공정거래위원회를 사칭한 Makop 랜섬웨어 유포 (2020.10.06)

ASEC 분석팀은 10월 6일 오전에 공정거래위원회를 사칭한 피싱 메일을 통해 Makop 랜섬웨어를 유포하고 있는 정황을 확인하였다. 기존 Makop 랜섬웨어는 포트폴리오, 이력서 등을 사칭하여 국내에 활발하게 유포되고 있었다. 아래의 [그림1],[그림2]와 같이 전자상거래 위반행위 조사통지서 내용의 그림을 본문 내용에 삽입 후 첨부된 압축파일을 열람하도록 유도하였다.

[그림1] 유포사례 (1)
[그림2] 유포사례(2)

Makop 랜섬웨어는 지난 블로그에서도 메일을 통해 활발히 유포 중이라고 공개한 바있다. 이번 유포 확인을 통해 여전히 공격자는 해당 랜섬웨어의 유포 방식으로 피싱 메일을 택하고 있음을 알 수 있다. (이전 블로그 : asec.ahnlab.com/1379)

메일에 첨부 된 ‘전산 및 비전산자료 보존 요청서.zip’ 압축 파일을 풀면 또 한번 .alz으로 압축된 압축파일이 존재하고 그 내부에 해쉬가 동일한 실행 파일(.exe)이 두개 존재한다. 각각의 파일명은 아래와 같으며 아이콘을 PDF 문서 파일처럼 위장하였다. 내부 실행 파일의 수정날짜를 볼 때, 10월 5일 새벽시간에 제작되어 유포된 것으로 추정된다.

[그림3] 압축 두번 풀린 후 확인 되는 랜섬웨어 실행 파일

해당 파일 실행 시 바로 시스템은 Makop 랜섬웨어에 감염되며 아래와 같이 정상 파일 뒤에 [일련번호], [공격자와 연락이 가능한 메일주소], [makop] 스트링을 붙이고 랜섬노트를 생성한다.

[그림4] 암호화 된 후 바뀐 파일명
[그림5] makop 랜섬웨어 랜섬노트

또한 기존에 알려진 것과 같이 실행파일을 RUN키에 등록하여 윈도우 시작시 자동 실행 될 수 있도록 하며 아래와 같은 명령을 사용한다.

  • vssadmin delete shadows /all /quiet
  • wbadmin delete catalog -quiet
  • wmic shadowcopy delete

끊이지 않는 피싱 공격으로 부터 안전하기 위해서는 사용자들의 주의가 매우 필요하다. 출처가 불분명한 메일의 열람은 지양해야한다.

[파일 진단]

  • Malware/Win32.Generic.C4204238 (2020.10.06.01)

[행위 진단]

  • Malware/MDP.Ransom.M1946
  • Malware/MDP.SystemManipulation.M2255

[관련 IOC 정보]

  • 85116531b426e4ed223723fc8808345f
0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments