비너스락커 조직이 이중압축을 통해 유포하고 있는 Makop 랜섬웨어 주의!

안녕하세요. ESRC(시큐리티 대응센터)입니다.

얼마 전 ESRC는 Makop 랜섬웨어를 유포하는 비너스락커 조직에 대해 경고한 적이 있습니다. 

▶ 비너스락커 조직, 지원서 사칭 이메일을 통해 Makop 랜섬웨어 대량 유포중!!

비너스락커 조직은 2017년도부터 현재까지 국내에 랜섬웨어를 대량으로 유포하는 조직으로, 유포하는 랜섬웨어는 주기적으로 달라집니다. 얼마 전 까지 이 조직은 국내에 Nemty 랜섬웨어를 유포하였지만, 최근부터는 Nemty랜섬웨어가 아닌 Makop 랜섬웨어를 유포하고 있습니다. 뿐만 아니라, 백신 및 보안장비의 탐지를 우회하기 위하여 유포방식의 변화를 주고 있습니다. 

[그림 1] 이력서를 위장하고 있는 악성 메일

이번에 발견된 이력서 사칭 악성 메일 역시 국내 대형 포털 이메일 사용, 이메일 본문에 마침표 생략 등의 특징으로 보았을 때 비너스락커 조직이 유포하는 것으로 추정됩니다. 

그러나 특이한 점은, zip 파일 안에 또 하나의 zip 파일이 포함되어 있는 이중압축 형태를 사용한다는 점입니다. 

이러한 방식은 흔하지 않은 방식으로, 비너스락커 조직이 공격방식의 변화를 주고 있다는 것으로 볼 수도 있습니다 .

[그림 2] 한글 파일을 위장하고 있는 exe 파일

이중압축 안에는 한글 파일을 위장한 .exe 파일들이 포함되어 있으며, 사용자가 해당 파일들을 실행할 경우 Makop 랜섬웨어에 감염되게 됩니다. 

[그림 3] Makop랜섬웨어 감염 화면

이번에 발견된 Makop 랜섬웨어는 이전의 .pdf 파일이 아닌 .hwp 파일의 아이콘을 위장하고 있으며, 복호화 메일이 기존의 helpdesk_makp@protonmail.ch에서 akzhq@cock.li 또는 akzhq@protonmail.com으로 변경되었습니다. 

현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Makop으로 탐지중에 있으며, 지속적인 모니터링 중에 있습니다. 

※ 관련글 바로가기

▶ 비너스락커 조직, 지원서 사칭 이메일을 통해 Makop 랜섬웨어 대량 유포중!! (2020.03.04)

▶ 이력서 이메일을 위장하여 유포중인 Nemty 랜섬웨어 주의! 비너스락커 조직으로 추정 (2020.01.20)

▶ 공정거래위원회를 사칭한 악성 메일 주의! 비너스락커 조직의 소행으로 추정 (2020.01.03)

▶ 비너스락커 조직, Nemty 2.2 랜섬웨어 여전히 유포중 (2019.12.10)

▶ 비너스락커 조직, 구직의뢰 내용으로 Nemty 랜섬웨어 2.2 확산 중(2019.12.04)

▶ Nemty 랜섬웨어, 공문을 사칭한 악성 메일을 통해 지속적으로 유포중! (2019.11.13)

▶ 비너스락커 조직, 입사지원서 위장 Nemty Revenge 2.0 랜섬웨어 대량 유포중 (2019.10.29)

▶ 비너스락커, 공정거래위원회 사칭하여 Nemty 랜섬웨어 V1.6 유포 주의! (2019.10.10) 

▶ 비너스락커, 입사 지원서 위장하여 Nemty 랜섬웨어 V1.5 유포! (2019.09.30)

▶ 비너스락커(VenusLocker), 또다시 입사지원서를 위장해 Nemty 랜섬웨어 유포! (2019.09.23) 

▶ 비너스락커 조직, 입사지원서를 위장한 메일로 랜섬웨어 'Nemty' 유포 중! (2019.09.11) 

▶ 비너스락커 조직, 새로운 랜섬웨어 'Nemty' 유포 시작 (2019.08.27) 

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 (2017.1.3)