리플라이 오퍼레이터, 글로벌 물류 회사 사칭해 Sodinokibi 랜섬웨어 유포!

안녕하세요?

이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근 특정 글로벌 물류 회사를 사칭해 Sodinokibi 랜섬웨어를 유포하는 악성 이메일 공격이 확인되고 있습니다.

[그림 1] 글로벌 물류 회사를 사칭한 악성 이메일

악성 이메일에는 요청한 물품이 세관 신고서에 배송 주소를 식별할 수 없기 때문에 배송할 수 없다며 첨부된 세관 서류를 수정해 줄 것을 요구하고 있습니다.

메일 본문 내용은 어색한 표현들이 있긴 하나 매끄러운 편이며, 사칭한 글로벌 물류 회사의 이미지를 사용해 해당 회사에서 실제로 발송된 것처럼 사용자를 속이려 시도했습니다. 

하지만 사용자가 메일에 첨부되어 있는 '세관 서류.zip' 압축파일을 해제하면, 'DHL 세관 신고서.doc.exe'라는 MS Word 문서파일을 위장한 실행 파일(.exe)이 나타나는데 메일 수신자가 이 실행파일을 클릭하면 Sodinokibi 랜섬웨어에 감염됩니다.

[그림 2] MS Word 파일로 위장한 악성 파일

[그림 3] Sodinokibi 랜섬웨어에 감염된 PC 화면

ESRC에서는 공격자가 보낸 이메일을 확인/분석한 결과 리플라이 오퍼레이터(Reply Operator) 조직이 수행한 것으로 판단하고 있습니다.

리플라이 오퍼레이터 조직은 지난 8월 금융기관을 사칭한 악성 메일 유포 이후 물류 배송 이슈라는 새로운 메일 내용으로 랜섬웨어를 유포하고 있습니다.

따라서, 출처가 불분명한 사용자에게서 온 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 

File Name	MD5
DHL 세관 신고서.doc.exe	16A3DC86BB16EA5C03B9D7FB660A9CCB

금일 발견된 악성 샘플과 관련된 자세한 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서도 확인하실 수 있습니다.

알약에서는 해당 악성 샘플에 대하여 'Trojan.Ransom.Sodinokibi'으로 탐지 중에 있습니다.

※ 리플라이 오퍼레이터(Reply Operator) 그룹 게시글 바로가기

▶ 리플라이 오퍼레이터 조직, 한국 금융기관 사칭 Sodinokibi 랜섬웨어 유포 (2019.08.26)

▶ 리플라이 오퍼레이터, 금융회사 사칭해 'Sodinokibi' 랜섬웨어 유포 (2019.06.03)

▶ 리플라이 오퍼레이터, 스팸하우스 사칭해 소디노키비 랜섬웨어 유포 주의! (2019.05.31)

▶ 리플라이 오퍼레이터, '정리 해고' 제목으로 소디노키비 랜섬웨어 유포 중 (2019.05.29)

▶ 리플라이 오퍼레이터, 헌법재판소 사칭해 다양한 랜섬웨어 유포 주의! (2019.05.28)

▶ 리플라이 오퍼레이터, 헌법재판소 사칭해 'Sodinokibi' 랜섬웨어 유포 중! (2019.05.22)

▶ 리플라이 오퍼레이터 그룹 FAX 문서를 사칭한 악성 메일 유포중! (2019.05.08)

▶ '리플라이 오퍼레이터(Reply Operator)' 이미지 사용 중지 요청 악성 메일로 갠드크랩 유포 (2019.04.19)

▶ '리플라이 오퍼레이터(Reply Operator)' 경찰청, 국세청, 헌법재판소 등 사칭해 갠드크랩 유포 중 (2019.04.02)

▶ [주의] 대한민국 국세청을 사칭한 갠드크랩 v5.2 주의! (2019.03.28)

▶ [주의] 헌법 재판소 소환장으로 사칭한 갠드크랩 v5.2 여전히 유포중! (2019.03.25)

▶ [주의] 새로운 헌법 재판소 소환장으로 사칭, 유포중인 갠드크랩 v5.2 주의! (2019.03.20)

▶ 이미지 저작권 위반 내용 메일의 GandCrab v5.2 랜섬웨어 유포 주의 (2019.03.18)

▶ 'Min Gap Ryong'과 한국은행을 사칭한 악성 이메일 유포 중 (2019.03.14)

▶ [주의] 헌법 재판소 소환장으로 유포중인 업그레이드된 갠드크랩 v5.2 주의! (2019.03.11)

▶ 한국은행을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.27)

▶ [주의] 헌법 재판소 소환장으로 유포중인 갠드크랩 v5.2 주의! (2019.02.25)

▶ 지마켓 할인 쿠폰을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.22)

▶ 경찰청 소환장으로 유포중인 갠드크랩 랜섬웨어 5.1 주의 (2019.02.20)