2019-09-17 00:32 (화)
[긴급] 비너스락커 랜섬웨어 조직, 연말정산 변경사항 안내로 위장 공격...주의
상태바
[긴급] 비너스락커 랜섬웨어 조직, 연말정산 변경사항 안내로 위장 공격...주의
  • 길민권 기자
  • 승인 2018.12.13 12:59
이 기사를 공유합니다

입사지원서, 저작권 위반, '개인정보 유출, 임금체불 출석요구서' 등으로 위장

▲ ‘연말정산 변경사항 안내‘ 내용으로 위장된 이메일 화면
▲ ‘연말정산 변경사항 안내‘ 내용으로 위장된 이메일 화면
대표적인 한국대상 사이버공격 그룹들 가운데 금전적 수익을 비지니스 모델로 하고 있는 조직은 단연 독보적으로 '비너스락커(VenusLocker)' 조직을 꼽을 수 있다. 특히 12월 12일 새벽 약 2년만에 동일한 공격 벡터를 가지고 한국을 대상으로 공격을 시작하고 있는 것이 포착돼 각별한 주의가 요구된다.

이들은 2016년 전후로 비너스락커라는 랜섬웨어를 한국의 기관들을 중심으로 맞춤형 공격하기 시작했고, 이후에 민관 구분없이 범죄 대상을 확대하고 있다.

지난 2016년 12월 24일 크리스마스 이브에 공격자들은 한국인 발신자 형식의 이메일 계정과 '한국' 키워드가 포함된 특정 기관을 대상으로 공격한 사례가 있다.

당시 2016년 연말정산관련 안내 메일로 위장해 비너스락커 랜섬웨어를 무차별적으로 유포한 바 있고, 초기에는 10여명이 넘는 공기업 내부 임직원 메일로 다량 전파를 시도했었다.

이 위협조직이 활동하기 시작한 2016년 초기에는 DOC 매크로 기법을 많이 사용했고, 이후에는 바로가기 LNK 파일을 활용한 공격벡터를 함께 쓰기도 했다.

그리고 암호화 압축을 사용해 이메일 보안 솔루션의 의심파일 탐지 행위 등을 회피하는 시도도 수행한다.

초기시절 비너스락커 위협그룹이 사용한 악성 문서파일에는 중국어 기반의 DengXian 폰트가 사용되었고, 알약 블로그의 포스팅 이미지가 사용된 바도 있다.

더불어 공격자가 악성파일을 제작할 때 ALZip 압축프로그램을 이용하고, 한국어 OS 운영체제를 쓰고 있었다는 것도 중요한 포인트 중 하나다.

더불어 유창한 한국어 구사력을 가지고 있다는 점도 위협 인텔리전스에 있어 중요한 지표로 활용되고 있다.

이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터(이하 ESRC)측은 "이들 조직에 대한 지속적인 추적과 분석을 수행하고 있으며, 비트코인 등 최근 크립토커런시 시세에 영향을 주기 위한 의도적인 사이버 범죄 활동 가담여부 등 다양한 가능성을 염두에 두고 조사를 진행 중이라고 밝혔다.

2018년 12월 12일 수요일 새벽 약 2년만에 동일한 공격 벡터를 가지고 비너스락커 조직들이 귀환한 것이 ESRC 위협 헌팅에 탐지되었다.

이번 사례도 기존과 마찬가지로 당해년도 연말정산 변경사항 안내처럼 사칭한 제목이 쓰였으며, 기존 이메일 문장에는 마침표가 대부분 생략되어 있었지만, 이번 공격 이메일에서는 마침표들이 많이 포함되어 있다.

그리고 발신자 이메일 주소가 구글 지메일에서 특정 한국 회사의 도메인이 사용된 특징이 있다. 과거 공격자들이 직접 이메일 서버를 구축한 사례도 목격된 바 있었고, RAT 계열의 악성파일을 유포한 이력도 존재한다.

공격에 사용된 기법은 기존과 마찬가지로 악성 MS 워드(DOC)파일이 첨부되어 있고, 매크로 실행(콘텐츠 사용)을 유도해 또 다른 페이로드 파일을 다운로드시키는 과정을 거치게 된다.

최근 '입사지원서', '이미지 저작권 위반', '개인정보 유출', '임금체불 출석요구서', '교통 범칙금' 등 사회공학적 기법을 교묘하게 결합해 사용하고 있어 각별히 주의해야 한다.

이번에 유포된 DOC 악성파일도 보여지는 화면은 기존과 크게 다르진 않다.

[콘텐츠 사용] 버튼을 눌러 악성 매크로가 작동되면 내부에 난독화된 코드에 의해 특정 웹 사이트로 접속해 'jackripper.exe' 파일을 다운로드하고 실행을 진행한다.

'jackripper.exe' 파일 이름은 기존과 동일한 파일명으로 계속 쓰이고 있으며, 공격자가 곧 변경할 것으로 예상이 되며, 유포 IP 주소(192.227.133.51)는 계속해서 달라지고 있는 상황이다.

대표적인 주소들은 다음과 같다.

- 192.227.133.51/jackripper[.]exe

- 192.154.213.122/jackripper[.]exe

- 104.227.244.149/jackripper[.]exe

- 104.227.244.162/jackripper[.]exe

최근까지 공격자들은 RaaS 기반의 갠드크랩(GandCrab) 랜섬웨어를 유포하는데 집중하고 있고, 현재도 계속 활성화되어 있는 위협으로 유지되고 있지만, 요 며칠사이에 공격그룹이 변화를 시도한 정황이 계속 포착되고 있다.

기존에 목격되지 않았던 실행파일 패킹을 도입해 쓰고 있고, 랜섬웨어 뿐만 아니라 RAT 계열의 Smoke Bot을 유포해 감염된 컴퓨터의 관리자 권한을 획득하거나 내부 정보를 탈취할려는 모습이 보이고 있다.

ESRC 측은 "비너스락커 위협그룹이 또 다른 거점과 교두보를 확보하기 위한 새로운 시도일 가능성을 염두에 두고 특별히 예의주시하고 있는 상황이다. 더불어 한국인터넷진흥원(KISA)과 긴밀한 협력을 통해 악성파일 유포 주소에 대한 조기 접근차단을 통해 피해를 최소화하는데 노력하고 있다.

★정보보안 대표 미디어 데일리시큐!★