ASEC 분석팀은 10월 6일 오전에 공정거래위원회를 사칭한 피싱 메일을 통해 Makop 랜섬웨어를 유포하고 있는 정황을 확인하였다. 기존 Makop 랜섬웨어는 포트폴리오, 이력서 등을 사칭하여 국내에 활발하게 유포되고 있었다. 아래의 [그림1],[그림2]와 같이 전자상거래 위반행위 조사통지서 내용의 그림을 본문 내용에 삽입 후 첨부된 압축파일을 열람하도록 유도하였다.
Makop 랜섬웨어는 지난 블로그에서도 메일을 통해 활발히 유포 중이라고 공개한 바있다. 이번 유포 확인을 통해 여전히 공격자는 해당 랜섬웨어의 유포 방식으로 피싱 메일을 택하고 있음을 알 수 있다. (이전 블로그 : asec.ahnlab.com/1379)
메일에 첨부 된 ‘전산 및 비전산자료 보존 요청서.zip’ 압축 파일을 풀면 또 한번 .alz으로 압축된 압축파일이 존재하고 그 내부에 해쉬가 동일한 실행 파일(.exe)이 두개 존재한다. 각각의 파일명은 아래와 같으며 아이콘을 PDF 문서 파일처럼 위장하였다. 내부 실행 파일의 수정날짜를 볼 때, 10월 5일 새벽시간에 제작되어 유포된 것으로 추정된다.
해당 파일 실행 시 바로 시스템은 Makop 랜섬웨어에 감염되며 아래와 같이 정상 파일 뒤에 [일련번호], [공격자와 연락이 가능한 메일주소], [makop] 스트링을 붙이고 랜섬노트를 생성한다.
또한 기존에 알려진 것과 같이 실행파일을 RUN키에 등록하여 윈도우 시작시 자동 실행 될 수 있도록 하며 아래와 같은 명령을 사용한다.
- vssadmin delete shadows /all /quiet
- wbadmin delete catalog -quiet
- wmic shadowcopy delete
끊이지 않는 피싱 공격으로 부터 안전하기 위해서는 사용자들의 주의가 매우 필요하다. 출처가 불분명한 메일의 열람은 지양해야한다.
[파일 진단]
- Malware/Win32.Generic.C4204238 (2020.10.06.01)
[행위 진단]
- Malware/MDP.Ransom.M1946
- Malware/MDP.SystemManipulation.M2255
[관련 IOC 정보]
- 85116531b426e4ed223723fc8808345f
Categories:악성코드 정보