임금체불 관련 출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의
지난 주부터 비너스락커(VenusLocker) 랜섬웨어 조직이 다시 활동을 본격화하고 있습니다. 이들은 최근에 RaaS(Ransomware-as-a-Service) 기반의 러시아 서비스형 갠드크랩(GandCrab) 랜섬웨어를 한국에 집중 유포시키고 있습니다.
'11월 15일에는 장윤성 입사지원서를 위장'해 DOC 워드 문서의 매크로 기능을 이용해 유포한 바 있고, '19일에는 박혜윤 이력서 내용과 이메일 본문에 악성 EXE 파일 링크'로 유포했습니다.
[그림 1] 갠드크랩 랜섬웨어 유포에 이용된 악성 이메일 실제 화면
MS Word 매크로 기법과 악성 EXE 파일의 직접적인 유포를 사용하던 범죄자들은 '베리즈 웹쉐어(Berryz WebShare)' 서버를 구축해 한동안 변종 갠드크랩 랜섬웨어를 꾸준히 유포하는데 사용하였습니다.
ESRC는 이들 조직이 한국과 동일한 시간대에서 활동하며, 갠드크랩 변종 랜섬웨어를 유포서버에 등록하는 것을 확인하였습니다.
특히, 국내 대표 보안제품들이 탐지 기능을 추가하면 곧바로 변종을 제작해 등록하는 적극적인 공격전략을 구사하고 있습니다.
[그림 2] 공격자가 베리즈 웹쉐어 서버에 각종 악성파일을 등록해 둔 화면
이른바 비너스락커 위협 조직은 2016년 12월 23일 '한국' 키워드가 포함된 다수의 국내 기관 및 연구원 등에 연말정산 내용으로 위장해 랜섬웨어를 본격적으로 유포를 시작한 바 있습니다.
그 이후에는 '차량 법규 위반 과태료 통지서', '페덱스 배송팀 사칭', '쇼핑몰 고객 개인정보 리스트', '교육 일정표 위장', '이미지 저작권 위반' 등 다양한 형태로 한국을 상대로 오랜 기간 사이버 위협을 가하고 있습니다.
그리고 비너스락커 랜섬웨어 유포 이후에 오토크립터 랜섬웨어를 유포한 바도 있고, 암호화폐 채굴기능을 가진 악성코드를 유포한 이력도 가지고 있습니다.
특히, DOC Exploit 취약점 파일을 이용한 공격도 수행한 바 있어 전문화된 위협조직으로 분류되어 있고, 유창한 한국어를 자유자재로 구사하고 있는 상태입니다.
ESRC는 이들이 현재 한국을 대상으로 가장 활발히 움직이는 랜섬웨어 위협그룹 중 하나로 보고 있습니다.
11월 20일 오전부터는 이력서 사칭에서 이미지 무단사용 관련 협박내용을 추가했고, 다시 출석 요구서 내용으로 위장해 갠드크랩 랜섬웨어를 유포하였습니다.
그러다가 오후부터는 '임금체불관련 출석요구서' 내용으로 바로가기(LNK) 파일과 숨김속성의 갠드크랩 실행파일(EXE) 연결 방식으로 다시 유포를 하기 시작했습니다.
[그림 3] 바로가기(LNK) 파일을 통해 숨김속성의 갠드크랩 랜섬웨어를 실행 유도하는 화면
ESRC에서는 알약(ALYac) 랜섬웨어 행위기반 차단 탐지 통계를 통해 공격자가 계속해서 변종을 한국에 유포하고 있다는 것을 확인했습니다.
또한, 파일명도 'peesss.exe', 'delltoro.exe', 'document.exe' 등으로 다양하게 변경해서 유포하고 있습니다.
바로가기 파일은 실행 대상에 다음과 같이 설정해 두었습니다.
- 'C:\Windows\System32\cmd.exe /c peesss.exe' (갠드크랩 랜섬웨어)
[그림 4] 바로가기 파일을 이용한 랜섬웨어 실행 유도 설정 화면
이러한 공격기법은 비너스락커 조직이 초기부터 꾸준히 사용하는 방식으로 '1.출석요구서.doc.lnk', '2.임금체불 진정서.doc.lnk' 2중 확장자의 바로가기 파일을 통해 은밀히 숨겨져 있는 랜섬웨어를 실행하는 기법입니다.
특히, 공격자들이 알집(ALZip) EGG 포맷을 자주 사용하고 있어, 이러한 기법을 사용할 경우 사전에 위협을 탐지할 수 있는 기능을 알집 압축프로그램에 추가한 상태입니다.
[그림 5] 랜섬웨어 위협 탐지 후 보여지는 알집 프로그램 경고 화면
이처럼 비너스락커 조직은 한국을 상대로 2년 가깝게 랜섬웨어를 집중적으로 유포하고 있는 상태이고, 주로 이메일의 첨부파일이나 링크 클릭을 유도하고 있습니다.
그동안 보고된 실제 공격 사례들을 기억해 유사한 보안위협에 노출되지 않도록 각별한 주의가 필요하며, 의심스러운 이메일을 수신할 경우 절대 파일이나 인터넷 주소로 접근하지 않는 것이 중요합니다.
ESRC에서는 이들 위협 조직에 대한 지속적인 보안 모니터링과 위협 인텔리전스 연구를 통해 인터넷 이용자들의 피해를 최소화하는데 집중하고 있습니다.