포스팅 내용

악성코드 분석 리포트

비너스락커 조직이 이중압축을 통해 유포하고 있는 Makop 랜섬웨어 주의!



안녕하세요. ESRC(시큐리티 대응센터)입니다.


얼마 전 ESRC는 Makop 랜섬웨어를 유포하는 비너스락커 조직에 대해 경고한 적이 있습니다. 


비너스락커 조직, 지원서 사칭 이메일을 통해 Makop 랜섬웨어 대량 유포중!!


비너스락커 조직은 2017년도부터 현재까지 국내에 랜섬웨어를 대량으로 유포하는 조직으로, 유포하는 랜섬웨어는 주기적으로 달라집니다. 얼마 전 까지 이 조직은 국내에 Nemty 랜섬웨어를 유포하였지만, 최근부터는 Nemty랜섬웨어가 아닌 Makop 랜섬웨어를 유포하고 있습니다. 뿐만 아니라, 백신 및 보안장비의 탐지를 우회하기 위하여 유포방식의 변화를 주고 있습니다. 



[그림 1] 이력서를 위장하고 있는 악성 메일



이번에 발견된 이력서 사칭 악성 메일 역시 국내 대형 포털 이메일 사용, 이메일 본문에 마침표 생략 등의 특징으로 보았을 때 비너스락커 조직이 유포하는 것으로 추정됩니다. 


그러나 특이한 점은, zip 파일 안에 또 하나의 zip 파일이 포함되어 있는 이중압축 형태를 사용한다는 점입니다. 


이러한 방식은 흔하지 않은 방식으로, 비너스락커 조직이 공격방식의 변화를 주고 있다는 것으로 볼 수도 있습니다 .



[그림 2] 한글 파일을 위장하고 있는 exe 파일



이중압축 안에는 한글 파일을 위장한 .exe 파일들이 포함되어 있으며, 사용자가 해당 파일들을 실행할 경우 Makop 랜섬웨어에 감염되게 됩니다. 



[그림 3] Makop랜섬웨어 감염 화면



이번에 발견된 Makop 랜섬웨어는 이전의 .pdf 파일이 아닌 .hwp 파일의 아이콘을 위장하고 있으며, 복호화 메일이 기존의 helpdesk_makp@protonmail.ch에서 akzhq@cock.li 또는 akzhq@protonmail.com으로 변경되었습니다. 


현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Makop으로 탐지중에 있으며, 지속적인 모니터링 중에 있습니다. 






티스토리 방명록 작성
name password homepage