비너스락커 조직, Makop 랜섬웨어+ 정보탈취 악성코드 대량 유포 중!

안녕하세요. 

이스트시큐리티 대응센터(ESRC)입니다.

5/25 오전부터 공정거래위원회를 사칭하여 '전자상거래 위반행위 조사통지서'라는 타이틀로 공공기관 및 공공기관 관련 기업들에게 다수의 랜섬웨어 이메일이 유포되고 있어 주의가 필요합니다. 

비너스락커 조직의 소행으로 추정되는 이번 랜섬웨어 이메일 공격은 마치 공정거래위원회 사무관이 관련 기관 및 기업에 보낸 메일처럼 위장하고 있으며, 메일 본문에는 공정거래위원회가 보낸 공문처럼 한글로 정교하게 작성된 내용이 포함되어 있습니다. 

[그림 1] 공정거래위원회 사칭 랜섬웨어 이메일 본문

메일 첨부파일은 이중압축되어 있으며, 사용자가 해당 메일에 첨부된 압축파일 내에 존재하는 문서로 위장된 악성코드를 실행하게 되면 Makop 랜섬웨어 변종에 감염됩니다. 특히, 해당 압축파일 내에는 PDF문서처럼 위장한 랜섬웨어 파일과 함께, HWP문서처럼 위장한 정보탈취 악성코드가 함께 포함되어 있습니다.

[그림 2] ZIP파일 내부에 TAR파일로 이중압축되어 있는 랜섬웨어 및 정보탈취 악성코드 파일

이는 지난 5월 중순 ESRC에서 경고했던 이력서로 위장한 Nemty 랜섬웨어 + 정보탈취 악성코드 공격과 매우 유사한 형태로 ESRC에서는 해당 공격을 비너스락커조직의 소행으로 판단하고 있습니다.

※ 관련글 바로가기

▶ 비너스락커 조직, 이력서 위장한 Nemty 랜섬웨어 + 정보탈취 악성코드 유포 지속 주의 (20.05.19)

▶ 비너스락커 조직, 공정거래위원회를 사칭하여 랜섬웨어 유포중! (20.04.03)

** 추가 업데이트 (2020/05/25 오후)

해당글을 작성중인 상황에서 추가적으로 이력서 접수로 위장한 랜섬웨어 이메일도 함께 유포되고 있어 주의가 필요합니다.

기 작성된 Makop 랜섬웨어 이메일과 동일한 형태로 랜섬웨어+정보탈취 악성코드가 함께 유포중이며, 기존에 유포된 이력서 위장 랜섬웨어와 거의 유사한 형태를 지니고 있습니다.

[그림 3] 이력서로 위장한 랜섬웨어+정보탈취 악성코드 이메일 화면

출처가 불분명한 메일을 확인할 경우, 특히 첨부파일을 열어볼 경우에는 신중을 기해야 하며 사용중인 OS와 SW는 항상 최신버전으로 유지하셔야 합니다. 또한 정상적인 파일의 아이콘을 도용한 악성코드 실행파일에 속지 않기 위해 윈도 탐색기 > 보기 설정에서 확장자명에 체크하셔서 확장자명 전체를 볼 수 있도록 하시는 것도 한가지 대비책이라고 할 수 있겠습니다.

알약에서는 해당 랜섬웨어 및 악성코드에 대해 Trojan.Ransom.Makop / Trojan.Agent.Wacatac 으로 탐지/차단하고 있으며, 랜섬웨어와 정보탈취 악성코드에 대한 상세분석 내용 및 IoC 정보는 ThreatInside에서 확인하실 수 있습니다.