포스팅 내용

악성코드 분석 리포트

비너스락커 조직, 지원서 사칭 이메일을 통해 Makop 랜섬웨어 대량 유포중!!



안녕하세요. ESRC(시큐리티 대응센터)입니다.


최근 국내에 Nemty 랜섬웨어를 유포하던 비너스락커 조직이 Nemty 랜섬웨어가 아닌 Makop 랜섬웨어를 대량으로 유포중에 있어 사용자들의 주의가 필요합니다.  





이번에 발견된 악성 메일은 기존에 비너스락커 조직이 유포하였던 구직의뢰 내용의 이메일과 동일합니다. 


[그림1] 악성 메일 및 첨부파일



하지만 다른점은 기존에 유포하던 Nemty 랜섬웨어가 아닌 Makop 랜섬웨어를 유포한다는 점입니다. 


비너스락커 조직이 단발성으로 Makop 랜섬웨어를 유포하는 것인지 아니면 유포하는 랜섬웨어를 Makop 랜섬웨어로 변경한 것인지는 지속적인 모니터링을 통해 확인이 필요합니다. 


또한 첨부파일의 압축파일 포맷이 기존에 7z, alz에서 .tgz로 변경된 것이 확인되었습니다. 


실제로 비너스락커 조직은 올해 2월 초 Nemty 랜섬웨어를 유포할 때 테스트로 압축파일 포맷을 .tgz로 변경하여 유포한 적이 있었습니다. 



[그림2] 정상 pdf 파일을 위장한 exe 파일



공격자는 압축파일 안에 pdf 파일 아이콘을 위장한 exe 파일을 포함시켜 사용자들의 실행을 유도합니다. 


만약 사용자가 첨부파일의 압축을 풀어 파일을 실행하면, makop 랜섬웨어가 실행되며, 사용자 파일들을 암호화 합니다. 암호화 된 파일들은 확장자가 .[helpdesk_makp@protonmail.ch].makop로 변경됩니다.



[그림3] makop 랜섬웨어 랜섬노트 및 암호화 된 파일


특이한 점은 파일 암호화 과정 중 일부 시스템 설정파일에 대해서도 암호화를 하는데, 이는 제작자가 랜섬웨어를 제작하는 과정 중의 실수로 추정됩니다. 


[그림4] makop랜섬웨어가 암호화 시키는 시스템 파일



현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Makop로 탐지중에 있으며, 변종에 대해서도 지속적으로 모니터링 중에 있습니다. 


유사 위협에 사용된 도구와 침해지표(IoC)는 '쓰렛 인사이드(Threat Inside)' 위협 인텔리전스 리포트에서 확인하실 수 있습니다. 






티스토리 방명록 작성
name password homepage