포스팅 내용

악성코드 분석 리포트

부동산 관련 메일을 위장하여 유포되고 있는 소디노키비 랜섬웨어 주의!



안녕하세요 

이스트시큐리티 시큐리티대응센터(ESRC)입니다. 


부동산 임대료 관련한 이메일을 위장한 악성 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 


[그림1] 부동산 관련 메일을 사칭한 악성메일


이번에 유포된 악성 이메일은 어눌한 한국어로 작성되어 있으며, 내용은 임대료 납부가 지연되었으며 3일 이내에 임대료를 납부하지 않는다면 여러 방면의 책임을 져야한다고 적혀 있습니다. 


[그림2] 악성메일 첨부파일


이메일 첨부파일에는 .exe 파일이 첨부되어 있으며, 만약 수신자가 첨부파일 내에 있는 .exe 파일을 실행하면 소디노키비 랜섬웨어에 감염되게 됩니다. 


[그림3] 소디노키비 랜섬웨어 감염화면 


해당 랜섬웨어를 분석해본 결과, 기존 리플라이 오퍼레이터(Reply Operator) 그룹이 유포한  이메일과 유사하게 이메일 내부에 특정 영문내용이 포함되어 있어, 동일한 조직의 소행으로 추정하고 있습니다. 


[그림4] 이번에 수신된 악성 메일과 기존 리플라이 오퍼레이터 그룹 메일 비교


리플라이 오퍼레이터 그룹은 올해 초부터 국내에 꾸준히 랜섬웨어를 유포하는 그룹으로, 늘 다양한 내용으로 랜섬웨어가 포함된 악성 메일들을 유포하고 있어 사용자들의 주의가 필요합니다. 


유사한 내용이나 제목으로 지속적으로 랜섬웨어가 유포되고 있는 만큼, 사용자 여러분들께서는 불분명한 사용자에게서 온 메일에 포함된 첨부파일 실행을 지양해 주시기 바랍니다. 


현재 알약에서는 해당 악성샘플에 대하여 'Trojan.Ransom.Sodinokibi'으로 탐지 중에 있습니다.


리플라이 오퍼레이터(Reply Operator) 그룹 공격정황 포착 (2019.10.25)

▶ 리플라이 오퍼레이터 조직, 한국 금융기관 사칭 Sodinokibi 랜섬웨어 유포 (2019.08.26)

▶ 리플라이 오퍼레이터, 금융회사 사칭해 'Sodinokibi' 랜섬웨어 유포 (2019.06.03)

▶ 리플라이 오퍼레이터, 스팸하우스 사칭해 소디노키비 랜섬웨어 유포 주의! (2019.05.31)

▶ 리플라이 오퍼레이터, '정리 해고' 제목으로 소디노키비 랜섬웨어 유포 중 (2019.05.29)

▶ 리플라이 오퍼레이터, 헌법재판소 사칭해 다양한 랜섬웨어 유포 주의! (2019.05.28)

▶ 리플라이 오퍼레이터, 헌법재판소 사칭해 'Sodinokibi' 랜섬웨어 유포 중! (2019.05.22)

▶ 리플라이 오퍼레이터 그룹 FAX 문서를 사칭한 악성 메일 유포중! (2019.05.08)

▶ '리플라이 오퍼레이터(Reply Operator)' 이미지 사용 중지 요청 악성 메일로 갠드크랩 유포 (2019.04.19)

▶ '리플라이 오퍼레이터(Reply Operator)' 경찰청, 국세청, 헌법재판소 등 사칭해 갠드크랩 유포 중 (2019.04.02)

▶ [주의] 대한민국 국세청을 사칭한 갠드크랩 v5.2 주의! (2019.03.28)

▶ [주의] 헌법 재판소 소환장으로 사칭한 갠드크랩 v5.2 여전히 유포중! (2019.03.25)

▶ [주의] 새로운 헌법 재판소 소환장으로 사칭, 유포중인 갠드크랩 v5.2 주의! (2019.03.20)

▶ 이미지 저작권 위반 내용 메일의 GandCrab v5.2 랜섬웨어 유포 주의 (2019.03.18)

▶ 'Min Gap Ryong'과 한국은행을 사칭한 악성 이메일 유포 중 (2019.03.14)

▶ [주의] 헌법 재판소 소환장으로 유포중인 업그레이드된 갠드크랩 v5.2 주의! (2019.03.11)

▶ 한국은행을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.27)

▶ [주의] 헌법 재판소 소환장으로 유포중인 갠드크랩 v5.2 주의! (2019.02.25)

▶ 지마켓 할인 쿠폰을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.22)

▶ 경찰청 소환장으로 유포중인 갠드크랩 랜섬웨어 5.1 주의 (2019.02.20)







티스토리 방명록 작성
name password homepage