포스팅 내용

국내외 보안동향

Netwalker 랜섬웨어, 코로나 바이러스 피싱 통해 사용자 감염시켜

Netwalker Ransomware Infecting Users via Coronavirus Phishing


공격자들이 랜섬웨어 설치를 위해 코로나 바이러스(COVID-19) 피싱 이메일을 사용하고 있는 것으로 나타났습니다.


실제 이메일은 찾을 수 없었지만, MalwareHunterTeam은 코로나 바이러스 피싱 캠페인에 사용된 첨부파일을 찾을 수 있었습니다. 이 첨부파일은 Netwalker 랜섬웨어를 설치했습니다.


Netwalker는 Mailto로도 불렸던 랜섬웨어 패밀리로 최근 기업과 정부 기관을 노리는 공격을 실행했습니다. 최근 공격 중 두드러지는 2건은 Toll 그룹과 일리노이주의 CHUPD(Champaign Urbana Public Health District)에 대한 공격입니다.


NEtwalker 피싱 캠페인은 "CORONAVIRUS_COVID-19.vbs"라는 첨부파일을 사용했습니다. 이는 Netwalker 랜섬웨어 실행 파일과 컴퓨터에서 이를 추출하고 실행하기 위한 난독화된 코드를 포함하고 있었습니다.



<VBS 첨부파일>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/netwalker-ransomware-infecting-users-via-coronavirus-phishing/>


스크립트가 실행되면, 실행파일은 %Temp%\qeSw.exe로 저장되며 실행됩니다.


<Netwalker 실행파일>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/netwalker-ransomware-infecting-users-via-coronavirus-phishing/>



이 랜섬웨어가 실행되면 컴퓨터의 파일을 암호화한 후 랜덤 확장자를 붙입니다.


SentinelLabs의 Vitali Kremez는 이 랜섬웨어의 특이한 점에 대해 Fortinet 엔드포인트 프로텍션 클라이언트를 종료하지 않는 것이라 밝혔습니다. 이유는 탐지를 피할 수 있기 때문인 것으로 추측했습니다.


“고객 관리 패널에서 직접 안티바이러스 기능을 비활성화 했기 때문인 것으로 보입니다. 그러나 클라이언트를 종료함으로써 경보를 울리고 싶지 않은 것으로 추측됩니다.”


작업이 완료되면 피해자는 랜섬노트인 [확장자]-Readme.txt를 보게 됩니다. 이는 랜섬머니를 지불하기 위해 랜섬웨어의 Tor 결제 사이트에 접근할 수 있는 방법을 포함합니다.



<Netwalker 랜섬 노트>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/netwalker-ransomware-infecting-users-via-coronavirus-phishing/>



아쉽게도 현재 이 랜섬웨어를 복호화할 수 있는 취약점은 발견되지 않았습니다.


피해자는 백업 파일을 사용하거나 잃어버린 파일을 다시 작성해야 합니다.


현재 알약에서는 해당 악성코드에 대하여 Trojan.Downloader.VBS.Agent로 탐지중에 있습니다. 





출처 :


티스토리 방명록 작성
name password homepage