상세 컨텐츠

본문 제목

NH농협 보안담당자 메일로 위장한 소디노키비 랜섬웨어 주의!

악성코드 분석 리포트

by 알약(Alyac) 2019. 6. 14. 22:50

본문


안녕하세요.


이스트시큐리티 시큐리티대응센터(ESRC)입니다.


6/12 오후부터 NH농협은행 보안팀에서 보낸 메일처럼 위장한 피싱메일이 시중에 대량으로 유포되고 있어 사용자 여러분의 주의가 필요합니다.


피싱메일 분석한 결과, 리플라이 오퍼레이터 그룹에서 유포한 것으로 확인되었으며, 기존의 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등 공공기관에서 보낸 것처럼 사용자를 속이던 방식에서 최근에는 금융회사를 사칭해 랜섬웨어를 유포하는 방향을 선호하는 것으로 보입니다.


[그림 1] NH농협은행을 사칭한 피싱메일


시중에 유포되고 있는 피싱 메일은 NH농협 보안팀이 보낸 것으로 되어 있고 신뢰도를 높이기 위해 직원 이름 역시 사용하고 있습니다. 이 직원 이름은 실제 NH농협 보안팀 소속인지는 알 수 없으나 여러 직원 이름을 사용하고 있는 것으로 미루어보아 거짓 이름을 사용하고 있는 것으로 추정됩니다. 


피싱 메일 최상단에는 NH농협의 로고 이미지가 포함되어 있어 사용자로 하여금 실제 NH농협에서 보낸 것처럼 착각하도록 유도하며, 본문 내용에는 '2019. 5. 10일 고객님의 신규 개설 계좌가 대포통장으로 사용된 정황이 포착되어 고지드립니다.' 라는 내용이 작성되어 있다. 


또한 대포통장 개설을 통해 여러 차례에 걸쳐 큰 금액의 현금 거래가 이뤄졌다고 하면서 불법거래 의심 내역과 계좌 개설시 제출되었던 내용들을 확인하라며 사용자로 하여금 메일 첨부파일을 열어보도록 유도하고 있습니다.


만약, 사용자가 첨부 파일을 다운로드 및 클릭할 경우 Sodinokibi 랜섬웨어에 감염되게 되므로, 각별한 주의가 필요합니다.


금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.


알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.Sodinokibi'로 탐지중입니다.



※ 리플라이 오퍼레이터(Reply Operator) 그룹 게시글 바로가기


▶ 경찰청 소환장으로 유포중인 갠드크랩 랜섬웨어 5.1 주의 (2019.02.20)

▶ 지마켓 할인 쿠폰을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.22)

▶ [주의] 헌법 재판소 소환장으로 유포중인 갠드크랩 v5.2 주의! (2019.02.25)

▶ 한국은행을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.27)

▶ [주의] 헌법 재판소 소환장으로 유포중인 업그레이드된 갠드크랩 v5.2 주의! (2019.03.11)

▶ 'Min Gap Ryong'과 한국은행을 사칭한 악성 이메일 유포 중 (2019.03.14)

▶ 이미지 저작권 위반 내용 메일의 GandCrab v5.2 랜섬웨어 유포 주의 (2019.03.18)

▶ [주의] 새로운 헌법 재판소 소환장으로 사칭, 유포중인 갠드크랩 v5.2 주의! (2019.03.20)

▶ [주의] 헌법 재판소 소환장으로 사칭한 갠드크랩 v5.2 여전히 유포중! (2019.03.25)

▶ [주의] 대한민국 국세청을 사칭한 갠드크랩 v5.2 주의! (2019.03.28)

▶ '리플라이 오퍼레이터(Reply Operator)' 경찰청, 국세청, 헌법재판소 등 사칭해 갠드크랩 유포 중 (2019.04.02)

▶ '리플라이 오퍼레이터(Reply Operator)' 이미지 사용 중지 요청 악성 메일로 갠드크랩 유포 (2019.04.19)

▶ 리플라이 오퍼레이터 그룹 FAX 문서를 사칭한 악성 메일 유포중! (2019.05.08)

 리플라이 오퍼레이터, 헌법재판소 사칭해 'Sodinokibi' 랜섬웨어 유포 중! (2019.05.22)

 리플라이 오퍼레이터, 헌법재판소 사칭해 다양한 랜섬웨어 유포 주의! (2019.05.28)

 리플라이 오퍼레이터, '정리 해고' 제목으로 소디노키비 랜섬웨어 유포 중 (2019.05.29)

 리플라이 오퍼레이터, 스팸하우스 사칭해 소디노키비 랜섬웨어 유포 주의! (2019.05.31)

리플라이 오퍼레이터, 금융회사 사칭해 'Sodinokibi' 랜섬웨어 유포 (2019.06.03)





관련글 더보기

댓글 영역