2019-10-14 10:59 (월)
[긴급] 비너스락커 랜섬웨어 조직, 한국에 악성 문서파일 대량 살포 중...주의
상태바
[긴급] 비너스락커 랜섬웨어 조직, 한국에 악성 문서파일 대량 살포 중...주의
  • 길민권 기자
  • 승인 2018.12.11 00:34
이 기사를 공유합니다

8일부터 다양한 형태로 새로운 악성코드 유포...새로운 패턴으로 공격 시도 중

▲ 입사지원서 공고 내용으로 위장한 악성 이메일. 9일 유포된 내용.
▲ 입사지원서 내용으로 위장한 악성 이메일. 9일 유포된 내용.
비너스락커(VenusLocker) 랜섬웨어를 유포했던 사이버공격 조직이 최근 한국을 대상으로 대량 이메일을 유포하는 정황이 지속적으로 포착되고 있다. 각별한 주의가 필요한 상황이다.

이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터(이하 ESRC)에 따르면 "이들 조직은 한글로 '입사지원서', '이미지 무단사용 내용의 저작권법 안내' 등으로 이용자들을 현혹하고, 악성 매크로 코드가 포함된 DOC 워드파일을 첨부해 집중적으로 유포하고 있으며, 주로 갠드크랩(GandCrab) 랜섬웨어를 전파시키고 있다"며 "최근에는 '임금체불관련 출석요구서', '바로가기(LNK) 파일을 새로 제작', '입사지원서 사칭 유포' 정황이 계속 포착되고 있어 각별한 주의가 요구된다"고 밝혔다.

ESRC 측은 해당 위협조직이 12월 8일부터 10일 새벽까지 다양한 형태로 새로운 악성코드를 유포하고 있으며, 주말 기간에도 공격을 쉬지 않고 있는 것을 확인했다.

발신자 이메일에는 한국식 이름이 설정되어 있고 비너스락커 초창기 때처럼 다시 구글 지메일을 사용하기 시작했다.

▲ 악성 매크로 실행을 유도하기 위해 보여지는 워드 파일 화면
▲ 악성 매크로 실행을 유도하기 위해 보여지는 워드 파일 화면
각각의 이메일에 첨부되어 있는 MS워드 문서파일에는 모두 악성 매크로 코드가 탑재되어 있으며, 실행 시 '콘텐츠 사용' 클릭을 유도하게 된다. 물론 매크로가 실행되기 전까지는 악의적인 기능이 작동하진 않는다.

매크로는 분석을 방해하기 위해 코드와 함수가 난독화되어 있으며 특정 웹 사이트로 접속해 추가 악성파일을 설치시도 한다. 워드 파일의 메타 데이터를 확인해 보면 한국어 기반에서 제작된 것을 알 수 있으며 기존과 동일하게 'HP' 컴퓨터 계정에서 제작된 것을 확인할 수 있다.

매크로가 로딩되면 변종에 따라 다수의 아이피 주소로 접속해 'jackripper.exe' 악성파일을 추가로 설치하게 된다. 공격자는 기존처럼 베리즈 웹쉐어 서버를 구축해 추가 악성파일 유포에 활용하고 있다.

한편 ESRC는 비너스락커 조직이 새로운 패턴으로 공격을 시도하는 것도 확인했다.

▲ 개인정보 유출 안내문으로 위장한 악성 이메일
▲ 개인정보 유출 안내문으로 위장한 악성 이메일
지난 7일 공격자는 한국의 특정 웹 사이트의 개인정보 유출 공지 내용처럼 위장해 동일한 유형의 악성파일을 유포했다. 과거 한국의 '특정 쇼핑몰 해킹사건과 관련한 유사사례'가 보고된 바 있었지만, 이런 유형이 자주 활용된 바는 없다.

비너스락커 위협조직은 해당 공격에서 네이버 이메일 발신 아이디를 사용하고 있다. 한국의 특정 웹 호스팅 서버 아이피가 사용돼 도용된 것으로 추정되고 있지만, 공격자 추적에 중요한 단서 중에 하나로 활용될 수 있다.

갠드크랩 랜섬웨어는 한국에서 가장 활발하게 유포되고 있는 랜섬웨어 종류 중에 하나다. 따라서 DOC 등의 문서파일 실행시 '콘텐츠 사용' 보안 경고창이 나타날 경우 절대 실행하지 않아야 한다.

ESRC 측은 "기존 비너스락커(VenusLocker) 랜섬웨어 유포 조직이 이번 공격에 가담한 것으로 확인했으며, 상세한 위협 인텔리전스 분석을 수행하고 있다"며 "한국 맞춤형으로 랜섬웨어 공격이 끊임없이 발생하고 있다는 점에서 기업 및 기관 관계자들은 개인 보안(최신 업데이트 유지) 및 자료 보관(분리 백업)에 보다 철저한 노력이 절실한 상황이다"라고 주의를 당부했다.

★정보보안 대표 미디어 데일리시큐!★