2024-11-23 20:10 (토)
비너스락커 조직, 한국 상대로 2년간 랜섬웨어 집중 유포...현재도 유포
상태바
비너스락커 조직, 한국 상대로 2년간 랜섬웨어 집중 유포...현재도 유포
  • 길민권 기자
  • 승인 2018.11.21 09:53
이 기사를 공유합니다

임금체불 관련 출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의

▲ 갠드크랩 랜섬웨어 유포에 이용된 악성 이메일 실제 화면
▲ 갠드크랩 랜섬웨어 유포에 이용된 악성 이메일 실제 화면
지난 주부터 비너스락커(VenusLocker) 랜섬웨어 조직이 다시 활동을 본격화하고 있다. 이들은 최근에 RaaS(Ransomware-as-a-Service) 기반의 러시아 서비스형 갠드크랩(GandCrab) 랜섬웨어를 한국에 집중 유포시키고 있는 것이 확인됐다. 각별한 주의가 필요하다.

'11월 15일에는 장윤성 입사지원서를 위장'해 DOC 워드 문서의 매크로 기능을 이용해 유포한 바 있고, '19일에는 박혜윤 이력서 내용과 이메일 본문에 악성 EXE 파일 링크'로 유포했다.

MS워드 매크로 기법과 악성 EXE 파일의 직접적인 유포를 사용하던 범죄자들은 '베리즈 웹쉐어(Berryz WebShare)' 서버를 구축해 한동안 변종 갠드크랩 랜섬웨어를 꾸준히 유포하는데 사용했다.

이스트시큐리티 ESRC는 이들 조직이 한국과 동일한 시간대에서 활동하며, 갠드크랩 변종 랜섬웨어를 유포서버에 등록하는 것을 확인했다.

특히 국내 대표 보안제품들이 탐지 기능을 추가하면 곧바로 변종을 제작해 등록하는 적극적인 공격전략을 구사하고 있다.

이른바 비너스락커 위협 조직은 2016년 12월 23일 '한국' 키워드가 포함된 다수의 국내 기관 및 연구원 등에 연말정산 내용으로 위장해 랜섬웨어를 본격적으로 유포를 시작한 바 있다.

그 이후에는 '차량 법규 위반 과태료 통지서', '페덱스 배송팀 사칭', '쇼핑몰 고객 개인정보 리스트', '교육 일정표 위장', '이미지 저작권 위반' 등 다양한 형태로 한국을 상대로 오랜 기간 사이버 위협을 가하고 있다.

그리고 비너스락커 랜섬웨어 유포 이후에 오토크립터 랜섬웨어를 유포한 바도 있고, 암호화폐 채굴기능을 가진 악성코드를 유포한 이력도 가지고 있다.

특히, DOC Exploit 취약점 파일을 이용한 공격도 수행한 바 있어 전문화된 위협조직으로 분류되어 있고, 유창한 한국어를 자유자재로 구사하고 있는 상태다.

ESRC는 이들이 현재 한국을 대상으로 가장 활발히 움직이는 랜섬웨어 위협그룹 중 하나로 보고 있다.

11월 20일 오전부터는 이력서 사칭에서 이미지 무단사용 관련 협박내용을 추가했고 다시 출석 요구서 내용으로 위장해 갠드크랩 랜섬웨어를 유포했다.

그러다가 오후부터는 '임금체불관련 출석요구서' 내용으로 바로가기(LNK) 파일과 숨김속성의 갠드크랩 실행파일(EXE) 연결 방식으로 다시 유포를 하기 시작했다.

ESRC에서는 알약 랜섬웨어 행위기반 차단 탐지 통계를 통해 공격자가 계속해서 변종을 한국에 유포하고 있다는 것을 확인했다.

또한 파일명도 'peesss.exe', 'delltoro.exe', 'document.exe' 등으로 다양하게 변경해서 유포하고 있다.

바로가기 파일은 실행 대상에 다음과 같이 설정해 두었습니다.

-'C:WindowsSystem32cmd.exe /c peesss.exe' (갠드크랩 랜섬웨어)

이러한 공격기법은 비너스락커 조직이 초기부터 꾸준히 사용하는 방식으로 '1.출석요구서.doc.lnk', '2.임금체불 진정서.doc.lnk' 2중 확장자의 바로가기 파일을 통해 은밀히 숨겨져 있는 랜섬웨어를 실행하는 기법이다.

특히 공격자들이 알집 EGG 포맷을 자주 사용하고 있어 이러한 기법을 사용할 경우 사전에 위협을 탐지할 수 있는 기능을 알집 압축프로그램에 추가한 상태다.

이처럼 비너스락커 조직은 한국을 상대로 2년 정도 랜섬웨어를 집중적으로 유포하고 있는 상태이고 주로 이메일의 첨부파일이나 링크 클릭을 유도하고 있다.

그동안 보고된 실제 공격 사례들을 기억해 유사한 보안위협에 노출되지 않도록 각별한 주의가 필요하며, 의심스러운 이메일을 수신할 경우 절대 파일이나 인터넷 주소로 접근하지 않는 것이 중요하다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★