포스팅 내용

악성코드 분석 리포트

'리플라이 오퍼레이터(Reply Operator)' 이미지 사용 중지 요청 악성 메일로 갠드크랩 유포


안녕하세요? 


이스트시큐리티 시큐리티대응센터(ESRC) 입니다.  


2019년 4월 10일, ESRC에서는 리플라이 오퍼레이터(Reply Operator) 조직이 이미지 저작권 위반과 관련한 악성 메일을 유포한 정황을 확인하였습니다.


금일 오전 포착된 비너스락커(Venus Locker) 조직의 악성 메일과 동일하게 EGG 확장자의 알집 파일을 첨부하여 사용자들의 클릭을 유도했습니다.


리플라이 오퍼레이터 조직 또한 비너스락커 조직을 따라 하면서 계속 활동을 이어가고 있어, 사용자들의 각별한 주의가 필요합니다.


[그림 1] 사진 편집자 및 디자이너를 사칭한 악성 이메일 화면


리플라이 오퍼레이터 조직은 '대한민국 국세청', '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장', '이미지 사용 중지 요청' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 


이번에 발견된 메일에도 다음과 같은 ‘reply-to’ 부분이 공통적으로 존재했습니다.

Reply-To: "=?utf-8?B?6rmA7ISx7JWE?=" kims12@refshortcircuitwep.club


악성 메일의 본문 내용을 살펴보면 메일 내용은 동일하며, 직업 명 및 이름만 변경했다는 사실을 알 수 있습니다. 


[그림 2] 사진 편집자 및 디자이너를 사칭한 악성 이메일 비교 화면


이번에 발견된 악성 메일 또한, 기존의 랜섬웨어 유포 방식처럼 개인 사용자보다는 국내 중소형 기업을 타깃으로 악성 메일이 발송되었습니다. 


이메일에 첨부된 EGG 확장자의 알집 파일을 압축 해제하면 다음과 같은 '원본이미지.egg' 폴더 안에는 이미지 파일(.jpg)을 위장한 실행파일이 들어 있습니다.


[그림 3] JPG 파일로 위장한 악성코드 실행 파일 화면


'원본이미지egg' 압축 파일 안의 실행 파일명은 다음과 같습니다.

- 원본이미지.jpg(긴공백).exe 


만약 사용자가 첨부되어 있는 exe 파일을 JPG 파일로 간주해 열어본다면 갠드크랩 5.2에 감염되게 됩니다.  


[그림 4] 갠드크랩 v5.2에 감염된 PC 화면


앞으로 리플라이 오퍼레이터 조직도 비너스락커 조직과 동일하게 꾸준히 갠드크랩 랜섬웨어을 유포할 것으로 예상됩니다.


각 기업의 보안 담당자, 외부 업무 담당자들께서는 최근 대량으로 유포 중인 국가 기관을 사칭한 악성 이메일로부터 랜섬웨어 감염을 막기 위해 아래와 같은 예방 수칙 및 대응 방안을 참고하시기 바랍니다.  


※ 랜섬웨어 감염 예방 수칙 및 대응 방안 

- 출처를 확인할 수 없는 이메일 내 URL 링크 혹은 첨부파일을 클릭하지 않는다.   

- 신뢰할 수 없는 웹 페이지 접속을 지양한다.   

- 중요 자료들은 외장 매체에 수시로 백업해 놓는다.   

- 운영체제 및 자주 사용하는 프로그램, 인터넷 브라우저 등을 항상 최신 버전으로 유지한다.   

- 신뢰할 수 있는 백신 프로그램을 사용한다.



현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.GandCrab으로 탐지 중에 있습니다.



티스토리 방명록 작성
name password homepage