포스팅 내용

악성코드 분석 리포트

리플라이 오퍼레이터 그룹 FAX 문서를 사칭한 악성 메일 유포중!


안녕하세요? 


이스트시큐리티 시큐리티대응센터(ESRC) 입니다.  


2019년 5월 7일, ESRC에서는 리플라이 오퍼레이터(Reply Operator) 조직이 FAX 문서와 관련된 악성 메일을 유포한 정황을 확인하였습니다.


어제 오전 포착된 이 메일은 WiseFAX 문서.rar 이라는 RAR 파일을 첨부하였으며, FAX를 확인하라는 메시지와 함께 사용자들의 클릭을 유도했습니다.


[그림 1] FAX 문서를 사칭한 악성 이메일 화면


리플라이 오퍼레이터 조직은 '대한민국 국세청', '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장', '이미지 사용 중지 요청' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 


이번에 발견된 메일에도 다음과 같은 ‘reply-to’ 부분이 존재했습니다.

Reply-To: "WiseFax Korea" <no-reply@businessplus.info>


악성 메일의 본문 내용은 일반적인 Text 형식이 아닌 그림 파일을 삽입한 것이 특징입니다.


이번에 발견된 악성 메일 또한, 최근 랜섬웨어 유포 방식처럼 개인 사용자보다는 국내 중소형 기업을 타깃으로 악성 메일이 발송되었습니다. 


이메일에 첨부된 RAR 파일을 압축 해제하면 다음과 같이 MS Word 파일(.doc)을 위장한 실행파일과 lnk 파일이 들어 있습니다.


[그림 2] doc 파일로 위장한 악성코드 파일 화면


'WiseFAX 문서.rar' 압축 파일 안의 실행 파일명은 다음과 같습니다.

- WiseFax-0304201958032204.doc.exe

- WiseFax-0304201958032204.doc.lnk


'WiseFax-0304201958032204.doc.exe' 파일은 숨김파일 처리되어 있으며, 'WiseFax-0304201958032204.doc.lnk' 파일의 경우 lnk 확장자명이 보이지 않아 일반 사용자의 경우 DOC 파일로 착각해 클릭해 볼 가능성이 높습니다. 


[그림 3] 악성코드 실행 파일(EXE) 및 lnk 파일 화면


사용자가 'WiseFax-0304201958032204.doc.lnk' 파일에는 같은 폴더 안에 숨김파일 처리되어 있는 'WiseFax-0304201958032204.doc.exe' 실행파일을 실행하라는 명령어가 들어 있습니다.


바로가기(.lnk) 파일에는 다음과 같이 악성코드 제작자의 흔적들이 남겨져 있습니다.


[그림 3-1] LNK 제작에 사용된 Admin 계정과 컴퓨터 아이디 'win-0ev5o0is9i7' 화면


[그림 4] 'WiseFax-0304201958032204.doc.lnk' 악성 파일의 속성값


하지만 해당 파일을 doc 파일로 착각해 실행하면, 아래의 경고창과 함께 악성 파일이 실행되지는 않습니다.


[그림 5] 악성 lnk 파일 실행 결과 창


하지만 숨김 파일 처리되어 있는 'WiseFax-0304201958032204.doc.exe'를 실행하면, 다음과 같이 갠드크랩 v5.2에 감염됩니다.


[그림 6] 갠드크랩 v5.2 랜섬노트 화면


각 기업의 보안 담당자, 외부 업무 담당자들께서는 최근 지속적으로 유포 중인 악성 이메일로부터 랜섬웨어 감염을 막기 위해 아래와 같은 예방 수칙 및 대응 방안을 참고하시기 바랍니다.


※ 랜섬웨어 감염 예방 수칙 및 대응 방안 

- 출처를 확인할 수 없는 이메일 내 URL 링크 혹은 첨부파일을 클릭하지 않는다.   

- 신뢰할 수 없는 웹 페이지 접속을 지양한다.   

- 중요 자료들은 외장 매체에 수시로 백업해 놓는다.   

- 운영체제 및 자주 사용하는 프로그램, 인터넷 브라우저 등을 항상 최신 버전으로 유지한다.   

- 신뢰할 수 있는 백신 프로그램을 사용한다.



현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.GandCrab으로 탐지 중에 있습니다.



티스토리 방명록 작성
name password homepage