check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

한국 타깃 비너스락커와 모네로 채굴용 악성파일 공격 급증…주의

가상화폐 모네로 채굴기능 악성파일 지속 유포…한국 맞춤형 표적공격 ↑

길민권 기자 mkgil@dailysecu.com 2018년 01월 16일 화요일

▲ 정상 프로세스에 인젝션되어 작동하는 모네로 채굴 명령. 이스트시큐리티 제공.
▲ 정상 프로세스에 인젝션되어 작동하는 모네로 채굴 명령. 이스트시큐리티 제공.
2016년 12월부터 한국에 다수 유포된 '비너스 락커(Venus Locker)' 랜섬웨어 공격자는 2017년 11월 말부터 가상화폐 모네로(Monero/XMR) 채굴 기능의 악성 파일을 지속적으로 유포하고 있는 상황이다.

특히 공격자는 유창한 한국어를 사용하며 스피어피싱 공격 기법을 쓰고 있어 각별한 주의가 필요하다.

이스트시큐리티 측에 따르면, 최근 한국의 특정 의료시설 웹 사이트에 공개된 간호사 채용 문의 메일로 공격을 수행하고 있는 특징이 있는 것으로 분석됐다.

▲ 특정 병원 구직 및 지원서로 위장한 공격 이메일 화면. 이스트시큐리티 제공.
▲ 특정 병원 구직 및 지원서로 위장한 공격 이메일 화면. 이스트시큐리티 제공.
공격자는 2016년부터 주로 구글 지메일을 생성해 공격에 활용하고 있으며, 한국식 이름의 계정명을 쓰고 있다. 또한 공통적으로 문장에 마침표가 없고, 한국식 이모티콘 표시를 반복적으로 사용하기도 한다.

첨부파일에는 바로가기(.LNK) 파일과 숨김속성의 실행형 악성파일(.EXE)이 포함되어 있다. 2중 확장자로 위장하고 있는 바로가기(.LNK) 파일은 사진(.JPG)과 문서(.DOC) 파일처럼 위장하고 있지만 모두 악성 파일(.EXE)을 실행하는 역할을 수행하게 된다.

바로가기(.LNK) 파일의 속성을 살펴보면 기존 '비너스 락커(Venus Locker)' 랜섬웨어와 동일하다는 것을 확인할 수 있다.

악성 파일(.EXE)이 실행되면 분석 방해 목적의 Anti-VM 기능이 작동한다. 실행 중인 운영체제 환경이 SandBoxie, VMware, VirtualBox 등인지 확인 후 조건이 맞을 경우 프로세스 종료를 진행한다.

또한 분석을 방해하기 위해 'DisableCMD', 'DisableRegistryTools', 'DisableTaskMgr', UAC' 등의 레지스트리 설정을 수행한다.

이외에도 패킷 분석, 프로세스 종료 등 등 다양한 분석 방해 및 초기화 기능이 악성 파일에 포함되어 있다.

그리고 특정 복호화 루틴 함수를 통해 모네로 채굴 기능의 코드를 작동시켜 감염된 컴퓨터에서 채굴 기능을 은밀하게 진행한다.

복호화 과정이 진행된 후 정상 프로세스에 모네로 채굴기 코드를 삽입해 작동을 하게 된다.

공격자는 기존에 Block Hash 지갑 코드를 사용했으나, 최근 공격에는 특정 이메일 주소 ID 계정을 사용하고 있다.

이스트시큐리티 시큐리티대응센터(ESRC)는 “비너스 락커(Venus Locker) 랜섬웨어 제작자가 한국 맞춤형으로 지속적인 공격을 수행하고 있으며, 최근에는 가상 화폐 채굴에 집중하고 있다”며 “특히 한국 맞춤형 기반의 공격으로 수행되고 있어, 이와 유사한 이메일에 현혹되지 않도록 각별한 주의가 필요하다. 채굴 기능의 악성 파일에 감염될 경우 자신도 모르게 시스템의 자원부족으로 컴퓨터 속도가 현저히 느려지는 피해를 입을 수 있다”고 주의를 당부했다.

★정보보안 대표 미디어 데일리시큐!★

<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록