비너스락커 조직(토토 커뮤니티) 기존보다 진화된 형태로 Sodinokibi 랜섬웨어 유포중!

2019년 8월 12일토토 커뮤니티(토토 커뮤니티)조직이 입사지원서를 사칭한 악성 메일을 토토 커뮤니티하고 있는 정황이 확인되어 이용자들의 각별한 주의를 당부드립니다.

비너스락커 토토 커뮤니티은 과거에는 구글 지메일이나 실제 호스팅을 구축해서 메일을 보냈는데, 최근에는 KT 등 한국 아이피에서 발송하고 있습니다.

[그림 1] 입사지원서'로 위장한 악성 메일

이번에 발견된 악성 메일은 8/5일 발견된 입사지원서 사칭 메일과 비슷한 내용으로 유창한 한글 표기법으로 작성되었으며, 실제 입사지원서 메일 제목 양식처럼 "회사명_직무(이름)"으로 작성되었습니다.

이메일 본문을 살펴보면 마침표를 안 쓰는 특성을 확인할수 있습니다. 또한 메일에 첨부된 압축 토토 커뮤니티은 7z으로 압축된 것이 특징입니다.

해당 메일을 받은 사용자가 입사지원서 토토 커뮤니티로 착각해 해당 압축토토 커뮤니티을 해제하면, PDF 토토 커뮤니티로 위장한 악성 실행토토 커뮤니티이 들어 있으며, 두 토토 커뮤니티 모두 긴 공백을 삽입하여 실행 토토 커뮤니티(EXE)인 것을 속이려고 시도하였습니다.

[그림 2] PDF, HWP 문서로위장한 악성 실행 토토 커뮤니티

만일 입사 담당자가 해당 PDF, HWP 문서파일을 입사 지원서 파일로 착각해 실행할 경우, 특정 C2 서버를 통해 Sodinokibi 랜섬웨어를 다운로드하고 실행하여 피해자 시스템의 주요 파일들을 암호화합니다.

또한 발견된 토토 커뮤니티명을 살펴보면 '-복사본.exe'이라는 토토 커뮤니티명이 붙여진 것을 확인하실 수 있습니다.

이는 공격자가 한국어 Windows 운영체제를 쓰고 있다고 추측할 수 있다는 점입니다.

주목할만한 부분은 기존까진 이메일에 소디노키비 토토 커뮤니티를 직접 첨부해 유포했다면, 이번에 발견된 악성코드의 경우 먼저 브라우저에 저장된 쿠키값과암호화폐 지갑 관련 정보를 수집하는 기능을 수행하고, Sodinokibi 토토 커뮤니티를 추가로 설치한다는 점입니다.이를 근거로 ESRC에서는 이번에 발견된 공격이 토토 커뮤니티 조금 더 진화된 형태를 보이고 있다고 판단하고 있습니다.

또한, 해외 C2 서버에 한국어 버전의 베리즈웹쉐어(BerryzWebShare) 토토 커뮤니티 공유 서버가 구축된 것이 확인되었는데이 서버 내에는 '이명박 이력서.doc.bat' 토토 커뮤니티 등이 발견되었습니다.

[그림 3] 한국어 버전 베리즈웹쉐어로 토토 커뮤니티서버를 구축한 공격자 C2서버

해당 파일에는 파워쉘 명령을 통해 페이스트빈(Pastebin) 호스트를 C2 서버로 악용해 소디노키비 토토 커뮤니티를 유포하려는 시도도 추가 발견되었습니다.

[그림 4] 페이스트빈 호스트를C2 서버로 악용한 화면

이 베리즈웹쉐어 서버가 2018년 말 비너스락커 조직이 갠드크랩 토토 커뮤니티에 활용했던 방식이라는 점에서 동일 조직의 유사성을 보여줍니다.

더불어 최근 토토 커뮤니티되는 비너스락커 조직의 연관성을 비교해 보면 다음과 같습니다.

[그림 5] 비너스락커 조직이 토토 커뮤니티한 이메일 비교 화면

ESRC에서는 새로운 공격 방식이 발견된 만큼,앞으로 다운로더를 활용한 위협 벡터에 대해 면밀히 관찰할 예정입니다.

불분명한 사용자에게서 온 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다.

금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서도 확인하실 수 있습니다.

알약에서는 해당 토토 커뮤니티에 대해 'Trojan.Ransom.토토 커뮤니티'로 탐지 중입니다.