보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

록빗 랜섬웨어와 비다 악성코드, 입사지원서로 위장해 유포

입력 : 2023-03-08 10:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
주로 공기업 사용자를 대상으로 공격 진행 중...피싱 메일에 압축파일 첨부한 형식

[보안뉴스 김영명 기자] 입사지원서를 위장한 피싱 메일을 통해 록빗(LockBit) 랜섬웨어와 비다(Vidar) 악성코드가 유포되고 있어 사용자들의 각별한 주의가 필요하다. 입사지원서를 위장한 피싱 메일을 통해 랜섬웨어 및 악성코드를 유포하는 방식은 공격자들이 즐겨 사용하는 공격 방식 중 하나다. 특히, 이번 공격은 주로 공기업 사용자를 대상으로 진행된 것으로 드러났다.

[이미지=utoimage]


이스트시큐리티 시큐리티대응센터(이하 ESRC)는 최근 발견된 입사지원서를 위장한 피싱 메일은 입사지원 내용과 함께 압축파일이 첨부돼 있다고 밝혔다. 해당 압축파일은 비밀번호가 설정돼 있으며, 이메일 본문 내 비밀번호가 포함돼 있다.

▲입사지원서를 위장한 피싱 메일[자료=이스트시큐리티 ESRC]


.zip 파일 내에는 .alz 파일이 포함됐으며, .alz 파일 내부에는 악성 파일이 들어있다. 해당 악성 파일은 파일명과 확장자 사이에 다수의 공백을 추가하고 한글 파일과 엑셀 파일의 아이콘을 사용해 사용자의 실행을 유도하고 있다.

▲압축파일 내부[자료=이스트시큐리티 ESRC]


‘이력서_230305’라는 파일명의 압축파일이 실행되면 사용자 PC내 로컬 드라이브, 연결된 네트워크 공유 드라이브, 연결된 공유 폴더들을 암호화한 후 .lockbit 확장자로 변경한다. 또한, 파일 복구를 어렵게 하기 위해 볼륨 섀도 복사본 및 로컬 시스템 백업을 삭제하며, 랜섬노트 생성 및 바탕화면 변경을 통해 랜섬웨어에 감염됐다는 사실을 사용자에게 알린다.

▲랜섬웨어 변경 악성코드[자료=이스트시큐리티 ESRC]


‘지원서_230305’라는 파일명을 가진 지원서 파일은 정보탈취 악성코드인 비다(Vidar) 악성코드의 변종이다. 사용자가 해당 파일을 실행하면 특정 텔레그램 주소에 접속해 프로필에 적혀 있는 C&C(명령제어) 서버 주소를 받아와 C&C에 접속해 압축 파일을 내려받는다.

다운로드 되는 압축파일 내에는 정보 유출이 필요한 기능이 구현된 정상 DLL 파일들이 포함돼 있다. C&C 서버 접속과 동시에 크롬(Chrome), 엣지(Edge) 브라우저에 저장돼 있는 정보들을 수집해 ProgramData 폴더로 복사한 후, 사용자 시스템 정보 수집을 시작한다. 이밖에도 WinSCP, FileZila 같은 FTP 프로그램의 정보, Tronium, Trust Wallet, bitwarden, Hashpack 같은 가상화폐 프로그램 관련 정보들도 함께 수집된다.

▲텔레그램 프로필에 적힌 C&C 정보[자료=이스트시큐리티 ESRC]


정보 수집이 완료되면 현재 동작 중인 화면을 찍은 screenshot.jpg 파일과 함께 수집 정보와 시스템 정보를 취합한 파일들을 압축해 C&C 서버로 전송한다.

이스트시큐리티 ESRC 관계자는 “현재 알약에서는 해당 악성코드에 대해 Trojan.PSW.Vidar, Trojan.Ransom.LockBit로 탐지 중에 있으며, 변종에 대해서도 지속적으로 모니터링하고 있다”고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)