2021-11-29 04:45 (월)
비너스락커 해킹그룹, 저작권 침해안내 메일로 위장…피싱 공격 포착...랜섬웨어 주의
상태바
비너스락커 해킹그룹, 저작권 침해안내 메일로 위장…피싱 공격 포착...랜섬웨어 주의
  • 길민권 기자
  • 승인 2021.05.12 16:10
이 기사를 공유합니다

지난해부터 입사지원서, 저작권 등으로 꾸준히 랜섬웨어 유포해 온 공격 집단
저작권 침해관련 안내로 위장한 실제 피싱 메일. (출처=이스트시큐리티)
저작권 침해관련 안내로 위장한 실제 피싱 메일. (출처=이스트시큐리티)

최근 저작권 침해안내로 위장한 피싱 메일을 통해 Makop 랜섬웨어가 지속적으로 유포되고 있어 관계자들의 각별한 주의가 필요한 상황이다.

이스트시큐리티 ESRC(시큐리티 대응센터) 측에 따르면, 해당 공격은 '비너스락커(VenusLocker)' 소행으로 추정된다. 비너스락커 그룹은 지난해부터 입사지원서, 저작권 등의 내용으로 꾸준히 Makop 랜섬웨어를 유포해온 그룹으로 특정 기관 또는 업종 관계자를 타깃으로 공격을 수행하고 있는 것으로 분석됐다.

분석에 따르면, 5월 12일 오전 8시 56분 경에 수신된 해당 메일은 '저작권 침해관련 안내(제자 제작자입니다)'라는 제목으로 전달되었으며, 수신자의 부적절한 이미지 사용에 대한 저작권 침해 사실을 안내하는 내용이 담겨있다. 발신자 이름은 국내 유명 서양화가로 알려진 작가의 이름을 사칭해 실제 이미지 저작권과 관련이 있는 것처럼 위장했다.

해당 메일에는 '저작권 침해 관련 정리내용(비번 210511).zip' 제목의 압축 파일이 첨부되어 있고, 파일을 확인해 조치를 하지 않을 경우 법적 절차를 진행하겠다는 식으로 협박하며 사용자 클릭을 유도한다.

메일에 첨부된 압축파일 내부에는 저작권 관련 내용으로 보이는 두 개의 파일이 포함되어 있지만 이미지 또는 문서 파일이 아닌 실행파일(EXE)로 구성되어 있는 것이 확인된다.

파일들의 상세 정보를 살펴보면 두 파일 모두 제품 이름은 Free eXPert PDF Reader로, 원본 파일 이름은 'stub.exe'로 되어있으며, 클릭할 경우 Makop 랜섬웨어가 실행된다.

파일 실행 시 윈도우 시점 복원을 방지하기 위해 명령 프롬프트(CMD)를 이용하여 볼륨 섀도를 삭제한다.

이후 현재 사용자가 사용 중인 프로세스와 관련된 파일들을 암호화시키기 위해 실행 중인 프로세스들을 확인하고 종료 후 랜섬웨어 행위를 시작한다.

이전에 비너스락커 그룹이 Makop 랜섬웨어를 사용해 수행한 공격과 유사하지만, 메일 주소에 'samsung'을 사용하는 등 새로운 확장명과 메일 주소를 사용한 것이 특징이다.

Makop 랜섬웨어는 파일 암호화 기능을 수행하는 악성코드로, 'readme-warning.txt' 제목의 랜섬노트 팝업창을 통해 사용자 기기의 파일이 암호화되었으며, 암호화된 파일의 확장자가 .[CD59D479][mammon0503@tutanota.com].mammon 형태로 변경되었다고 알린다.

ESRC 관계자는 “저작권이라는 다소 민감한 소재를 통해 사용자가 첨부파일을 실행하도록 유도하는 공격 수법은 비너스락커 등 다수의 해커 그룹들이 지속적으로 사용해온 공격 수법”이라며 “사용자들은 출처가 불분명한 이메일에 포함된 파일을 실행하지 않도록 각별한 주의가 필요하다. 또한 중요한 파일들은 정기적으로 외장 매체(USB, 외장HDD) 등에 백업해두는 습관을 가져야 한다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★