비너스락커(VenusLocker) 조직, 입사지원서를 위장한 소디노키비 랜섬 유포로 컴백

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

금일(2019.08.05) 중소기업을 타깃으로 입사지원서를 사칭한 악성 메일이 유포된 정황이 포착되어 이용자들의 주의를 당부드립니다.

ESRC 분석 결과, 비너스락커(VenusLocker) 조직이 다시 RaaS 기반의 소디노키비 랜섬웨어를 활용해 악성 메일을 유포하고 있는 것으로 밝혀졌습니다.  

이번에 발견된 입사지원서 메일은 리플라이 오퍼레이터에 비해 유창한 한글 표기법을 사용하였으며, 실제 입사지원서 메일 제목 양식처럼 "회사명_직무(이름)"으로 작성되었습니다.

[그림 1] '입사지원서'로 위장한 악성 메일

이메일 본문을 살펴보면 마침표를 안 쓰는 특성을 확인하실 수 있습니다.

메일에 첨부된 파일인 '이지운.7z'에는 hwp 파일로 위장한 악성 실행파일이 들어 있으며, 두 파일 모두 긴 공백을 삽입하여 실행 파일(EXE)인 것을 속이려고 시도하였습니다.

[그림 2] HWP를 위장한 악성 실행 파일

File Name	MD5
포트폴리오.hwp(긴공백).exe	5B9C2BCF0A9CA3ECA2534EE2D654922C
이력서.hwp(긴공백).exe	5B9C2BCF0A9CA3ECA2534EE2D654922C

조사 결과 공격자는 한국 휴대폰으로 한메일에 가입했으며, 한국 아이피(221[.]153.243.218)와 한메일을 발신지로 사용했습니다.

[그림 3] 한국 휴대폰으로 한메일에 가입한 공격자

만일 입사 담당자가 해당 HWP 파일을 입사 지원서 파일로 착각해 실행할 경우, 소디노키비 랜섬웨어에 감염됩니다.

[그림 4] 소디노키비 랜섬웨어에 감염된 PC 화면

소디노키비 랜섬웨어는 피해자 PC의 바탕화면을 파란색 화면으로 변경시키고 각 폴더마다 랜섬노트를 생성합니다.

랜섬노트에는 소디노키비 랜섬노트 특징인 "Welcome. Again"이라는 문구로 시작되는 것을 확인하실 수 있습니다.

[그림 5] 소디노키비 랜섬노트 화면

따라서 불분명한 사용자에게서 온 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 

금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서도 확인하실 수 있습니다.

알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.Sodinokibi'로 탐지 중입니다.

※ Sodinokibi 랜섬웨어 게시글 바로가기

▶ [주의] 공정거래위원회 사칭한 악성 메일로 소디노키비 랜섬웨어 유포 중! (2019.07.11)

▶ NH농협 보안담당자 메일로 위장한 소디노키비 랜섬웨어 주의! (2019.06.14)

▶ 리플라이 오퍼레이터, 금융회사 사칭해 'Sodinokibi' 랜섬웨어 유포 (2019.06.03)

▶ 리플라이 오퍼레이터, 스팸하우스 사칭해 소디노키비 랜섬웨어 유포 주의! (2019.05.31)

▶ 리플라이 오퍼레이터, '정리 해고' 제목으로 소디노키비 랜섬웨어 유포 중 (2019.05.29)

▶ 리플라이 오퍼레이터, 헌법재판소 사칭해 'Sodinokibi' 랜섬웨어 유포 중! (2019.05.22)

▶ Trojan.Ransom.Sodinokibi 악성코드 분석 보고서 (2019.05.21)

▶ [주의] 신종 랜섬웨어 'Sodinokibi', 입사지원서 사칭해 유포 중! (2019.05.15)

▶ [주의] 신종 랜섬웨어 ‘Sodinokibi’, 견적 의뢰 요청 메일로 대량 유포 중! (2019.05.14)

▶ 신종 랜섬웨어 ‘Sodinokibi’ 주의! (2019.04.30)

※ 비너스락커(Venus Locker) 그룹 게시글 바로가기 

▶ 비너스락커 그룹 입사지원서를 위장하여 지속적으로 갠드크랩 v5.2 유포 중 (2019.04.22)

▶ 비너스락커 그룹 또다시 입사지원서를 위장하여 갠드크랩 v5.2 유포 (2019.04.19)

▶ [주의] 비너스락커 그룹 개인 디자이너를 위장하여 갠드크랩 v5.2 유포 중 (2019.04.11)

▶ [주의] 비너스락커 그룹 입사지원서를 위장하여 갠드크랩 v5.2 유포 중 (2019.04.08)

▶ 입사지원서로 위장한 갠드크랩(GandCrab) 랜섬웨어 v5.2 유포중! (2019.02.26)

▶ [주의] 지방 경찰서 출석통지서로 사칭한 갠드크랩 다량 유포 중! (2019.02.12)

▶ 입사지원서로 위장한 갠드크랩(GandCrab) 랜섬웨어 v5.1 유포중! (2019.01.21)

▶ 2018 연말정산 시즌 비너스락커 유포 조직 활동중! (2018.12.27)

▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥! (2018.12.13)

▶ 비너스락커 랜섬웨어 조직, 한국 상대로 악성 문서파일 융단폭격 중 (2018.12.10)

▶ 비너스락커 조직 ‘바로가기’ 파일(LNK) 변경하여 유포 중인 갠드크랩 랜섬웨어 주의 (2018.12.03)

▶ 비너스락커 조직, 또 다시 이력서로 위장하여 갠드크랩 랜섬웨어 유포 중! (2018.11.27)

▶ 비너스락커 조직, 임금체불 관련 출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의 (2018.11.20)

▶ 비너스락커 랜섬웨어 조직, 베리즈 웹쉐어를 통해 갠드크랩 국내 다량 유포 (2018.11.19)

▶ 비너스락커 위협조직, 입사지원서로 위장해 갠드크랩 랜섬웨어 한국에 급속 유포 중 (2018.11.15)

▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의! (2018.10.22)

▶ 이미지 저작권 침해 내용 메일로 GandCrab 랜섬웨어 유포 주의 (2018.06.25)

▶ 한국어를 구사하는 랜섬웨어 유포자, 이젠 매크로 기반으로 갠드크랩 유포 중 (2018.05.15)

▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의! (2017.06.01)

▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산! (2017.05.26)

▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중 (2017.04.13)

▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중 (2017.02.23)

▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중! (2017.02.17)

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 (2017.01.03)