상세 컨텐츠
본문
Netwalker Ransomware Infecting Users via Coronavirus Phishing
공격자들이 랜섬웨어 설치를 위해 코로나 바이러스(COVID-19) 피싱 이메일을 사용하고 있는 것으로 나타났습니다.
실제 이메일은 찾을 수 없었지만, MalwareHunterTeam은 코로나 바이러스 피싱 캠페인에 사용된 첨부파일을 찾을 수 있었습니다. 이 첨부파일은 Netwalker 랜섬웨어를 설치했습니다.
Netwalker는 Mailto로도 불렸던 랜섬웨어 패밀리로 최근 기업과 정부 기관을 노리는 공격을 실행했습니다. 최근 공격 중 두드러지는 2건은 Toll 그룹과 일리노이주의 CHUPD(Champaign Urbana Public Health District)에 대한 공격입니다.
NEtwalker 피싱 캠페인은 "CORONAVIRUS_COVID-19.vbs"라는 첨부파일을 사용했습니다. 이는 Netwalker 랜섬웨어 실행 파일과 컴퓨터에서 이를 추출하고 실행하기 위한 난독화된 코드를 포함하고 있었습니다.
<VBS 첨부파일>
<이미지 출처 : https://www.bleepingcomputer.com/news/security/netwalker-ransomware-infecting-users-via-coronavirus-phishing/>
스크립트가 실행되면, 실행파일은 %Temp%\qeSw.exe로 저장되며 실행됩니다.
<Netwalker 실행파일>
<이미지 출처 : https://www.bleepingcomputer.com/news/security/netwalker-ransomware-infecting-users-via-coronavirus-phishing/>
이 랜섬웨어가 실행되면 컴퓨터의 파일을 암호화한 후 랜덤 확장자를 붙입니다.
SentinelLabs의 Vitali Kremez는 이 랜섬웨어의 특이한 점에 대해 Fortinet 엔드포인트 프로텍션 클라이언트를 종료하지 않는 것이라 밝혔습니다. 이유는 탐지를 피할 수 있기 때문인 것으로 추측했습니다.
“고객 관리 패널에서 직접 안티바이러스 기능을 비활성화 했기 때문인 것으로 보입니다. 그러나 클라이언트를 종료함으로써 경보를 울리고 싶지 않은 것으로 추측됩니다.”
작업이 완료되면 피해자는 랜섬노트인 [확장자]-Readme.txt를 보게 됩니다. 이는 랜섬머니를 지불하기 위해 랜섬웨어의 Tor 결제 사이트에 접근할 수 있는 방법을 포함합니다.
<Netwalker 랜섬 노트>
<이미지 출처 : https://www.bleepingcomputer.com/news/security/netwalker-ransomware-infecting-users-via-coronavirus-phishing/>
아쉽게도 현재 이 랜섬웨어를 복호화할 수 있는 취약점은 발견되지 않았습니다.
피해자는 백업 파일을 사용하거나 잃어버린 파일을 다시 작성해야 합니다.
현재 알약에서는 해당 악성코드에 대하여 Trojan.Downloader.VBS.Agent로 탐지중에 있습니다.
출처 :
'국내외 보안동향' 카테고리의 다른 글
| 마이크로소프트, 실제 공격에 악용 중인 윈도우 제로데이 경고 (0) | 2020.03.24 |
|---|---|
| 프랑스 CERT, 지방 정부를 노리는 새로운 Pysa 랜섬웨어 경고 (0) | 2020.03.23 |
| 시스코, SD-WAN 제품의 문제 다수 패치 (0) | 2020.03.20 |
| MS, 코로나 바이러스로 Win10 1709의 서비스 종료기간을 올해 10월 13일까지 연장 (0) | 2020.03.20 |
| Trickbot, Emotet 악성코드, 탐지를 피하기 위해 코로나 바이러스 뉴스 사용해 (0) | 2020.03.20 |
댓글 영역