포스팅 내용

악성코드 분석 리포트

비너스락커 조직, 이력서로 위장한 Makop 랜섬웨어 이메일 대량으로 유포 중!



안녕하세요. 

이스트시큐리티 시큐리티대응센터(ESRC)입니다.


6/24 오전부터 이력서로 위장한 랜섬웨어 이메일이 대량으로 유포되고 있어 주의가 필요합니다. 


이번에 확인된 이력서 위장 랜섬웨어 이메일은 국내 대형 포털 이메일 서비스를 활용하고 있으며, 분석결과 몇년 전부터 꾸준히 이력서 및 지원서 관련 소재로 악성 이메일을 유포하고 있는 비너스락커 조직의 소행으로 판단됩니다.



[그림 1] 이력서로 위장한 Makop 랜섬웨어 이메일 화면 



비너스락커 조직의 경우, 2020년만 한정해도 1월부터 6월까지 쉬지 않고 주기적인 악성 이메일 공격을 진행해왔으며, 3월부터는 이메일에 Nemty 랜섬웨어가 아닌 Makop 랜섬웨어를 첨부하여 공격을 수행하고 있습니다. 


바로 몇주 전인 2020년 6월 초에도 비너스락커 조직은 국내 사용자 대상으로 이력서 위장 랜섬웨어 공격을 진행한 바 있습니다.


특히 이번에 확인된 공격의 경우, 그 유포 규모가 이전 공격과 비교하여 훨씬 증가한 것으로 파악되고 있습니다. 따라서, 메일 수신자는 출처를 알 수 없는 이메일을 확인할 경우 반드시 주의를 기울여야 합니다.


첨부파일은 이중압축되어 있으며, zip 외에도 tar, tgz 등 다양한 압축 포맷을 사용하고 있습니다.



[그림 2] 이중압축되어 있는 한글파일 아이콘으로 위장한 Makop 랜섬웨어



메일 수신자가 만약 한글파일 아이콘으로 위장한 해당 랜섬웨어를 지원서나 포트폴리오로 착각하고 열어본다면 makop 랜섬웨어에 감염됩니다. 감염되면 확장자가 원본파일명.[감염PC마다 랜덤으로 생성되는 8자리문자열].[akzhq615@protonmail.com].makop 으로 변경되게 됩니다.



[그림 3] Makop 랜섬웨어에 감염된 후 변경된 파일확장자 및 랜섬노트 화면



지난 6월 초에 확인된 이메일 공격과 비교했을 때 복호화 관련 공격자가 수신하는 메일주소가 akzhq530@protonmail.com에서 akzhq615@protonmail.com으로 변경되었는데 메일 주소 앞부분에 '마콥'이라는 단어(akzhq스펠링을 한글로 치환하면 마콥)는 동일하지만 뒷부분에 붙는 숫자만 계속 변경되고 있는 것을 확인할 수 있습니다.





기존과 특별하게 눈에 띄게 달라진 부분은 없지만, 이력서&지원서를 사칭한 악성 메일은 꾸준히 발생하는 공격이며 공격자 입장에서는 몇년 간 동일한 방식을 활용해도 여전히 효과적이라고 판단하는 공격 방식입니다.

따라서, 이력서나 지원서, 공공기관 문서 관련 메일을 열람할 경우에는 일단 의심해보고, 첨부파일 열람 시에는 더욱 주의를 기울여야 합니다.


출처가 불분명한 메일을 확인할 경우, 특히 첨부파일을 열어볼 경우에는 신중을 기해야 하며 사용중인 OS와 SW는 항상 최신 버전으로 유지하셔야 합니다. 


알약에서는 해당 랜섬웨어 및 악성코드에 대해 Trojan.Ransom.Makop 으로 탐지/차단하고 있으며, 랜섬웨어와 정보탈취 악성코드에 대한 상세분석 내용 및 IoC 정보는 ThreatInside에서 확인하실 수 있습니다.



티스토리 방명록 작성
name password homepage