세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
[긴급] 지방 경찰서 ‘출석 통지서’로 사칭한 갠드크랩 유포중
  |  입력 : 2019-02-12 10:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
파일명에 공백을 길게 넣어 실제 확장자를 못보고 문서파일로 오해하도록 꾸며

[보안뉴스 원병철 기자] 2월 11일 대구 달서경찰서를 사칭해 ‘온라인 명예훼손관련 출석통지서’ 메일을 보낸 후 첨부파일을 실행하면 갠드크랩(GandCrab) 랜섬웨어를 실행시키는 공격이 발견했다. 이스트시큐리티 시큐리티대응센터(ESRC)는 기존과 다른 형태로 악성파일을 유통하고 있다며 주의를 요청했다.

▲대구 달서 경찰서 사칭 이메일[자료=ESRC]


지금 대량으로 유포되고 있는 악성메일은 대구 달서경찰서를 사칭하고 있으며, 온라인 명예훼손관련 출석통지서(향후 변경 가능)라는 제목으로 유포되고 있다. 해당 메일에는 악성파일이 포함된 출석통지서 파일명을 가진 압축파일이 첨부되어 있으며, 해당 압축파일에는 갠드크랩 랜섬웨어 악성코드가 포함되어 있다.

특히, ESRC는 갠드크랩 랜섬웨어 유포방식에 변화가 생겼다고 강조했다. ESRC에 따르면 기존에는 압축파일 내에 악성 매크로가 포함된 워드파일 혹은 .doc, .jpeg를 위장하고 있는 악성코드와 함께 해당 악성코드들을 실행시키는 .lnk 파일이 포함된 방식으로 유포했다.

▲이메일에 첨부된 압축파일의 악성파일. 자세하게 보면 화면 맨 끝에 확장자가 ‘.exe’다[자료=ESRC]


하지만 이번에는 (파일명).doc 긴 공백.exe 형태로 파일명 중간에 공백을 길게 넣어 실행파일(.exe)이 아닌 것처럼 위장했다. 만약 사용자가 압축파일에 포함되어 있는 파일들을 워드 파일로 착각하고 실행한다면, 워드파일로 위장하고 있던 갠드크랩 랜섬웨어 v 5.1이 실행된다.

▲갠드크랩 랜섬웨어 공격자 정보[자료=ESRC]


이번 악성메일의 유포자 정보를 추적하면, 최근 국내에 대량으로 유포되고 있는 다양한 형태의 갠드크랩 랜섬웨어 유포자와 동일하다는 것을 확인할 수 있다. 이 mushuerk@gmail.com 계정을 이용하는 공격자(혹은 조직)는 끊임없이 다양한 방식을 통하여 국내에 갠드크랩 랜섬웨어를 유포하고 있으며, 이미 경찰을 사칭하여 랜섬웨어를 유포한 적도 있었다. 이 공격자(혹은 조직)는 2017년 국내에 비너스락커 랜섬웨어를 유포한 공격자(혹은 조직)로, 이미 알약 블로그에는 해당 공격자(혹은 조직)와 관련된 다양한 포스팅들을 작성한 적이 있다.

ESRC는 현재 알약에서는 해당 악성파일을 ‘Trojan.Ransom.GandCrab’으로 탐지하고 있다면서 사용자의 주의를 요구했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 공공 및 민간의 클라우드 컴퓨팅 도입이 더욱 활발해질 것으로 보입니다. 보안성과 효율성을 고려할 때 자사의 클라우드 도입시 가장 우선적으로 검토할 기업 브랜드는?
아마존웹서비스(AWS)
마이크로소프트 애저(MS Azure)
IBM 클라우드
오라클 클라우드
NHN엔터테인먼트 토스트 클라우드
NBP 네이버 클라우드 플랫폼
기타(댓글로)