안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
최근 공정거래위원회를 사칭한 악성 메일로 소디노키비(Sodinokibi) 랜섬웨어가 유포되고 있어 이용자들의 주의를 당부드립니다.
이번에 발견된 공정거래위원회 사칭 악성메일은 '전자상거래에 대한 위반행위 조사통지서' 내용을 담고 있습니다. 또한 메일 본문 하단에 '붙임. 전산 및 비전산 자료 보존요청서 1부' 내용으로 첨부 파일 확인을 유도합니다.
[그림 1] '전자상거래 위반행위 관련 조사통지서'로 위장한 악성 메일
실제 첨부파일 '전산 및 비전산자료 보존 요청서.egg'에는 2개의 PDF 파일로 위장한 악성 실행파일이 들어 있으며, 두 파일은 모두 긴 공백을 삽입하여 실행 파일(EXE)인 것을 속이려고 시도 하였습니다.
[그림 2] PDF 파일을 위장한 악성 실행 파일
File Name |
MD5 |
부당 전자상거래 위반행위 안내.pdf(긴공백).exe |
7910905B2D4A49D387F24A94FA05DCCE |
전산 및 비전산자료 보존 요청서.pdf(긴공백).exe |
7910905B2D4A49D387F24A94FA05DCCE |
만일 이용자가 해당 파일을 "부당 전자상거래 위반행위 안내" 및 "전산 및 비전산자료 보존 요청서" PDF 파일로 착각해 실행할 경우, 소디노키비 랜섬웨어에 감염됩니다.
[그림 3] 소디노키비 랜섬웨어에 감염된 PC 화면
소디노키비 랜섬웨어는 피해자 PC의 바탕화면을 파란색 화면으로 변경시키고 각 폴더마다 랜섬노트를 생성합니다.
랜섬노트에는 소디노키비 랜섬노트 특징인 "Welcome. Again"이라는 문구로 시작되는 것을 확인하실 수 있습니다.
[그림 4] 소디노키비 랜섬노트 화면
따라서 불분명한 사용자에게서 온 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다.
금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.
알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.Sodinokibi'로 탐지 중입니다.
※ Sodinokibi 랜섬웨어 게시글 바로가기
▶ 신종 랜섬웨어 ‘Sodinokibi’ 주의! (2019.04.30)
▶ [주의] 신종 랜섬웨어 ‘Sodinokibi’, 견적 의뢰 요청 메일로 대량 유포 중! (2019.05.14)
▶ [주의] 신종 랜섬웨어 'Sodinokibi', 입사지원서 사칭해 유포 중! (2019.05.15)
▶ Trojan.Ransom.Sodinokibi 악성코드 분석 보고서 (2019.05.21)
▶ 리플라이 오퍼레이터, 스팸하우스 사칭해 소디노키비 랜섬웨어 유포 주의! (2019.05.31)
라자루스(Lazarus) APT 그룹, 신상명세서 문서로 위장한 공격 수행 (0) | 2019.07.15 |
---|---|
라자루스, 시스템 포팅 명세서 사칭한 APT작전 '무비 코인' 으로 재등장 (0) | 2019.07.12 |
웹페이지에서 사용자 메일과 비밀번호 정보를 탈취하는 스피어 피싱 주의! (0) | 2019.07.10 |
견적서 의뢰로 위장한 정보 탈취 악성코드 주의! (0) | 2019.07.09 |
Trojan.Android.JSCoinMiner 분석보고서 (0) | 2019.07.04 |
댓글 영역