포스팅 내용

악성코드 분석 리포트

비너스락커 조직, 입사지원서를 위장한 메일로 랜섬웨어 'Nemty' 유포 중!


안녕하세요.


이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 구직/채용 지원서로 위장하여 Nemty 랜섬웨어를 유포하는 시도가 계속 발생하고 있습니다.



[그림 1] 구직/채용 지원서로 위장한 악성메일



ESRC에서는 비너스락커 조직의 수행으로 추정하고 있으며, 비너스락커 조직은 8/27일 처음으로 신규 랜섬웨어인 Nemty를 유포한 바가 있습니다.





이번에 발견된 스팸 캠페인 역시 이전과 동일하게 네이버 메일 계정을 통해 발송했습니다. 메일 내용은 입사지원서로 꾸몄습니다. 메일의 첨부파일은 7zip 형식으로 압축되어 있고, 압축파일 내부에는 PDF 문서로 위장한 악성 EXE 랜섬웨어가 포함되어 있습니다.



[그림 2] 스팸 메일에 첨부된 악성파일



이번에 발견된 Nemty 랜섬웨어는 8/27에 유포된 샘플과 달리 복호화를 위한 configuration file이 따로 생성되지 않으며, 생성된 랜섬노트 자체를 configuration file로 사용하도록 변경되었습니다.



[그림 3] Nemty 랜섬노트 비교



[그림 4] configuration file 요구 화면



최근 많은 기업에서 하반기 공채를 진행하고 있습니다. 많은 입사지원 메일 중에 위와 같이 악성 파일을 포함한 메일이 들어 있을 수 있습니다. 


인사/채용 관련 부서분들께서는 출처를 알 수 없는 메일의 경우 열어보는 것에 더욱 주의를 기울이시고, 메일의 첨부파일은 미리보기 기능을 활용해 내용을 확인하는 것을 권장 드립니다.


현재 알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.Nemty'으로 탐지 중에 있습니다.



*IoC 정보

File Name 

MD5

이력서.pdf(긴공백).exe

DB2CCD9B8ED9FC2B38E226E6E8081B8F

포트폴리오.pdf(긴공백).exe

DB2CCD9B8ED9FC2B38E226E6E8081B8F



Nemty 랜섬웨어에 대한 상세 분석 내용과 금일 발견된 악성 샘플과 관련된 자세한 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서도 확인하실 수 있습니다.




티스토리 방명록 작성
name password homepage