리플라이 오퍼레이터, 헌법재판소 사칭해 다양한 랜섬웨어 유포 주의!

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

금일(2019년 05월 28일), '형사 사건번호'라는 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있어, 사용자들의 주의가 필요합니다.

이번에 포착된 피싱 메일에는 'VegaLocker' 변종을 감염자 PC에 다운로드하고 실행시키는 것으로 조사되었으며, "리플라이 오퍼레이터(Reply Operator)" 그룹이 유포한 것으로 확인되었습니다.

[그림 1] 헌법 재판소를 사칭한 피싱 메일 화면

피싱 메일에는 'Documents.zip'라는 압축 파일(.zip)이 첨부되어 있습니다.

특이한 점은 이전에 발견된 메일과 달리 보관 '파일의 비밀번호'라는 내용이 추가된 점입니다.

해당 메일을 받은 사용자가 사건과 관련된 서류로 착각해 압축을 해제를 시도하면, 아래와 같이 파일 비밀번호를 입력하라는 팝업창을 확인하실 수 있습니다.

[그림 2] 비밀번호 입력 창 화면 

메일에 적힌 압축파일 비밀번호를 입력해, 압축 파일을 해제하면 아래와 같은 파일명의 js 파일을 확인하실 수 있습니다.

- Korea Criminal Case #521.js

- Korean Constitutional Court #143.js

[그림 3] 압축 파일 안의 악성 파일

사용자가 해당 악성파일을(.js) 사건 파일로 착각해 실행하면 아래와 같은 창이 팝업되고, 허용을 클릭하면 랜섬웨어에 감염됩니다.

[그림 4] 앱 허용 확인 창 화면

VegaLocker에 감염되면 랜섬노트에 작성된 'personal ID'를 확장자로 사용자 PC의 파일들이 암호화됩니다.

[그림 5] VegaLocker 변종에 감염된 파일들

이번에 발견된 VegaLocker 랜섬웨어 샘플은 아래와 같이 랜섬노트를 바탕화면에 생성하고 파일을 암호화하지만, 감염 문구로 PC 화면을 변경하지는 않았습니다.

[그림 6] VegaLocker 랜섬웨어에 감염된 PC 화면

또한, 이전에 발견된 랜섬웨어의 경우, TOR 브라우저를 통한 랜섬머니 요구와 관련된 정보 및 암호화된 파일을 샘플로 1개만 복호화해 주겠다는 내용이 랜섬노트에 작성되었다면, 이번에 발견된 VegaLocker 랜섬웨어의 랜섬노트 내용은 사뭇 다릅니다.

[그림 7] 랜섬노트 내용

위의 그림과 같이 파일 복호화를 위해 랜섬노트의 메일 주소로 연락할 것을 안내하고 있으며, 샘플 복호화 역시 복호화 하고 싶은 파일 1개를 해당 메일로 보내줄 것을 요구하고 있습니다.

- wtfsupport@airmail.cc

- wtfsupport@cock.li

하지만 해당 메일로 랜섬머니를 보낸다거나 암호화된 파일을 보냈을 때, 제대로 암호화된 파일이 복호화 된다는 보장은 없습니다.

또한, 금일 비슷한 내용의 '형사 사건번호'라는 악성 메일이 발견되었는데, 해당 악성 메일에는 동일한 'Documents.rar' 파일명의 RAR 압축 파일이 첨부되어 있었습니다.

[그림 8] 헌법 재판소를 사칭한 피싱 메일 화면2

처음 발견된 ZIP 파일과 동일하게, 압축 해제를 위해 암호를 입력해야 하며, 암호를 입력하고 압축을 해제하면 아래와 같은 파일을 확인하실 수 있습니다.

- Korea Criminal Case #85471.docx

- Korean Constitutional Court #65741.docx

- log.cfg

[그림 9] 'Documents.rar' 안의 파일 화면

처음 발견된 악성 파일과 다른게 압축 파일 안에 MS Word 문서(.docx)로 위장한 링크 파일(.lnk)과 숨김파일 처리된 log.cfg 파일이 들어 있습니다.

또한, MS Word 문서(.docx)를 위장한 링크 파일(.lnk)의 속성값을 확인해 보면 숨김파일 처리된 log.cfg을 실행하라는 명령어를 확인할 수 있습니다.

[그림 10] MS Word(.docx) 악성 파일의 속성값

사용자가 해당 악성파일을 MS Word(.docx)로 착각해 실행하면 아래와 같은 창이 팝업되고, 갠드크랩에 감염되게 됩니다.

[그림 11] 악성파일 실행시 팝업되는 창

또한, 다음과 같이 GandCrab V5.2 랜섬노트를 바탕화면에 생성하고, 사용자 PC의 파일을 암호화합니다.

[그림 12] GandCrab V5.2 랜섬노트 화면

금일 리플라이 오퍼레이터 그룹이 헌법 재판소를 사칭해, 갠드크랩뿐만 아니라 VegaLocker 변종 랜섬웨어도 유포한 정황이 포착되었습니다.

각 기업의 외부 담당자께서는 출처가 불분명한 사용자에게서 온 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 

금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.

알약에서는 해당 악성 샘플에 대하여 'Trojan.Ransom.VegaLocker, Trojan.Ransom.GandCrab, Trojan.JS.Ransom.A'으로 탐지 중에 있습니다.

※ 리플라이 오퍼레이터(Reply Operator) 그룹 게시글 바로가기

▶ 경찰청 소환장으로 유포중인 갠드크랩 랜섬웨어 5.1 주의 (2019.02.20)

▶ 지마켓 할인 쿠폰을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.22)

▶ [주의] 헌법 재판소 소환장으로 유포중인 갠드크랩 v5.2 주의! (2019.02.25)

▶ 한국은행을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.27)

▶ [주의] 헌법 재판소 소환장으로 유포중인 업그레이드된 갠드크랩 v5.2 주의! (2019.03.11)

▶ 'Min Gap Ryong'과 한국은행을 사칭한 악성 이메일 유포 중 (2019.03.14)

▶ 이미지 저작권 위반 내용 메일의 GandCrab v5.2 랜섬웨어 유포 주의 (2019.03.18)

▶ [주의] 새로운 헌법 재판소 소환장으로 사칭, 유포중인 갠드크랩 v5.2 주의! (2019.03.20)

▶ [주의] 헌법 재판소 소환장으로 사칭한 갠드크랩 v5.2 여전히 유포중! (2019.03.25)

▶ [주의] 대한민국 국세청을 사칭한 갠드크랩 v5.2 주의! (2019.03.28)

▶ '리플라이 오퍼레이터(Reply Operator)' 경찰청, 국세청, 헌법재판소 등 사칭해 갠드크랩 유포 중 (2019.04.02)

▶ '리플라이 오퍼레이터(Reply Operator)' 이미지 사용 중지 요청 악성 메일로 갠드크랩 유포 (2019.04.19)

▶ 리플라이 오퍼레이터 그룹 FAX 문서를 사칭한 악성 메일 유포중! (2019.05.08)

▶ 리플라이 오퍼레이터, 헌법재판소 사칭해 'Sodinokibi' 랜섬웨어 유포 중! (2019.05.22)