악성코드 분석 리포트

리플라이 오퍼레이터, 헌법재판소 사칭해 'Sodinokibi' 랜섬웨어 유포 중!

알약(Alyac) 2019. 5. 22. 15:57


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일(2019년 05월 22일), '헌법 재판소 전화', '헌법 재판소 청문 의제' 등의 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있습니다.


이번에 포착된 피싱 메일은 신종 랜섬웨어 'Sodinokibi'를 감염자 PC에 다운로드하고 실행시키며, 리플라이 오퍼레이터 그룹이 유포한 것으로 확인되었습니다.



[그림 1] 헌법 재판소를 사칭한 피싱 메일 화면


피싱 메일에는 '법원 서류.zip'라는 압축 파일(.zip)이 첨부되어 있습니다.


해당 메일을 받은 사용자가 법원 서류인 것으로 착각해 압축을 해제하면, '연락처 세부 정보.doc', '사건에 관한 서류.doc'라는 MS Word 문서(.doc)를 위장한 악성 링크 파일(.lnk)이 들어 있습니다.


링크 파일의 경우 아래와 같이 육안으로는 파일 유형을 확인하기 어렵습니다.


[그림 2] MS Word 문서 파일을 위장한 악성 파일


이번에 발견된 악성 파일 샘플은 기존과 다르게 숨김속성을 사용하여 악성 실행 파일의 존재를 숨기려 시도했습니다.


숨김 처리된 악성 파일 확인 결과, 제작자의 컴퓨터 정보로 부터 지난 5/8일 FAX 문서를 사칭해 갠드크랩을 유포한 리플라이 오퍼레이터 그룹의 소행임을 확인할 수 있었습니다.


[그림 3] 악성 파일 제작자의 컴퓨터 정보


따라서 메일을 받은 담당자가 악성 링크 파일을 Word 파일로 착각해 실행한다면, 숨김 처리된 악성 실행파일(doc.exe)을 실행하고 사용자 PC는 Sodinokibi 랜섬웨어에 감염됩니다.


[그림 4] Sodinokibi 랜섬웨어에 감염된 PC 화면


이번에 발견된 Sodinokibi 랜섬웨어는 감염된 PC의 바탕화면을 파란색 화면으로 변경하고, “Welcome. Again"이라는 문구로 시작하는 랜섬노트를 감염된 PC에 생성합니다.


[그림 5] Sodinokibi 랜섬노트 화면


이번에 발견된 피싱메일은 리플라이 오퍼레이터 그룹이 기존에 갠드크랩 유포에 사용했던 메일 내용을 거의 그대로 활용하였습니다.


[그림 6] 리플라이 오퍼레이터 그룹이 유포한 이전 피싱 메일


갠드크랩을 유포하던 사이버 범죄 그룹이 이전에 갠드크랩을 유포하던 방식을 활용하여 신종 Sodinokibi 랜섬웨어를 국내에 대량으로 유포하고 있습니다.


각 기업의 외부 담당자께서는 출처가 불분명한 사용자에게서 온 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 


알약에서는 해당 악성 샘플에 대하여 'Trojan.Ransom.Sodinokibi, Trojan.Agent.LNK.Gen'으로 탐지 중에 있습니다.


※ 리플라이 오퍼레이터(Reply Operator) 갠드크랩 유포 조직 게시글 바로가기


▶ 경찰청 소환장으로 유포중인 갠드크랩 랜섬웨어 5.1 주의 (2019.02.20)

▶ 지마켓 할인 쿠폰을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.22)

▶ [주의] 헌법 재판소 소환장으로 유포중인 갠드크랩 v5.2 주의! (2019.02.25)

▶ 한국은행을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.27)

▶ [주의] 헌법 재판소 소환장으로 유포중인 업그레이드된 갠드크랩 v5.2 주의! (2019.03.11)

▶ 'Min Gap Ryong'과 한국은행을 사칭한 악성 이메일 유포 중 (2019.03.14)

▶ 이미지 저작권 위반 내용 메일의 GandCrab v5.2 랜섬웨어 유포 주의 (2019.03.18)

▶ [주의] 새로운 헌법 재판소 소환장으로 사칭, 유포중인 갠드크랩 v5.2 주의! (2019.03.20)

▶ [주의] 헌법 재판소 소환장으로 사칭한 갠드크랩 v5.2 여전히 유포중! (2019.03.25)

▶ [주의] 대한민국 국세청을 사칭한 갠드크랩 v5.2 주의! (2019.03.28)

▶ '리플라이 오퍼레이터(Reply Operator)' 경찰청, 국세청, 헌법재판소 등 사칭해 갠드크랩 유포 중 (2019.04.02)

▶ '리플라이 오퍼레이터(Reply Operator)' 이미지 사용 중지 요청 악성 메일로 갠드크랩 유포 (2019.04.19)

▶ 리플라이 오퍼레이터 그룹 FAX 문서를 사칭한 악성 메일 유포중! (2019.05.08)


※ Sodinokibi 랜섬웨어 게시글 바로가기


 신종 랜섬웨어 ‘Sodinokibi’ 주의! (2019.04.30)

▶ [주의] 신종 랜섬웨어 ‘Sodinokibi’, 견적 의뢰 요청 메일로 대량 유포 중! (2019.05.14)

 [주의] 신종 랜섬웨어 'Sodinokibi', 입사지원서 사칭해 유포 중! (2019.05.15)

▶ Trojan.Ransom.Sodinokibi 악성코드 분석 보고서 (2019.05.21)