11월 15일(목) 국내 사용자를 대상으로 입사 지원서를 가장한 갠드크랩 랜섬웨어 유포 시도가 확인되었다. 이메일을 통해 유포되고 있으며, 첨부파일이 아닌 외부 링크를 통해 *.DOC 형식의 문서를 다운로드 받도록 유도한다. 다운로드 받은 워드 문서파일에 포함된 악성 매크로 코드에 의해 갠드크랩 랜섬웨어가 다운로드 및 실행되는 구조이다. 아래의 [그림-1]은 11월 15일에 유포된 이메일의 내용이며, 이력서 다운로드 클릭 시 "donghakacademy.ddns.net/KIMJYONG.doc" 파일을 다운로드 받는다.




[그림-1] 이메일 내용


메일을 보낸사람은 "kimjyoong1121@soojawonpicture.com"으로 되어있으며, 실제 서비스되는 도메인이 아닌 것으로 확인되었다. 아래의 [그림-2]에서 처럼 11월 10일에 동일인에 의해 등록된 아래의 도메인들이 유사한 공격에 사용될 것으로 추정된다.

- https://domainbigdata.com/gmail.com/mj/AizKbe0W3X_QZVcjg5-C9Q (출처)


공격자가 사용할 것으로 추정되는 발신자 메일주소 도메인 리스트

- samkookinformation.com

- soojawonpicture.com

- noliteomoyeo.com

- haneuldongyang.com

- hangeulnaraman.com

- servicegoogletech.com


[그림-2] 공격에 사용된 도메인



V3 제품에서는 11월 15일자에 아래와 같이 탐지한 이력이 확인되었다.



지원서를 가장하여 유포되는 방식은 지속적으로 이용되고 있는 사회공학적 공격방식으로 출처가 불분명한 사람에게서 수신한 메일의 첨부파일은 실행 전 주의가 필요하며, 백신 프로그램을 최신으로 업데이트하는 작업이 필요하다.



[Update - 2018.11.19]


11월 19일자에도 예상했던 발신자 주소 (samkookinformation.com)로 부터 유사한 공격시도가 확인되었으며, 이번에는 실행파일 형태로 다운로드되는 구조이다.



그 외에도 아래의 이름으로도 유포된 이력이 확인되어 사용자 주의가 필요하다.


- 출석 요구서(작성후 출석시 지참요망).exe

- 박혜윤_이력서(181119)열심히하겠습니다.exe

- 경력증명서_양식.exe

- rix_폰트.exe

- 2018_달력.exe

- 카운터스트라이크_소스.exe

- 최신_영화_사이트.exe

- 폰허브_영상.exe

- 스팀_속도_빠르게.exe



Posted by 분석팀