‘말씀드렸다싶이’라는 문법상 잘못된 표현 사용, 비너스락커 조직의 정체는?
[보안뉴스 권 준 기자] 우리나라를 타깃으로 오랫동안 랜섬웨어를 유포해온 비너스락커 조직이 최근에 또 다시 랜섬웨어를 대량 유포하고 있는 것으로 드러났다.
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 비너스락커 조직이 지난 2017년 1월에 유포한 초기 공격방식과 매우 유사하게 화장품·제약 분야 기술영업 컨설턴트 계정으로 유포하고 있다. 악성 메일 공격을 받은 수신자만 대략 70여명에 이르는 것으로 드러났는데, 여기에는 유명 제약회사 직원들이 대거 포함된 것으로 분석됐다.
▲비너스락커 조직이 최근 유포한 악성 메일 화면[자료=이스트시큐리티 ESRC]
지난 2017년 1월, 비너스락커 조직은 국내 주요 국가기관과 기업을 대상으로 랜섬웨어가 첨부된 악성 메일을 다량 유포한 바 있는데, 당시 발송된 이메일에는 사내 내부지침 사항을 공유한다는 안내와 함께 ‘내부지침사항.egg’라는 이름의 압축파일을 첨부하고 있었다.
이번에 유포된 악성 메일도 거의 흡사하다. ‘내부 지침사항.zip’ 악성파일이 첨부된 메일 본문에는 “사내 내부지침 사항이 있다. 아직 내부적으로 확정된 사항은 아니지만 미리 인지해서 차후에 생길 수 있는 불이익을 미연에 방지하라”는 말로 메일 수신자들의 호기심을 유도하고 있다. 이어 “말씀드렸다싶이 아직은 확정된 사항은 아니지만 9월 중으로 내부적인 확인이 가능하실 것”이라며, “내부문서이기에 외부로의 유출은 유념해 달라”는 말도 덧붙였다.
▲비너스락커 조직이 유포한 또 다른 악성 메일 화면[자료=이스트시큐리티 ESRC]
비너스락커 조직이 유포한 또 다른 유형의 메일에는 ‘문의사항.zip’이라는 이름의 압축파일이 첨부돼 있고, “긴급하게 문의드립니다. 이게 좀 사안이 급하서 빠르게 답변부탁드릴께요. 바쁘시겠지만 부탁드리겠습니다”라는 내용으로 첨부파일 다운로드를 유도하고 있다.
▲압축된 첨부파일을 풀었을 때 나타나는 아이콘은 마치 PDF 문서처럼 위장하고 있지만 확장자는 exe 실행파일이다[자료=이스트시큐리티 ESRC]
유포된 악성 메일에 첨부되어 있던 2중 압축파일 내부의 exe 파일을 실행하면 사용자 컴퓨터는 ‘Makop’ 랜섬웨어에 감염되어 주요 사진, 동영상, 문서 등의 파일은 암호화되고, 파일명에 해커 이메일 주소가 포함되면서 확장자가 ‘makop’으로 변경된다는 게 ESRC 측의 설명이다. 아이콘은 마치 PDF 문서처럼 위장하고 있지만 확장자는 exe 실행파일이다.
이스트시큐리티 ESRC 문종현 센터장은 “유포 이메일에는 ‘말씀드렸다싶이’라는 문법상 잘못된 표현이 포함되어 있는데, 이를 보아 해커는 번역기를 사용한 것이 아닌 실제 한글 키보드를 사용하고 있다는 것을 짐작해 볼 수 있다”며, 비너스락커 조직이 한글을 모국어로 사용하는 국가의 지원을 받는 해커조직일 가능성을 피력했다.
유포된 악성 메일은 현재 알약에서는 ‘Trojan.Ransom.Makop’라는 탐지명으로 모두 대응이 가능한 상태로 알려졌다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>