본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

비너스락커 조직(VenusLocker) 기존보다 진화된 형태로 Sodinokibi 랜섬웨어 유포중!

보안공지 2019-08-14



2019년 8월 12일 비너스락커(VenusLocker) 조직이 입사지원서를 사칭한 악성 메일을 유포하고 있는 정황이 확인되어 이용자들의 각별한 주의를 당부드립니다.


비너스락커 조직은 과거에는 구글 지메일이나 실제 호스팅을 구축해서 메일을 보냈는데, 최근에는 KT 등 한국 아이피에서 발송하고 있습니다.



[그림 1] 입사지원서'로 위장한 악성 메일



이번에 발견된 악성 메일은 8/5일 발견된 입사지원서 사칭 메일과 비슷한 내용으로 유창한 한글 표기법으로 작성되었으며, 실제 입사지원서 메일 제목 양식처럼 "회사명_직무(이름)"으로 작성되었습니다.


이메일 본문을 살펴보면 마침표를 안 쓰는 특성을 확인할 수 있습니다. 또한 메일에 첨부된 압축 파일은 7z으로 압축된 것이 특징입니다. 


해당 메일을 받은 사용자가 입사지원서 파일로 착각해 해당 압축파일을 해제하면, PDF 파일로 위장한 악성 실행파일이 들어 있으며, 두 파일 모두 긴 공백을 삽입하여 실행 파일(EXE)인 것을 속이려고 시도하였습니다.



[그림 2] PDF, HWP 문서로 위장한 악성 실행 파일



File Name

 MD5

 이력서.pdf(긴공백) - 복사본.exe

 DA2325D02EA2D574E0D4098E2A019D2B

 포트폴리오.pdf(긴공백).exe

 DA2325D02EA2D574E0D4098E2A019D2B



만일 입사 담당자가 해당 PDF, HWP 문서파일을 입사 지원서 파일로 착각해 실행할 경우, 특정 C2 서버를 통해 Sodinokibi 랜섬웨어를 다운로드하고 실행하여 피해자 시스템의 주요 파일들을 암호화합니다. 


또한 발견된 파일명을 살펴보면 '-복사본.exe'이라는 파일명이 붙여진 것을 확인하실 수 있습니다.


이는 공격자가 한국어 Windows 운영체제를 쓰고 있다고 추측할 수 있다는 점입니다.


주목할만한 부분은 기존까진 이메일에 소디노키비 랜섬웨어를 직접 첨부해 유포했다면, 이번에 발견된 악성코드의 경우 먼저 브라우저에 저장된 쿠키값과 암호화폐 지갑 관련 정보를 수집하는 기능을 수행하고, Sodinokibi 랜섬웨어를 추가로 설치한다는 점입니다. 이를 근거로 ESRC에서는 이번에 발견된 공격이 기존보다 조금 더 진화된 형태를 보이고 있다고 판단하고 있습니다. 


또한, 해외 C2 서버에 한국어 버전의 베리즈웹쉐어(BerryzWebShare) 파일 공유 서버가 구축된 것이 확인되었는데 이 서버 내에는 '이명박 이력서.doc.bat' 파일 등이 발견되었습니다.



[그림 3] 한국어 버전 베리즈웹쉐어로 파일서버를 구축한 공격자 C2서버



해당 파일에는 파워쉘 명령을 통해 페이스트빈(Pastebin) 호스트를 C2 서버로 악용해 소디노키비 랜섬웨어를 유포하려는 시도도 추가 발견되었습니다. 



[그림 4] 페이스트빈 호스트를 C2 서버로 악용한 화면



이 베리즈웹쉐어 서버가 2018년 말 비너스락커 조직이 갠드크랩 유포에 활용했던 방식이라는 점에서 동일 조직의 유사성을 보여줍니다.


더불어 최근 유포되는 비너스락커 조직의 연관성을 비교해 보면 다음과 같습니다.



[그림 5] 비너스락커 조직이 유포한 이메일 비교 화면





ESRC에서는 새로운 공격 방식이 발견된 만큼, 앞으로 다운로더를 활용한 위협 벡터에 대해 면밀히 관찰할 예정입니다. 


불분명한 사용자에게서 온 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 


금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서도 확인하실 수 있습니다.


알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.Sodinokibi'로 탐지 중입니다.