니다. (주소: 세종특별자치시 국세청로 8-14 )

 

신분을 확인할 수 있는 여권이나 서류를 지참하십시오.

지정된 기간에 출두하지 못할 사유가 있을 경우, 이메일이나 다른 방법으로 통보해 주십시오.

 사건의 추가 정보는 본 전자 편지에 첨부됩니다. 귀하는 서류에서 본 소환에 모든 정보와 발생 원인을 알게 되며, 또한 귀하의 사건 조사관에 대한 연락처를 알게 됩니다.

 


대한민국 국세법 제177조에 따라, 피고인 자격으로 세법 위반에 대한 사건으로 소환되는 자가 특별한 사유없이 출두하지 않거나 출두를 거부할 경우 형사적 책임을 수반합니다. 

법 명령에 대한 불복종이나 정부 조사자의 요구에 따르지 않을 경우 대한민국 형사법 제18.5조1항에 따라 책임을 수반합니다.


리플라이 오퍼레이터 조직은 진짜 국세청에서 발행한 듯한 내용인 것처럼 국세법 조항을 들어가며 자연스러운 한국어로 메일을 작성하였으며, 국세청의 주소 또한 도용하였습니다. 


이번에 발견된 악성 메일 또한, 기존의 랜섬웨어 유포 방식처럼 개인 사용자보다는 국내 중소형 기업을 타깃으로 악성 메일이 발송되었습니다. 


이메일에 첨부된 RAR 형식의 '국세 검사 문서.rar' 파일을 압축 해제하면 다음과 같은 '국세 검사 문서' 폴더 안에는 마이크로소프트 오피스 워드 파일(.docx)을 위장한 실행파일이 들어 있습니다.  


[그림 5]  '국세 검사 문서.rar' 안의 악성 파일 내용


'국세 검사 문서.rar' 폴더 안의 실행 파일 제목

- 귀하의 케이스에 있는 문서.docx.exe 

- 연락처 세부 정보.docx.exe 


'경찰청 서류.rar' 폴더 안에도 마이크로소프트 오피스 워드 파일(.docx)을 위장한 실행파일이 들어 있습니다.  


[그림 6] '경찰청 서류.rar' 안의 악성 파일 내용


'경찰청 서류.rar'' 폴더 안의 실행 파일 제목

- 사례 정보.docx.exe 

- 연락처 세부 정보.docx.exe


만약 사용자가 첨부되어있는 exe 파일을 docx 파일로 간주하여 실행하면 갠드크랩 5.2에 감염되게 됩니다.  


최근 대량의 악성 이메일을 통해 갠드크랩을 유포하는 방식이 다양화되었고, 비너스락커 조직과 같은 기존의 유명 갠드크랩 유포 조직을 모방한 리플라이 오퍼레이터 조직도 등장하고 있습니다.


각 기업의 보안 담당자, 외부 업무 담당자들께서는 최근 대량으로 유포 중인 국가 기관을 사칭한 악성 이메일로부터 랜섬웨어 감염을 막기 위해 아래와 같은 예방 수칙 및 대응 방안을 참고하시기 바랍니다.  


※ 랜섬웨어 감염 예방 수칙 및 대응 방안 

- 출처를 확인할 수 없는 이메일 내 URL 링크 혹은 첨부파일을 클릭하지 않는다.   

- 신뢰할 수 없는 웹 페이지 접속을 지양한다.   

- 중요 자료들은 외장 매체에 수시로 백업해 놓는다.   

- 운영체제 및 자주 사용하는 프로그램, 인터넷 브라우저 등을 항상 최신 버전으로 유지한다.   

- 신뢰할 수 있는 백신 프로그램을 사용한다. 


현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.GandCrab으로 탐지 중에 있습니다.


※ 비너스락커(Venus Locker) 그룹 게시글 바로가기 

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 (2017.01.03) 
▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중! (2017.02.17) 
▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중 (2017.02.23) 
▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중 (2017.04.13) 
▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산! (2017.05.26) 
▶ 한국어를 구사하는 랜섬웨어 유포자, 이젠 매크로 기반으로 갠드크랩 유포 중 (2018.05.15) 
▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의! (2017.06.01) 
▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의! (2018.10.22) 
▶ 비너스락커 위협조직, 입사지원서로 위장해 갠드크랩 랜섬웨어 한국에 급속 유포 중 (2018.11.15) 
▶ 비너스락커 랜섬웨어 조직, 베리즈 웹쉐어를 통해 갠드크랩 국내 다량 유포 (2018.11.19) 
▶ 비너스락커 조직, 임금체불 관련 출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의 (2018.11.20) 
▶ 비너스락커 조직, 또 다시 이력서로 위장하여 갠드크랩 랜섬웨어 유포 중! (2018.11.27) 
▶ 비너스락커 조직 ‘바로가기’ 파일(LNK) 변경하여 유포 중인 갠드크랩 랜섬웨어 주의 (2018.12.03) 
▶ 비너스락커 랜섬웨어 조직, 한국 상대로 악성 문서파일 융단폭격 중 (2018.12.10) 
▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥! (2018.12.13) 
▶ 2018 연말정산 시즌 비너스락커 유포 조직 활동중! (2018.12.27) 
▶ 입사지원서로 위장한 갠드크랩(GandCrab) 랜섬웨어 v5.1 유포중! (2019.01.21) 
▶ [주의] 지방 경찰서 출석통지서로 사칭한 갠드크랩 다량 유포 중! (2019.02.12) 
▶ 입사지원서로 위장한 갠드크랩(GandCrab) 랜섬웨어 v5.2 유포중! (2019.02.26) 

※ 리플라이 오퍼레이터(Reply Operator) 그룹 게시글 바로가기 


▶ 경찰청 소환장으로 유포중인 갠드크랩 랜섬웨어 5.1 주의 (2019.02.20) 
▶ 지마켓 할인 쿠폰을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.22) 
▶ [주의] 헌법 재판소 소환장으로 유포중인 갠드크랩 v5.2 주의! (2019.02.25) 
▶ 한국은행을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.27) 
▶ [주의] 헌법 재판소 소환장으로 유포중인 업그레이드된 갠드크랩 v5.2 주의! (2019.03.11) 
▶ 'Min Gap Ryong'과 한국은행을 사칭한 악성 이메일 유포 중 (2019.03.14) 
▶ 이미지 저작권 위반 내용 메일의 GandCrab v5.2 랜섬웨어 유포 주의 (2019.03.18) 
▶ [주의] 새로운 헌법 재판소 소환장으로 사칭, 유포중인 갠드크랩 v5.2 주의! (2019.03.20) 
▶ [주의] 헌법 재판소 소환장으로 사칭한 갠드크랩 v5.2 여전히 유포중! (2019.03.25)

[주의] 대한민국 국세청을 사칭한 갠드크랩 v5.2 주의! (2019.03.28)




티스토리 방명록 작성
name password homepage