리플라이 오퍼레이터 조직, 한국 금융기관 사칭 Sodinokibi 랜섬웨어 유포

안녕하세요?

이스트시큐리티 시큐리티대응센터(ESRC)입니다.

지난주 금요일(8/23)부터 특정기관을 타깃으로 하는 시중은행 사칭 악성 이메일 공격이 확인되고 있습니다.

해당 이메일의 첨부파일을 실행하면 Sodinokibi 랜섬웨어에 감염되므로 주의가 필요합니다.

공격자는 한국의 시중은행을 사칭한 메일로 타깃을 노렸으며, '우리_은행.zip', '지불-세부-사항.zip' 등의 압축파일이 첨부되어 있습니다.

실제 공격에 사용된 이메일 화면을 보면, 국내 특정 은행명과 이미지로 이용자들을 현혹하고 있어, 실제 사례를 기억하여 유사한 위협에 노출되지 않도록 해야합니다.

[그림 1] 우리은행을 사칭하여 공격자가 특정 타깃에게 발송한 악성 이메일

작성되어 있는 이메일 본문 내용은 다음과 같습니다.

온라인 은행 알림

이것은 당신의 청구서입니다.

친애하는 고객.

결제 할 때 문제가 발생했습니다.

세부 사항을 수정하십시오.

첨부 파일의 송금 내역

신속한 답변을 기다리겠습니다.

우리의 서비스를 신뢰하고 사용해주셔서 감사합니다. 시간과 비즈니스에 진심으로 감사합니다.

메일에 첨부되어 있는 압축파일을 해제하면, '결제정보_세부 정보가 잘못입력되었습니다'라는 MS워드 문서파일을 위장한 exe 파일이 나타나는데 메일 수신자가 이 실행파일을 클릭하게 되면 Sodinokibi 랜섬웨어에 감염됩니다.

[그림 2] MS워드문서로 위장한 악성파일

File Name	MD5
결제 정보-세부 정보가 잘못 입력되었습니다.exe	530F03121F88FD864114D023E90C4CE5

특이한 사항은, 공격자가 보낸 악성 이메일을 텍스트뷰어로 열람하면, 러시아의 대문호인 '톨스토이'에 대한 소개 내용을 확인할 수 있다는 점입니다.

[그림 3] 이메일 헤더에 포함되어 있는 '톨스토이' 소개내용 

ESRC에서는 공격자가 보낸 이메일을 확인/분석한 결과 메일발송 방식 등 여러가지 정황상 이번 악성 이메일 공격은 리플라이 오퍼레이터 조직이 수행한 것으로 판단하고 있습니다. 

리플라이 오퍼레이터 그룹은 최근 살짝 뜸하긴 했지만 6월초까지 다양한 피싱 메일을 활용하여 신종 Sodinokibi 랜섬웨어를 국내에 대량으로 유포하고 있었습니다.

따라서, 각 기업의 담당자께서는 출처가 불분명한 사용자에게서 온 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 

금일 발견된 악성 샘플과 관련된 자세한 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서도 확인하실 수 있습니다.

알약에서는 해당 악성 샘플에 대하여 'Trojan.Ransom.Sodinokibi'으로 탐지 중에 있습니다.

※ 리플라이 오퍼레이터(Reply Operator) 그룹 게시글 바로가기

▶ 리플라이 오퍼레이터, 금융회사 사칭해 'Sodinokibi' 랜섬웨어 유포 (2019.06.03)

▶ 리플라이 오퍼레이터, 스팸하우스 사칭해 소디노키비 랜섬웨어 유포 주의! (2019.05.31)

▶ 리플라이 오퍼레이터, '정리 해고' 제목으로 소디노키비 랜섬웨어 유포 중 (2019.05.29)

▶ 리플라이 오퍼레이터, 헌법재판소 사칭해 다양한 랜섬웨어 유포 주의! (2019.05.28)

▶ 리플라이 오퍼레이터, 헌법재판소 사칭해 'Sodinokibi' 랜섬웨어 유포 중! (2019.05.22)

▶ 리플라이 오퍼레이터 그룹 FAX 문서를 사칭한 악성 메일 유포중! (2019.05.08)

▶ '리플라이 오퍼레이터(Reply Operator)' 이미지 사용 중지 요청 악성 메일로 갠드크랩 유포 (2019.04.19)

▶ '리플라이 오퍼레이터(Reply Operator)' 경찰청, 국세청, 헌법재판소 등 사칭해 갠드크랩 유포 중 (2019.04.02)

▶ [주의] 대한민국 국세청을 사칭한 갠드크랩 v5.2 주의! (2019.03.28)

▶ [주의] 헌법 재판소 소환장으로 사칭한 갠드크랩 v5.2 여전히 유포중! (2019.03.25)

▶ [주의] 새로운 헌법 재판소 소환장으로 사칭, 유포중인 갠드크랩 v5.2 주의! (2019.03.20)

▶ 이미지 저작권 위반 내용 메일의 GandCrab v5.2 랜섬웨어 유포 주의 (2019.03.18)

▶ 'Min Gap Ryong'과 한국은행을 사칭한 악성 이메일 유포 중 (2019.03.14)

▶ [주의] 헌법 재판소 소환장으로 유포중인 업그레이드된 갠드크랩 v5.2 주의! (2019.03.11)

▶ 한국은행을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.27)

▶ [주의] 헌법 재판소 소환장으로 유포중인 갠드크랩 v5.2 주의! (2019.02.25)

▶ 지마켓 할인 쿠폰을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.22)

▶ 경찰청 소환장으로 유포중인 갠드크랩 랜섬웨어 5.1 주의 (2019.02.20)