상세 컨텐츠

본문 제목

리플라이 오퍼레이터, '정리 해고' 제목으로 소디노키비 랜섬웨어 유포 중

악성코드 분석 리포트

by 알약(Alyac) 2019. 5. 29. 11:17

본문


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일 (2019년 05월 29일), '정리 해고 및 감면 목록'이라는 자극적인 메일 제목으로, 악성 파일을 포함한 피싱 메일이 유포되고 있어, 사용자들의 각별한 주의가 필요합니다.


[그림 1] 해고 안내를 위장한 악성 피싱 메일


ESRC에서는 리플라이 오퍼레이터 조직이 해당 피싱 메일을 유포한 것으로 추정하고 있으며, 리플라이 오퍼레이터 조직은 지난 5월 28일에도 비슷한 유형의 악성 파일을 유포했습니다.


[그림 2] 리플라이 오퍼레이터 조직이 유포한 피싱 메일 비교


이번에 발견된 피싱 메일에는 기존에 유포했던 피싱 메일에 사용한 동일한 도메인이 사용되었으며, 피싱 메일에 첨부된 압축 파일 해제 용도의 비밀번호를 본문에 첨부한 점이 동일합니다.


또한 악성 메일에는 '해고 목록.zip'라는 ZIP 확장자의 압축 파일이 첨부되어 있으며, 압축 파일을 해제하려면 본문의 비밀번호를 입력해야 합니다.


[그림 3] 첨부파일 압축 해제를 위한 비밀번호 입력 창


메일에 적힌 압축파일 비밀번호를 입력해, 압축 파일을 해제하면 아래와 같은 파일명의 JavaScript 파일을 확인하실 수 있습니다.


[그림 4] 압축 파일 안의 JavaScript 악성 파일


악성 메일을 받은 사용자가 파일 내용이 궁금해 해당 악성 파일을 실행하면, 사용자 PC는 'Sodinokibi' 랜섬웨어에 감염됩니다.


[그림 5] Sodinokibi 랜섬웨어에 감염된 PC 화면

 

Sodinokibi(소디노키비) 랜섬웨어에 감염되면, 사용자 PC는 바탕화면이 파란색으로 변경되며, "Welcome. Again"이라는 문구로 시작하는 랜섬노트를 확인하실 수 있습니다.


[그림 6] Sodinokibi 랜섬노트 화면


갠드크랩을 유포하던 사이버 범죄 그룹이 이전에 갠드크랩을 유포하던 방식을 활용하여 신종 Sodinokibi 랜섬웨어를 국내에 대량으로 유포하고 있습니다.


또한, 이번에 발견된 피싱메일은 기존에 다량 유포되던 입사지원서, 국세청 및 경찰청 등의 관공서, 저작권 위반과 다른 내용으로 유포되었으며, 호기심을 자극할만한 내용으로 작성돼 사용자들의 각별한 주의가 요구됩니다.


금일 발견된 악성 샘플과 관련된 자세한 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.


현재 알약에서는 해당 랜섬웨어에 대하여 'Trojan.Ransom.Sodinokibi'으로 탐지 중에 있습니다.


※ 리플라이 오퍼레이터(Reply Operator) 그룹 게시글 바로가기


▶ 경찰청 소환장으로 유포중인 갠드크랩 랜섬웨어 5.1 주의 (2019.02.20)

▶ 지마켓 할인 쿠폰을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.22)

▶ [주의] 헌법 재판소 소환장으로 유포중인 갠드크랩 v5.2 주의! (2019.02.25)

▶ 한국은행을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.27)

▶ [주의] 헌법 재판소 소환장으로 유포중인 업그레이드된 갠드크랩 v5.2 주의! (2019.03.11)

▶ 'Min Gap Ryong'과 한국은행을 사칭한 악성 이메일 유포 중 (2019.03.14)

▶ 이미지 저작권 위반 내용 메일의 GandCrab v5.2 랜섬웨어 유포 주의 (2019.03.18)

▶ [주의] 새로운 헌법 재판소 소환장으로 사칭, 유포중인 갠드크랩 v5.2 주의! (2019.03.20)

▶ [주의] 헌법 재판소 소환장으로 사칭한 갠드크랩 v5.2 여전히 유포중! (2019.03.25)

▶ [주의] 대한민국 국세청을 사칭한 갠드크랩 v5.2 주의! (2019.03.28)

▶ '리플라이 오퍼레이터(Reply Operator)' 경찰청, 국세청, 헌법재판소 등 사칭해 갠드크랩 유포 중 (2019.04.02)

▶ '리플라이 오퍼레이터(Reply Operator)' 이미지 사용 중지 요청 악성 메일로 갠드크랩 유포 (2019.04.19)

▶ 리플라이 오퍼레이터 그룹 FAX 문서를 사칭한 악성 메일 유포중! (2019.05.08)

 리플라이 오퍼레이터, 헌법재판소 사칭해 'Sodinokibi' 랜섬웨어 유포 중! (2019.05.22)

리플라이 오퍼레이터, 헌법재판소 사칭해 다양한 랜섬웨어 유포 주의! (2019.05.28)





관련글 더보기

댓글 영역