비너스락커 조직(betman 토토) 기존보다 진화된 형태로 Sodinokibi 랜섬웨어 유포중!

2019년 8월 12일betman 토토(betman 토토)조직이 입사지원서를 사칭한 악성 메일을 betman 토토하고 있는 정황이 확인되어 이용자들의 각별한 주의를 당부드립니다.

비너스락커 betman 토토은 과거에는 구글 지메일이나 실제 호스팅을 구축해서 메일을 보냈는데, 최근에는 KT 등 한국 아이피에서 발송하고 있습니다.

[그림 1] 입사지원서'로 위장한 악성 메일

이번에 발견된 악성 메일은 8/5일 발견된 입사지원서 사칭 메일과 비슷한 내용으로 유창한 한글 표기법으로 작성되었으며, 실제 입사지원서 메일 제목 양식처럼 "회사명_직무(이름)"으로 작성되었습니다.

이메일 본문을 살펴보면 마침표를 안 쓰는 특성을 확인할수 있습니다. 또한 메일에 첨부된 압축 betman 토토은 7z으로 압축된 것이 특징입니다.

해당 메일을 받은 사용자가 입사지원서 betman 토토로 착각해 해당 압축betman 토토을 해제하면, PDF betman 토토로 위장한 악성 실행betman 토토이 들어 있으며, 두 betman 토토 모두 긴 공백을 삽입하여 실행 betman 토토(EXE)인 것을 속이려고 시도하였습니다.

[그림 2] PDF, HWP 문서로위장한 악성 실행 betman 토토

만일 입사 담당자가 해당 PDF, HWP 문서파일을 입사 지원서 파일로 착각해 실행할 경우, 특정 C2 서버를 통해 Sodinokibi 랜섬웨어를 다운로드하고 실행하여 피해자 시스템의 주요 파일들을 암호화합니다.

또한 발견된 betman 토토명을 살펴보면 '-복사본.exe'이라는 betman 토토명이 붙여진 것을 확인하실 수 있습니다.

이는 공격자가 한국어 Windows 운영체제를 쓰고 있다고 추측할 수 있다는 점입니다.

주목할만한 부분은 기존까진 이메일에 소디노키비 betman 토토를 직접 첨부해 유포했다면, 이번에 발견된 악성코드의 경우 먼저 브라우저에 저장된 쿠키값과암호화폐 지갑 관련 정보를 수집하는 기능을 수행하고, Sodinokibi betman 토토를 추가로 설치한다는 점입니다.이를 근거로 ESRC에서는 이번에 발견된 공격이 betman 토토 조금 더 진화된 형태를 보이고 있다고 판단하고 있습니다.

또한, 해외 C2 서버에 한국어 버전의 베리즈웹쉐어(BerryzWebShare) betman 토토 공유 서버가 구축된 것이 확인되었는데이 서버 내에는 '이명박 이력서.doc.bat' betman 토토 등이 발견되었습니다.

[그림 3] 한국어 버전 베리즈웹쉐어로 betman 토토서버를 구축한 공격자 C2서버

해당 파일에는 파워쉘 명령을 통해 페이스트빈(Pastebin) 호스트를 C2 서버로 악용해 소디노키비 betman 토토를 유포하려는 시도도 추가 발견되었습니다.

[그림 4] 페이스트빈 호스트를C2 서버로 악용한 화면

이 베리즈웹쉐어 서버가 2018년 말 비너스락커 조직이 갠드크랩 betman 토토에 활용했던 방식이라는 점에서 동일 조직의 유사성을 보여줍니다.

더불어 최근 betman 토토되는 비너스락커 조직의 연관성을 비교해 보면 다음과 같습니다.

[그림 5] 비너스락커 조직이 betman 토토한 이메일 비교 화면

ESRC에서는 새로운 공격 방식이 발견된 만큼,앞으로 다운로더를 활용한 위협 벡터에 대해 면밀히 관찰할 예정입니다.

불분명한 사용자에게서 온 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다.

금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서도 확인하실 수 있습니다.

알약에서는 해당 betman 토토에 대해 'Trojan.Ransom.betman 토토'로 탐지 중입니다.