포스팅 내용

악성코드 분석 리포트

비너스락커 그룹 입사지원서를 위장하여 지속적으로 갠드크랩 v5.2 유포 중


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 


2019년 4월 19일, ESRC에서는 비너스락커(Venus Locker) 그룹으로 추정되는 입사지원서를 위장한 갠드크랩 v5.2 유포 정황을 포착하였습니다.


[그림 1] 입사지원서를 위장한 악성 메일 이미지


최근 채용 시즌을 맞아 지속적으로 입사지원서 사칭 메일이 다양한 지원자 이름으로 유포되고 있습니다. 


이번 악성 메일도 최근 2주간 발견된 입사지원서 사칭 메일과 동일하게  .egg 확장자의 알집 파일이 첨부되어 있었습니다.


메일 제목은 ‘성유리입니다.’라는 지원자가 보낸 메일처럼 작성하였고, 메일 내용 또한 간단하게 ‘안녕하세요! 공고 보고 연락 드려요’라고 작성되어 있습니다.


첨부된 압축 파일을 해제하면 DOC, JPG 확장자로 위장한 악성 파일이 들어 있으며, 다수의 빈 공백 다음에 EXE 실행 파일 확장자를 확인하실 수 있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.)


[그림 2] 악성 파일 확장자 화면


압축 파일 안의 파일명은 다음과 같습니다.

- 성유리_이력서.doc(긴공백).exe

- 성유리_자격증.jpg(긴공백).exe


입사담당자가 해당 악성 파일을 MS Office Word 파일이나(DOC), 이미지(JPG) 파일로 착각하여 실행한다면 다음과 같이 갠드크랩 v5.2에 감염됩니다.


[그림 3] DOC, JPG 파일로 위장한 악성코드 실행 파일 화면


이번에 발견된 랜섬웨어는 사용자 PC가 랜섬웨어에 감염되면 MJRJHI-MANUAL.txt 랜섬노트를 바탕화면에 생성하고 모든 파일은 .MJRUHI 확장자가 붙은 암호화 파일로 변경합니다.


[그림 4] MJRJHI 랜섬노트 이미지


이번 갠드크랩도 토르 웹 브라우저로 접속하여 암호화된 파일을 복호화 하기 위해 랜섬머니를 지불할 것을 요구하고 있습니다.


[그림 5] 갠드크랩 v5.2 감염 이미지


채용 담당자분들께서는 출처가 불분명한 사용자에게서 온 이메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 


알약에서는 해당 악성 샘플에 대하여 Trojan.Ransom.GandCrab으로 탐지 중에 있습니다.


※ 비너스락커(Venus Locker) 그룹 게시글 바로가기 

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 (2017.01.03) 
▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중! (2017.02.17) 
▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중 (2017.02.23) 
▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중 (2017.04.13) 
▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산! (2017.05.26) 
▶ 한국어를 구사하는 랜섬웨어 유포자, 이젠 매크로 기반으로 갠드크랩 유포 중 (2018.05.15) 
▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의! (2017.06.01)

▶ 이미지 저작권 침해 내용 메일로 GandCrab 랜섬웨어 유포 주의 (2018.06.25)

▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의! (2018.10.22) 

▶ 비너스락커 위협조직, 입사지원서로 위장해 갠드크랩 랜섬웨어 한국에 급속 유포 중 (2018.11.15) 
▶ 비너스락커 랜섬웨어 조직, 베리즈 웹쉐어를 통해 갠드크랩 국내 다량 유포 (2018.11.19) 
▶ 비너스락커 조직, 임금체불 관련 출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의 (2018.11.20) 
▶ 비너스락커 조직, 또 다시 이력서로 위장하여 갠드크랩 랜섬웨어 유포 중! (2018.11.27) 
▶ 비너스락커 조직 ‘바로가기’ 파일(LNK) 변경하여 유포 중인 갠드크랩 랜섬웨어 주의 (2018.12.03) 
▶ 비너스락커 랜섬웨어 조직, 한국 상대로 악성 문서파일 융단폭격 중 (2018.12.10) 
▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥! (2018.12.13) 
▶ 2018 연말정산 시즌 비너스락커 유포 조직 활동중! (2018.12.27) 
▶ 입사지원서로 위장한 갠드크랩(GandCrab) 랜섬웨어 v5.1 유포중! (2019.01.21) 
▶ [주의] 지방 경찰서 출석통지서로 사칭한 갠드크랩 다량 유포 중! (2019.02.12) 
▶ 입사지원서로 위장한 갠드크랩(GandCrab) 랜섬웨어 v5.2 유포중! (2019.02.26) 

▶ [주의] 비너스락커 그룹 입사지원서를 위장하여 갠드크랩 v5.2 유포 중 (2019.04.08)

▶ [주의] 비너스락커 그룹 개인 디자이너를 위장하여 갠드크랩 v5.2 유포 중 (2019.04.11)

▶ 비너스락커 그룹 또다시 입사지원서를 위장하여 갠드크랩 v5.2 유포 (2019.04.19)




티스토리 방명록 작성
name password homepage