포스팅 내용

악성코드 분석 리포트

비너스락커 조직, 입사지원서 위장 Nemty Revenge 2.0 랜섬웨어 대량 유포중




안녕하세요.

이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일(2019/10/29) 오전부터 경력직 입사지원서로 위장한 Nemty Revenge 2.0 랜섬웨어가 대량으로 유포중인 정황이 확인되었습니다. 유포중인 입사지원서 위장메일은 대부분 지원자 이름을 메일 제목으로 하고 있습니다.



[그림 1] 입사지원자 이름으로 위장한 악성메일 1



[그림 2] 입사지원자 이름으로 위장한 악성메일 2



이 외에도 다양한 이름의 입사지원자 이름을 제목으로 사용한 메일이 유포되고 있습니다.


경력직 입사지원서로 위장한 악성메일 캠페인은 비너스락커(Venus)조직의 수행으로 추정되며, 최근에도 입사지원서를 위장하여 Nemty 랜섬웨어를 유포한 케이스가 존재합니다. 또한 바로 몇주전에는 '공정거래위원회'를 사칭하여 악성메일을 유포하기도 하였습니다. 




이번에 발견된 악성메일 캠페인은 네이버 메일 계정을 통해 발송되었고 기존에 발견된 메일과 유사한 형태로 입사지원서를 사칭했습니다. 


메일에 첨부된 파일은 7z형식으로 압축되어 있으며, 압축파일 내부에는 아래한글(hwp) 문서로 위장하고 있는 악성 exe 파일이 포함되어 있습니다. 악성 exe파일은 최근 여러번의 공격에서 발견된 패턴과 동일하게 위장하고자 하는 문서확장자명 뒤에 긴 공백을 넣어 마치 사용자로 하여금 hwp문서인 것처럼 착각하도록 유도합니다.



[그림 3] 악성메일에 첨부된 hwp문서처럼 보이도록 위장된 exe악성파일



해당 메일을 받은 채용담당자나 관련자가 메일을 열어보고 첨부파일을 다운로드받아 실행하게 된다면, 악성 exe파일을 통해 Nemty 랜섬웨어에 감염되게 되고, 바탕화면에는 아래와 같이 Nemty Revenge 2.0 랜섬웨어에 감염되었음을 알리는 랜섬노트가 뜨게 됩니다.



[그림 4] 새롭게 변경된 Nemty Revenge 2.0 랜섬노트



Nemty Revenge 2.0 랜섬웨어가 기존과 달라진 점은 크게 2가지인데, 기존까지는 랜섬노트 타이틀이 'NEMTY PROJECT V1.X~~'였던 것이 'NEMTY REVENGE 2.0'으로 변경된 부분과 복호화를 위한 절차 중 브라우저에서 공격자가 지정한 URL을 입력하는 것이 아닌 공격자가 지정한 email주소로 메일을 보내는 점이 변경된 점입니다.


변경된 랜섬웨어 타이틀에 'Revenge'라는 단어가 추가된 것은 10월초에 Tesorion이라는 보안회사가 Nemty 랜섬웨어 1.x버전에 대응하는 복호화툴을 제작한 것에 대해 제작자의 반응이라고 추정됩니다.





위에 언급한 케이스 외에도 다양한 입사지원자의 이름을 위장하여 대량으로 유포되었으며 네이버 메일 계정을 통해 유포되었기 때문에 더더욱 인사/채용 관련 부서 담당자분들께서는 출처를 알 수 없는 메일의 경우 열람에 더욱 주의를 기울이셔야 하며, 미리보기 기능을 적극 활용하시는 한편, 사내 보안팀에 신고를 통해 첨부파일에 대한 사전점검을 진행하시는 것을 권장드립니다.


현재 알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.Nemty'로 탐지중에 있습니다.


*IoC 정보

File Name

MD5

이력서.hwp(빈공백).exe

e92b21addea8c574200d879fcee909f4

지원서.jpg

14f8a0a6ddc267ef2b7b0c6fdaefba66

포트폴리오.hwp(빈공백).exe

e92b21addea8c574200d879fcee909f4


Nemty Revenge 2.0 랜섬웨어 관련 10/29 발견된 악성 샘플과 관련된 자세한 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.




티스토리 방명록 작성
name password homepage