포스팅 내용

악성코드 분석 리포트

비너스락커(VenusLocker)조직의 변칙적인 정보탈취 공격 주의보




안녕하세요. 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.


금일(2019.08.20) 비너스락커(VenusLocker) 조직이 입사지원서를 사칭한 악성 메일을 유포하고 있는 정황이 확인되어 이용자들의 각별한 주의를 당부드립니다. 



[그림 1] 입사지원서를 사칭한 이력서 악성메일



이번에 발견된 악성 메일은 지난 8/12에 확인된 악성메일과 동일한 내용을 담고 있으며, 문장 내에 마침표가 없고 7z로 압축된 악성파일을 첨부하고 있다는 점까지 동일합니다.





해당 메일을 받은 수신자가 입사지원을 위한 이력서로 착각하여 압축파일을 해제하면 2개의 실행파일을 다운로드할 수 있으며, 일단 감염되면 사용자PC 관련한 대부분의 정보를 수집하여 가져가게 됩니다.


첨부된 2개의 실행파일이 실제로 동작할 경우 수집하는 주요정보는 다음과 같고, ESRC는 공격자의 새로운 위협활동에 주목하고 있습니다.



1. 감염된 PC IP

2. 크롬, 파이어폭스, 오페라, 엣지 등의 웹브라우저 쿠키정보, 히스토리 정보

3. 감염된 PC에 저장된 비트코인 및 이더리움 등 여러 알트코인에 대한 정보, 암호화폐지갑, 키파일 수집

4. 감염된 PC에 대한 키로깅 정보

5. 감염된 PC 시스템 사양



이 외에도 다운로드 파일 정보, 감염된 PC 화면 스크린샷 정보 등 다양한 시스템 정보들을 수집합니다.


이번 악성코드는 지난 8/12에 포착된 비너스락커 조직의 공격과 매우 유사한 형태를 띄고 있으나, 지난 번 악성메일과는 다르게 악성코드가 감염시스템에서 정보 수집을 진행한 후 이어서 Sodinokibi 랜섬웨어를 실행하지는 않았습니다.


현재까지 확인된 비너스락커 조직의 공격패턴은 1차적으로 악성메일을 보내 수신자의 PC를 감염시키고 정보를 수집한 이후 2차적으로 랜섬웨어를 실행하는 방식을 사용하고 있습니다. 여기서 랜섬웨어는 공격때마다 다른 랜섬웨어를 사용하고 있는 것으로 보이는데 ESRC 에서는 이러한 공격 추이를 추적하고 있는 상황입니다.



+ 업데이트


금일(2018/08/21) 비너스락커(VenusLocker) 조직이 입사지원서를 사칭한 악성메일을 또다시 유포한 정황이 포착되었습니다. ESRC에서는 이번에 유포된 피싱메일에서 Scarab 랜섬웨어를 피해자 PC에 감염시키려고 한 것을 확인했습니다.



[그림 2] Scarab 랜섬웨어에 감염된 PC 화면



이번 악성메일에 첨부된 7z 압축파일에는 아래와 같이 PDF 및 HWP 확장자로 위장한 파일들이 들어있었는데, 두 파일 모두 악성 실행 파일임을 속이기 위해 파일명 중간에 긴 공백문자를 삽입하였습니다.



[그림 3] PDF 및 HWP 파일로 위장한 악성 실행 파일



File Name

 MD5

 이력서.pdf(빈공백)이력서.pdf(빈공백).exe

 BE6C919788F82986C9BD61897BDD474A

 포트폴리오.hwp(빈공백)포트폴리오.hwp(빈공백).exe

 7AED8F7064EED5AB152DB5168250C5F6



만약 해당 악성 파일들을 입사지원서로 착각해 실행하면 파일 암호화와 랜섬노트 생성이 동시에 진행되고, 암호화 행위가 모두 완료되면 최종적으로 랜섬노트가 바탕화면에 팝업됩니다.



[그림 4] Scarab 랜섬웨어 랜섬노트



Scarab 랜섬웨어는 RaaS(Ransomware as a Service) 기반으로 알려진 랜섬웨어이며, GandCrab, Sodinokibi, 가장 최근 발견된 Scarab까지 비너스락커 조직 유포하는 랜섬웨어가 다양해지고 있습니다.


Scarab 랜섬웨어는 최근 악성 피싱 메일을 통해 유포되고 있으며, 새로운 랜섬웨어 변종이 유포되고 있는 만큼 각 기업의 보안 담당자 및 사용자들의 각별한 주의가 필요합니다. 


금일 발견된 악성 샘플은 현재 알약에서 'Trojan.Ransom.Scarab, Trojan.Agent.403968'으로 탐지 중에 있습니다.


또한, 금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서도 확인하실 수 있습니다.



티스토리 방명록 작성
name password homepage