안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 저작권 침해안내로 위장한 피싱 메일을 통해 Makop 랜섬웨어가 지속적으로 유포되고 있어 관계자들의 각별한 주의가 필요합니다. 해당 공격은 '비너스락커 (VenusLocker)' 소행으로 추정됩니다. 비너스락커 그룹은 지난해부터 입사지원서, 저작권 등의 내용으로 꾸준히 Makop 랜섬웨어를 유포해온 그룹으로 특정 기관 또는 업종 관계자를 타깃으로 공격을 수행하고 있는 것으로 보입니다. 금일 (5월 12일) 오전 8시 56분 경에 수신된 해당 메일은 '저작권 침해관련 안내(제자 제작자입니다)'라는 제목으로 전달되었으며, 수신자의 부적절한 이미지 사용에 대한 저작권 침해 사실을 안내하는 내용이 담겨있습니다. 발신자 이름은 국내 유명 서양화가로 알려진 작가..

악성코드 분석 리포트 2021. 5. 12. 14:38

안녕하세요? ESRC(이스트시큐리티 시큐리티 대응센터) 입니다. 이미지 저작권법 위배 안내로 위장한 메일을 통해 Makop 랜섬웨어가 지속적으로 유포되는 정황이 포착되어 일반 사용자와 기업 담당자들의 주의가 필요합니다. 만일 이용자가 최종 압축 파일에 있는 ‘이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용.exe’, ‘저작권법 관련하여 위반인 사항들 정리하여 보내드립니다.exe’을 클릭할 경우 파일 암호화 기능의 Makop 랜섬웨어가 실행됩니다. Makop 랜섬웨어는 파일 암호화 기능을 수행하는 악성코드로 암호화된 파일 뒤에 [임의 영문 8자리].[moloch_helpdesk@tutanota.com].moloch를 추가하고, 이후 복호화 안내를 위해 ‘readme-warning.t..

악성코드 분석 리포트 2021. 1. 5. 14:36

안녕하세요. ESRC(이스트시큐리티 시큐리티 대응센터) 입니다. 현재 '저작권 위법 안내'메일을 위장하여 랜섬웨어가 유포되는 정황이 포착되어 일반 사용자들과 기업 담당자들의 주의가 필요합니다. 메일은 '자신의 작품을 동의 없이 사용하였고, 현재 저작권이 위반되는 사항이 있으니 해당 내용 확인하여 상의하자'는 내용과 함께 첨부파일을 포함하고 있습니다. 실제 첨부된 파일은 랜섬웨어 파일로 사용자에게 이메일 내용을 통하여 첨부 파일 실행을 유도합니다. '저작권법 관련하여 위반인 사항'들 정리하여 보내드립니다.exe' 파일 분석 1) 특정 프로세스 종료 현재 시스템에서 아래 프로세스가 실행중일 경우, 이를 종료합니다. 이는 프로세스에서 접근중인 파일을 암호화시키기 위함으로 보입니다. msftesql.exe, s..

악성코드 분석 리포트 2020. 12. 16. 23:22

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 이력서로 위장한 Makop 랜섬웨어 유포 정황이 포착되어 기업 담당자들의 주의가 필요합니다. [그림 1] Makop 랜섬웨어 이메일 본문 첨부파일은 ZIP, LZH 이중 압축으로 되어 있으며 pdf로 위장되어 있는 ‘exe’ 파일임을 확인할 수 있습니다. [그림 2] pdf로 위장된 랜섬웨어 파일 이 파일은 설치 파일 NSIS로 제작되었으며 실행 시 암호화된 랜섬웨어 파일을 복호화하여 child 프로세스에 인젝션하는 형태를 가집니다. 이는 백신의 탐지로부터 우회하기 위한 행위로 보입니다. 섀도 볼륨을 삭제하기 위해 cmd.exe를 실행하여 파이프를 통해 명령을 전달합니다. [그림 3] 섀도 볼륨 삭제 명령 또한 특정 프로세스들을 종료시킵니..

악성코드 분석 리포트 2020. 10. 5. 11:37

안녕하세요. ESRC(시큐리티 대응센터)입니다. 얼마 전 ESRC는 Makop 랜섬웨어를 유포하는 비너스락커 조직에 대해 경고한 적이 있습니다. ▶ 비너스락커 조직, 지원서 사칭 이메일을 통해 Makop 랜섬웨어 대량 유포중!! 비너스락커 조직은 2017년도부터 현재까지 국내에 랜섬웨어를 대량으로 유포하는 조직으로, 유포하는 랜섬웨어는 주기적으로 달라집니다. 얼마 전 까지 이 조직은 국내에 Nemty 랜섬웨어를 유포하였지만, 최근부터는 Nemty랜섬웨어가 아닌 Makop 랜섬웨어를 유포하고 있습니다. 뿐만 아니라, 백신 및 보안장비의 탐지를 우회하기 위하여 유포방식의 변화를 주고 있습니다. [그림 1] 이력서를 위장하고 있는 악성 메일 이번에 발견된 이력서 사칭 악성 메일 역시 국내 대형 포털 이메일 사..

악성코드 분석 리포트 2020. 3. 6. 08:32

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 국내에 Nemty 랜섬웨어를 유포하던 비너스락커 조직이 Nemty 랜섬웨어가 아닌 Makop 랜섬웨어를 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. ※ 관련글 바로가기 ▶ 이력서 이메일을 위장하여 유포중인 Nemty 랜섬웨어 주의! 비너스락커 조직으로 추정 (2020.01.20)▶ 공정거래위원회를 사칭한 악성 메일 주의! 비너스락커 조직의 소행으로 추정 (2020.01.03) ▶ 비너스락커 조직, Nemty 2.2 랜섬웨어 여전히 유포중 (2019.12.10)▶ 비너스락커 조직, 구직의뢰 내용으로 Nemty 랜섬웨어 2.2 확산 중(2019.12.04)▶ Nemty 랜섬웨어, 공문을 사칭한 악성 메일을 통해 지속적으로 유포중! (2019.11..

악성코드 분석 리포트 2020. 3. 4. 15:43