비너스락커 조직이 이중압축을 통해 유포하고 있는 Makop 랜섬웨어 주의!
안녕하세요. ESRC(시큐리티 대응센터)입니다.
얼마 전 ESRC는 Makop 랜섬웨어를 유포하는 비너스락커 조직에 대해 경고한 적이 있습니다.
▶ 비너스락커 조직, 지원서 사칭 이메일을 통해 Makop 랜섬웨어 대량 유포중!!
비너스락커 조직은 2017년도부터 현재까지 국내에 랜섬웨어를 대량으로 유포하는 조직으로, 유포하는 랜섬웨어는 주기적으로 달라집니다. 얼마 전 까지 이 조직은 국내에 Nemty 랜섬웨어를 유포하였지만, 최근부터는 Nemty랜섬웨어가 아닌 Makop 랜섬웨어를 유포하고 있습니다. 뿐만 아니라, 백신 및 보안장비의 탐지를 우회하기 위하여 유포방식의 변화를 주고 있습니다.
[그림 1] 이력서를 위장하고 있는 악성 메일
이번에 발견된 이력서 사칭 악성 메일 역시 국내 대형 포털 이메일 사용, 이메일 본문에 마침표 생략 등의 특징으로 보았을 때 비너스락커 조직이 유포하는 것으로 추정됩니다.
그러나 특이한 점은, zip 파일 안에 또 하나의 zip 파일이 포함되어 있는 이중압축 형태를 사용한다는 점입니다.
이러한 방식은 흔하지 않은 방식으로, 비너스락커 조직이 공격방식의 변화를 주고 있다는 것으로 볼 수도 있습니다 .
[그림 2] 한글 파일을 위장하고 있는 exe 파일
이중압축 안에는 한글 파일을 위장한 .exe 파일들이 포함되어 있으며, 사용자가 해당 파일들을 실행할 경우 Makop 랜섬웨어에 감염되게 됩니다.
[그림 3] Makop랜섬웨어 감염 화면
이번에 발견된 Makop 랜섬웨어는 이전의 .pdf 파일이 아닌 .hwp 파일의 아이콘을 위장하고 있으며, 복호화 메일이 기존의 helpdesk_makp@protonmail.ch에서 akzhq@cock.li 또는 akzhq@protonmail.com으로 변경되었습니다.
현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Makop으로 탐지중에 있으며, 지속적인 모니터링 중에 있습니다.
※ 관련글 바로가기
▶ 비너스락커 조직, 지원서 사칭 이메일을 통해 Makop 랜섬웨어 대량 유포중!! (2020.03.04)
▶ 이력서 이메일을 위장하여 유포중인 Nemty 랜섬웨어 주의! 비너스락커 조직으로 추정 (2020.01.20)
▶ 공정거래위원회를 사칭한 악성 메일 주의! 비너스락커 조직의 소행으로 추정 (2020.01.03)
▶ 비너스락커 조직, Nemty 2.2 랜섬웨어 여전히 유포중 (2019.12.10)
▶ 비너스락커 조직, 구직의뢰 내용으로 Nemty 랜섬웨어 2.2 확산 중(2019.12.04)
▶ Nemty 랜섬웨어, 공문을 사칭한 악성 메일을 통해 지속적으로 유포중! (2019.11.13)
▶ 비너스락커 조직, 입사지원서 위장 Nemty Revenge 2.0 랜섬웨어 대량 유포중 (2019.10.29)
▶ 비너스락커, 공정거래위원회 사칭하여 Nemty 랜섬웨어 V1.6 유포 주의! (2019.10.10)
▶ 비너스락커, 입사 지원서 위장하여 Nemty 랜섬웨어 V1.5 유포! (2019.09.30)
▶ 비너스락커(VenusLocker), 또다시 입사지원서를 위장해 Nemty 랜섬웨어 유포! (2019.09.23)
▶ 비너스락커 조직, 입사지원서를 위장한 메일로 랜섬웨어 'Nemty' 유포 중! (2019.09.11)