Home > 전체기사
입사지원서 메일, 알고 보니 ‘비너스락커’ 조직의 소디노키비 랜섬웨어
  |  입력 : 2019-08-06 16:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
한국 휴대폰으로 한메일에 가입한 공격자...입사지원서 실행하면 랜섬웨어 감염돼

▲‘입사지원서’로 위장한 악성 메일[자료=ESRC]

[보안뉴스 원병철 기자] 중소기업을 대상으로 입사지원서를 사칭한 랜섬웨어 공격이 발견되 사용자들이 주의가 요구된다. 이스트시큐리티 시큐리티대응센터(ESRC)는 최근 입사지원서를 사칭한 악성 메일이 유포된 정황이 포착됐으며, 자체 분석 결과 비너스락커(VenusLocker) 조직이 다시 RaaS 기반의 소디노키비 랜섬웨어를 메일로 유포하는 것으로 밝혀졌다고 밝혔다.

이번에 발견된 입사지원서 메일은 리플라이 오퍼레이터에 비해 유창한 한글 표기법을 사용하였으며, 실제 입사지원서 메일 제목 양식처럼 ‘회사명_직무(이름)’으로 작성됐다. 또한 이메일 본문을 살펴보면 마침표를 안 쓰는 특성을 확인할 수 있다.

메일에 첨부된 파일인 ‘이지운.7z’에는 hwp 파일로 위장한 악성 실행파일이 들어 있으며, 두 파일 모두 긴 공백을 삽입하여 실행 파일(EXE)인 것을 속이려고 시도했다. ESRC는 조사 결과 공격자는 한국 휴대폰으로 한메일에 가입했으며, 한국 아이피(221[.]153.243.218)와 한메일을 발신지로 사용했다.

만일 입사 담당자가 해당 HWP 파일을 입사 지원서 파일로 착각해 실행할 경우, 소디노키비 랜섬웨어에 감염된다. 소디노키비 랜섬웨어는 피해자 PC의 바탕화면을 파란색 화면으로 변경시키고 각 폴더마다 랜섬노트를 생성한다. 랜섬노트에는 소디노키비 랜섬노트 특징인 ‘Welcome. Again’이라는 문구로 시작되는 것을 확인할 수 있다.

ESRC는 불분명한 사용자에게서 온 메일에 포함된 첨부파일 다운로드를 지양할 것을 당부하고, 아울러 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 달라고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)