본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

리플라이 오퍼레이터, 헌법재판소 사칭해 'Sodinokibi' 랜섬웨어 유포 중!

보안공지 2019-05-27
바카라 딜러


2019년 05월 22일, '헌법 재판소 전화', '헌법 재판소 청문 의제' 등의 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있습니다.


이번에 포착된 피싱 메일은 신종 랜섬웨어 'Sodinokibi'를 감염자 PC에 다운로드하고 실행시키며, 리플라이 오퍼레이터 그룹이 유포한 것으로 확인되었습니다.


바카라 딜러

바카라 딜러

[그림 1] 헌법 재판소를 사칭한 피싱 메일 화면


피싱 메일에는 '법원 서류.zip'라는 압축 바카라 딜러(.zip)이 첨부되어 있습니다.


해당 메일을 받은 사용자가 법원 서류인 것으로 착각해 압축을 해제하면, '연락처 세부 정보.doc', '사건에 관한 서류.doc'라는 MS Word 문서(.doc)를 위장한 악성 링크 바카라 딜러(.lnk)이 들어 있습니다.


링크 바카라 딜러의 경우 아래와 같이 육안으로는 바카라 딜러 유형을 확인하기 어렵습니다.


[그림 2] MS Word 문서 바카라 딜러을 위장한 악성 바카라 딜러


이번에 발견된 악성 바카라 딜러 샘플은 기존과 다르게 숨김속성을 사용하여 악성 실행 바카라 딜러의 존재를 숨기려 시도했습니다.


숨김 처리된 악성 바카라 딜러 확인 결과, 제작자의 컴퓨터 정보로 부터 지난 5/8일 FAX 문서를 사칭해 갠드크랩을 유포한 리플라이 오퍼레이터 그룹의 소행임을 확인할 수 있었습니다.


[그림 3] 악성 바카라 딜러 제작자의 컴퓨터 정보


따라서 메일을 받은 담당자가 악성 링크 바카라 딜러을 Word 바카라 딜러로 착각해 실행한다면, 숨김 처리된 악성 실행바카라 딜러(doc.exe)을 실행하고 사용자 PC는 Sodinokibi 랜섬웨어에 감염됩니다.


[그림 4] Sodinokibi 랜섬웨어에 감염된 PC 화면


이번에 발견된 Sodinokibi 랜섬웨어는 감염된 PC의 바탕화면을 파란색 화면으로 변경하고, “Welcome. Again"이라는 문구로 시작하는 랜섬노트를 감염된 PC에 생성합니다.


[그림 5] Sodinokibi 랜섬노트 화면


이번에 발견된 피싱메일은 리플라이 오퍼레이터 그룹이 기존에 갠드크랩 유포에 사용했던 메일 내용을 거의 그대로 활용하였습니다.


[그림 6] 리플라이 오퍼레이터 그룹이 유포한 이전 피싱 메일


갠드크랩을 유포하던 사이버 범죄 그룹이 이전에 갠드크랩을 유포하던 방식을 활용하여 신종 Sodinokibi 랜섬웨어를 국내에 대량으로 유포하고 있습니다.


각 기업의 외부 담당자께서는 출처가 불분명한 사용자에게서 온 메일에 포함된 첨부바카라 딜러 다운로드를 지양해 주시기 바라며, 바카라 딜러을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다.


바카라 딜러에서는 해당 악성 샘플에 대하여'Trojan.Ransom.Sodinokibi, Trojan.Agent.LNK.Gen'으로 탐지 중에 있습니다.