포스팅 내용

악성코드 분석 리포트

리플라이 오퍼레이터, 스팸하우스 사칭해 소디노키비 랜섬웨어 유포 주의!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일(2019년 05월 31일), 사용자의 이메일 주소가 스팸하우스 블랙리스트에 올라갔다는 내용의 피싱 메일이 유포되고 있습니다.


스팸하우스는 스팸과 피싱, 맬웨어, 봇넷 등 관련 사이버 위협을 추적하고, 실시간으로 위협 및 평판 차단 목록을 제공하는 국제 비영리 단체입니다.


또한 ESRC에서는 이번에 포착된 피싱 메일은 신종 랜섬웨어 'Sodinokibi'를 감염자 PC에 다운로드하고 실행시키며, 리플라이 오퍼레이터 그룹이 유포한 것으로 확인되었습니다.


[그림 1] 스팸하우스 블랙리스트 피싱 메일 화면


금일 발견된 피싱 메일은 다양한 문구의 메일 제목으로 유포되었으며, 사용자의 메일이 스팸처리되었다는 내용을 담고 있습니다.


[그림 2] 다양한 제목의 피싱 메일 화면


메일 안에는 'SBL4990193.rar'라는 RAR 압축 파일이 첨부되어 있습니다. 또한 공격자는 첨부파일에 암호를 설정하여 보안 탐지를 우회하려고 시도하였습니다.


[그림 3] 첨부파일 압축 해제를 위한 비밀번호 입력 창


해당 메일을 받은 사용자가 본인의 이메일이 스팸 처리된 것으로 착각해 압축 파일을 해제하면 아래의 악성 파일들이 들어 있습니다.

- SBL4990193.doc.exe

- SBL4990193.doc.lnk


악성 링크 파일(.lnk) 사용자에게 보이지 않아 MS Word 문서(.doc)인 것으로 속이기 쉬우며, 악성 실행 파일(.exe)은 숨김처리되어 있었습니다.


[그림 4] 압축 파일 안의 악성 파일


링크 파일(.lnk)의 경우 아래와 같이 확장자명이 보이지 않아 육안으로는 파일 유형을 확인하기 어렵습니다.


[그림 5] MS Word 문서 파일을 위장한 악성 파일


이번에 발견된 악성 파일 샘플은 숨김 속성을 사용하여 악성 실행 파일의 존재를 숨기려 시도했습니다.


그리고 악성 링크 파일(.lnk)의 경우에는 아래와 같이 숨김 처리된 악성 파일을 호출하는 명령어가 심어져 있었습니다.


[그림 6] 악성 링크 파일 속성 값


악성 바로가기 파일(.lnk) 확인 결과, 제작자의 컴퓨터 정보에서 리플라이 오퍼레이터 그룹의 소행임을 확인할 수 있는 머신 아이디가 발견되었습니다. 해당 아이디는 5월 초 FAX 문서 사칭 건부터 계속 사용되고 있습니다.

- machine_id: win-0ev5o0is9i7


[그림 7] 악성 파일 제작자의 컴퓨터 정보


따라서 메일을 받은 사용자가 악성 링크 파일을 Word 파일로 착각해 실행한다면, 숨김 처리된 악성 파일(doc.exe)을 실행하고 사용자 PC는 Sodinokibi 랜섬웨어에 감염됩니다.


[그림 8] Sodinokibi 랜섬웨어에 감염된 PC 화면


Sodinokibi 랜섬웨어는 감염된 PC의 바탕화면을 파란색 화면으로 변경하고, “Welcome. Again"이라는 문구로 시작하는 랜섬노트를 감염된 PC에 생성합니다.


[그림 9] Sodinokibi 랜섬노트 화면


이번에 발견된 피싱메일은 사용자 메일이 스팸하우스에서 블랙리스트 처리됐다는 새로운 내용으로 유포되었습니다.


따라서 불분명한 사용자에게서 온 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 


금일 발견된 악성 샘플과 관련된 자세한 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.


알약에서는 해당 악성 샘플에 대하여 'Trojan.Ransom.Sodinokibi'으로 탐지 중에 있습니다.


※ 리플라이 오퍼레이터(Reply Operator) 그룹 게시글 바로가기


▶ 경찰청 소환장으로 유포중인 갠드크랩 랜섬웨어 5.1 주의 (2019.02.20)

▶ 지마켓 할인 쿠폰을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.22)

▶ [주의] 헌법 재판소 소환장으로 유포중인 갠드크랩 v5.2 주의! (2019.02.25)

▶ 한국은행을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.27)

▶ [주의] 헌법 재판소 소환장으로 유포중인 업그레이드된 갠드크랩 v5.2 주의! (2019.03.11)

▶ 'Min Gap Ryong'과 한국은행을 사칭한 악성 이메일 유포 중 (2019.03.14)

▶ 이미지 저작권 위반 내용 메일의 GandCrab v5.2 랜섬웨어 유포 주의 (2019.03.18)

▶ [주의] 새로운 헌법 재판소 소환장으로 사칭, 유포중인 갠드크랩 v5.2 주의! (2019.03.20)

▶ [주의] 헌법 재판소 소환장으로 사칭한 갠드크랩 v5.2 여전히 유포중! (2019.03.25)

▶ [주의] 대한민국 국세청을 사칭한 갠드크랩 v5.2 주의! (2019.03.28)

▶ '리플라이 오퍼레이터(Reply Operator)' 경찰청, 국세청, 헌법재판소 등 사칭해 갠드크랩 유포 중 (2019.04.02)

▶ '리플라이 오퍼레이터(Reply Operator)' 이미지 사용 중지 요청 악성 메일로 갠드크랩 유포 (2019.04.19)

▶ 리플라이 오퍼레이터 그룹 FAX 문서를 사칭한 악성 메일 유포중! (2019.05.08)

 리플라이 오퍼레이터, 헌법재판소 사칭해 'Sodinokibi' 랜섬웨어 유포 중! (2019.05.22)

 리플라이 오퍼레이터, 헌법재판소 사칭해 다양한 랜섬웨어 유포 주의! (2019.05.28)

리플라이 오퍼레이터, '정리 해고' 제목으로 소디노키비 랜섬웨어 유포 중 (2019.05.29)




티스토리 방명록 작성
name password homepage