2016년 한국기관 및 민간업체에 비너스락커 뿌렸던 공격조직 다시 활발한 활동 보여
[보안뉴스 원병철 기자] 연말연시 분위기가 한창인 요즘, 13월의 보너스라고 불리는 ‘연말정산’과 관련 내용으로 위장한 악성 메일이 12일 오전부터 국내 사용자를 대상으로 유포되고 있어 각별한 주의가 요구된다. 이스트시큐리티는 ‘2017년과 올해 연말정산 내용의 차이를 안내한다’는 내용의 이메일과 함께 첨부된 ‘2018년도 연말정산’이라는 doc 문서 첨부파일을 열도록 유도하고 있다고 밝혔다.
[이미지=iclickart]
메일을 받은 수신자가 궁금한 마음에 첨부된 문서 파일을 열어 콘텐츠 사용 버튼을 누르면, 그 즉시 MS워드의 매크로 기능이 활성화되고, 특정 C&C(명령제어) 서버를 통해 악성코드를 내려 받고 실행한다. MS워드에서 제공하는 매크로 기능은 문서 작성 중 반복적인 동작이 필요한 경우, 사전에 기록된 명령을 자동으로 실행해 문서 편집의 효율성을 높여주는 기능이다.
▲연말정산 변경사항 안내 내용으로 위장된 이메일 화면[이미지=이스트시큐리티]
이스트시큐리티 시큐리티대응센터(이하 ESRC)의 분석 결과 이 공격에 사용된 악성코드는 감염시킬 PC 환경을 체크해 러시아 언어를 사용하는 OS 환경에서는 동작하지 않으며, Anti-VM 기능을 탑재하고 있어 가상머신 환경에서의 자동 분석을 방해한다. 또한, 이 악성코드는 최종적으로 스모크 봇(Smoke Bot)을 실행하며, 이 봇은 갠드크랩(GandCrab) 랜섬웨어와 동일하게 블랙마켓 등에서 특정 금액을 지불하고 구매가 가능한 봇 모듈이다.
Smoke Bot은 정보탈취, 로컬 프로세스 인젝션, 키로깅, 추가 악성코드 다운로드, 코인마이닝, DDoS 공격 등의 다양한 기능을 보유하고 있으며, 일단 실행되면 특정 C&C에 접속하여 Bot 마스터의 명령을 대기하는 동작을 수행한다.
▲MS워드 악성 매크로 실행 전 알림 화면[이미지=이스트시큐리티]
ESRC 센터장 문종현 이사는 “이번 연말정산 이슈를 활용한 공격은 과거 비너스락커(VenusLocker) 랜섬웨어를 유포하고 갠드크랩 랜섬웨어도 유포했다고 추정되는 동일 조직이 수행한 공격으로 확인됐다”며, “갠드크랩 랜섬웨어뿐만 아니라 별도로 봇 계열까지 유포한 상황은 공격 벡터의 변화와 공격자의 의도를 파악하는데 의미가 있으며, 기업에서는 이러한 연말연시 이슈를 활용한 이메일 첨부파일 공격에 대비해 임직원의 보안수칙 준수를 독려하는 노력을 기울여야 한다”고 당부했다.
한편, 과거 비너스락커 유포조직은 한국을 대상으로 한 공격조직 중 금전적인 수익을 위한 비즈니스 모델을 유지한 대표적인 조직으로 알려졌다. 이들은 2016년 전후로 비너스락커 랜섬웨어를 한국기관을 중심으로 맞춤형 공격을 가했고, 이어 민관구분없이 공격대상을 확대하고 있다. 이들은 악성파일을 제작할 때, 알집(ALZip) 압축프로그램을 이용하고, 한국어 OS 운영체제를 쓰고 있던 것으로도 잘 알려져 있다. 더불어 한국 표현에 매우 능통하고, 유창한 한글 구사력을 갖춘 것도 주목할 점이다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 연말연시 분위기가 한창인 요즘, 13월의 보너스라고 불리는 ‘연말정산’과 관련 내용으로 위장한 악성 메일이 12일 오전부터 국내 사용자를 대상으로 유포되고 있어 각별한 주의가 요구된다. 이스트시큐리티는 ‘2017년과 올해 연말정산 내용의 차이를 안내한다’는 내용의 이메일과 함께 첨부된 ‘2018년도 연말정산’이라는 doc 문서 첨부파일을 열도록 유도하고 있다고 밝혔다.
[이미지=iclickart]
메일을 받은 수신자가 궁금한 마음에 첨부된 문서 파일을 열어 콘텐츠 사용 버튼을 누르면, 그 즉시 MS워드의 매크로 기능이 활성화되고, 특정 C&C(명령제어) 서버를 통해 악성코드를 내려 받고 실행한다. MS워드에서 제공하는 매크로 기능은 문서 작성 중 반복적인 동작이 필요한 경우, 사전에 기록된 명령을 자동으로 실행해 문서 편집의 효율성을 높여주는 기능이다.
▲연말정산 변경사항 안내 내용으로 위장된 이메일 화면[이미지=이스트시큐리티]
이스트시큐리티 시큐리티대응센터(이하 ESRC)의 분석 결과 이 공격에 사용된 악성코드는 감염시킬 PC 환경을 체크해 러시아 언어를 사용하는 OS 환경에서는 동작하지 않으며, Anti-VM 기능을 탑재하고 있어 가상머신 환경에서의 자동 분석을 방해한다. 또한, 이 악성코드는 최종적으로 스모크 봇(Smoke Bot)을 실행하며, 이 봇은 갠드크랩(GandCrab) 랜섬웨어와 동일하게 블랙마켓 등에서 특정 금액을 지불하고 구매가 가능한 봇 모듈이다.
Smoke Bot은 정보탈취, 로컬 프로세스 인젝션, 키로깅, 추가 악성코드 다운로드, 코인마이닝, DDoS 공격 등의 다양한 기능을 보유하고 있으며, 일단 실행되면 특정 C&C에 접속하여 Bot 마스터의 명령을 대기하는 동작을 수행한다.
▲MS워드 악성 매크로 실행 전 알림 화면[이미지=이스트시큐리티]
ESRC 센터장 문종현 이사는 “이번 연말정산 이슈를 활용한 공격은 과거 비너스락커(VenusLocker) 랜섬웨어를 유포하고 갠드크랩 랜섬웨어도 유포했다고 추정되는 동일 조직이 수행한 공격으로 확인됐다”며, “갠드크랩 랜섬웨어뿐만 아니라 별도로 봇 계열까지 유포한 상황은 공격 벡터의 변화와 공격자의 의도를 파악하는데 의미가 있으며, 기업에서는 이러한 연말연시 이슈를 활용한 이메일 첨부파일 공격에 대비해 임직원의 보안수칙 준수를 독려하는 노력을 기울여야 한다”고 당부했다.
한편, 과거 비너스락커 유포조직은 한국을 대상으로 한 공격조직 중 금전적인 수익을 위한 비즈니스 모델을 유지한 대표적인 조직으로 알려졌다. 이들은 2016년 전후로 비너스락커 랜섬웨어를 한국기관을 중심으로 맞춤형 공격을 가했고, 이어 민관구분없이 공격대상을 확대하고 있다. 이들은 악성파일을 제작할 때, 알집(ALZip) 압축프로그램을 이용하고, 한국어 OS 운영체제를 쓰고 있던 것으로도 잘 알려져 있다. 더불어 한국 표현에 매우 능통하고, 유창한 한글 구사력을 갖춘 것도 주목할 점이다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
