포스팅 내용

악성코드 분석 리포트

비너스락커, 입사 지원서 위장하여 Nemty 랜섬웨어 V1.5 유포!


안녕하세요.


이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일(2019/09/30) "이름 지원서"로 위장하여 Nemty 랜섬웨어가 유포되고 있는 정황을 확인하였습니다.



[그림 1] "이름 지원서"로 위장한 악성 메일



[그림 2] 지원서를 사칭한 악성 메일2



지원서를 위장한 악성 메일 캠페인은 비너스락커(VenusLocker) 조직의 수행으로 추정되며, 최근에도 채용 지원서를 위장하여 Nemty 랜섬웨어를 유포했습니다.


이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었고, 기존에 발견된 메일과 동일하게 입사지원서를 사칭했습니다. 


메일의 첨부파일은 7z 형식으로 압축되어 있었으며, 압축파일 내부에는 MS Word 문서로 위장한 악성 EXE 랜섬웨어가 포함되어 있습니다.



[그림 3] 스팸 메일에 첨부된 악성파일



이번에 발견된 악성 실행파일 역시 최근 발견된 악성파일과 동일하게 파일명에 긴 공백을 넣어 MS Word(.doc) 파일인 것처럼 위장해 사용자를 속이려 시도했습니다.


해당 메일을 받은 채용 담당자나 사용자가 호기심에 파일을 열어보면 Nemty 랜섬웨어에 감염되고, 바탕화면에는 아래와 같이 Nemty 랜섬웨어에 감염되었음을 알리는 랜섬노트가 팝업됩니다.


또한, 이전과 다르게 랜섬노트 상단에 "NEMTY PROJECT V1.5" 라는 문구가 있는 것이 특징입니다.



[그림 4] Nemty 랜섬노트 비교



Nemty 랜섬노트의 내용 역시 변경되었습니다.



[그림 5] Nemty 랜섬노트 내용 비교



랜섬노트의 내용이 변경되면서 기존에 Nemty 랜섬웨어에 의해 암호화된 파일의 복호화 여부를 확인해 주는 Tor 사이트 주소 및 사이트 페이지도 변경되었습니다.



[그림 6] 변경된 Tor 사이트 주소



9/11 Nemty 랜섬웨어 Tor 사이트 주소:

- zjoxyw5mkacojk5ptn2iprkivg5clow72mjkyk5ttubzxprjjnwapkad.onion/pay


9/30 Nemty 랜섬웨어 Tor 사이트 주소:

- nemty.hk/pay



[그림 7] 변경된 Tor 사이트 화면



최근 많은 기업에서 하반기 공채를 진행하고 있습니다. 많은 입사지원 메일 중에 위와 같이 악성 파일을 포함한 메일이 들어 있을 수 있습니다. 


인사/채용 관련 부서분들께서는 출처를 알 수 없는 메일의 경우 열어보는 것에 더욱 주의를 기울이시고, 메일의 첨부파일은 미리보기 기능을 활용해 내용을 확인하는 것을 권장 드립니다.


현재 알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.Nemty'으로 탐지 중에 있습니다.



*IoC 정보

File Name

MD5

이력서.doc(빈공백).exe

7334C27A6A2531B01EC94922160B87CF

지원서.jpg

977FDB8B4E2F0694EEC664DAA6F0AFD3

포트폴리오.doc(빈공백).exe

7334C27A6A2531B01EC94922160B87CF



Nemty 랜섬웨어에 대한 상세 분석 내용과 금일 발견된 악성 샘플과 관련된 자세한 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서도 확인하실 수 있습니다.





티스토리 방명록 작성
name password homepage