포스팅 내용

악성코드 분석 리포트

비너스락커 조직, 이력서 위장한 Nemty 랜섬웨어 + 정보탈취 악성코드 유포 지속 주의




안녕하세요?

이스트시큐리티 시큐리티대응센터(ESRC)입니다.


4월 초부터 5월 중순까지 꾸준히 Nemty 랜섬웨어 시리즈를 유포중인 비너스락커 조직의 공격이 여전히 지속되고 있습니다.


4월 초에 '공정거래위원회'를 사칭하거나 혹은 '이력서'로 위장하여 Nemty 3.1 랜섬웨어를 유포했던 공격자는 5월 초부터는 '이미지 무단사용 경고' 키워드를 활용하거나 4월 초와 유사하게 '이력서'를 사칭한 Nemty Special Edition 랜섬웨어를 유포했습니다. 특히 공격자는 5월 초에는 Nemty 랜섬웨어를 유포하는 동시에 정보탈취 악성코드까지 유포를 시도했습니다.


5월 18일에도 또 다시 '이력서'를 사칭하여 지난 5월 중순과 동일하게 Nemty Special Edition을 유포중인 것이 확인되어 주의가 요구됩니다. 이번 공격 역시 지난번과 마찬가지로 Nemty 랜섬웨어와 함께 정보탈취 악성코드를 함께 유포했습니다.



[그림 1] 이력서로 위장한 악성메일. Nemty랜섬웨어와 정보탈취 악성코드가 포함되어 있음



첨부파일은 이중압축되어 있으며, 압축파일 내에는 PDF문서로 위장된 실행파일이 포함되어 있습니다.


[그림 2] 이중압축되어 있는 악성 첨부 파일



[그림 3] PDF문서로 위장한 악성파일



메일 수신자가 해당 파일을 압축을 풀고 실행하게 되면 랜섬웨어 / 정보탈취 악성코드에 감염되게 됩니다.



[그림 4] Nemty Special Edition에 감염되어 파일이 암호화된 모습



공격자는 암호화된 파일의 복호화를 위한 연락처를 계속 변경하고 있으나 메일 아이디 뒷부분 숫자만 변경하고 앞부분은 '넴티'라는 한국어를 영문키보드로 타이핑한 문자열 'spaxl'를 지속적으로 사용하고 있습니다.


출처가 불분명한 메일을 확인할 경우, 특히 첨부파일을 열어볼 경우에는 신중을 기해야 하며 사용중인 OS와 SW는 항상 최신버전으로 유지하셔야 합니다. 또한 정상적인 파일의 아이콘을 도용한 악성코드 실행파일에 속지 않기 위해 윈도 탐색기 > 보기 설정에서 확장자명에 체크하셔서 확장자명 전체를 볼 수 있도록 하시는 것도 한가지 대비책이라고 할 수 있겠습니다.


알약에서는 해당 랜섬웨어 및 악성코드에 대해 Trojan.Ransom.Nemty / Trojan.Agent.Wacatac 으로 탐지/차단하고 있으며, 랜섬웨어와 정보탈취 악성코드에 대한 상세분석 내용 및 IoC 정보는 ThreatInside에서 확인하실 수 있습니다.


※ 관련글 바로가기


▶ 비너스락커 조직, 공정거래위원회를 사칭하여 랜섬웨어 유포중! (20.04.03)

▶ 비너스락커 조직, 여전히 이력서를 위장해 랜섬웨어 유포중! (20.04.02)

 비너스락커 조직이 이중압축을 통해 유포하고 있는 Makop 랜섬웨어 주의! (2020.03.06)

▶ 비너스락커 조직, 지원서 사칭 이메일을 통해 Makop 랜섬웨어 대량 유포중!! (2020.03.04)

▶ 이력서 이메일을 위장하여 유포중인 Nemty 랜섬웨어 주의! 비너스락커 조직으로 추정 (2020.01.20)

▶ 공정거래위원회를 사칭한 악성 메일 주의! 비너스락커 조직의 소행으로 추정 (2020.01.03)

▶ 비너스락커 조직, Nemty 2.2 랜섬웨어 여전히 유포중 (2019.12.10)

▶ 비너스락커 조직, 구직의뢰 내용으로 Nemty 랜섬웨어 2.2 확산 중(2019.12.04)

▶ Nemty 랜섬웨어, 공문을 사칭한 악성 메일을 통해 지속적으로 유포중! (2019.11.13)

▶ 비너스락커 조직, 입사지원서 위장 Nemty Revenge 2.0 랜섬웨어 대량 유포중 (2019.10.29)

▶ 비너스락커, 공정거래위원회 사칭하여 Nemty 랜섬웨어 V1.6 유포 주의! (2019.10.10) 

▶ 비너스락커, 입사 지원서 위장하여 Nemty 랜섬웨어 V1.5 유포! (2019.09.30)

▶ 비너스락커(VenusLocker), 또다시 입사지원서를 위장해 Nemty 랜섬웨어 유포! (2019.09.23) 

▶ 비너스락커 조직, 입사지원서를 위장한 메일로 랜섬웨어 'Nemty' 유포 중! (2019.09.11) 

▶ 비너스락커 조직, 새로운 랜섬웨어 'Nemty' 유포 시작 (2019.08.27) 



티스토리 방명록 작성
name password homepage