이력서로 위장한 Makop 랜섬웨어 국내 유포 중

ASEC 분석팀은 최근 이력서로 위장한 Makop 랜섬웨어가 국내 사용자를 대상으로 유포 중임을 확인하였다. Makop 랜섬웨어는 작년부터 꾸준하게 변형되어 유포되던 악성코드로 ASEC 블로그를 통해 해당 내용을 소개해왔으며, 이전과 동일하게 NSIS (Nullsoft Scriptable Install System) 형태이다. 이력서로 위장한 방식은 기업들의 채용 기간에 맞춰 채용 담당자를 타겟으로 유포하는 것으로 보인다. 지난 상반기 채용 기간에 해당 랜섬웨어가 유포되었으며, 이번에도 하반기 채용 기간에 맞춰 유포된 것으로 추정된다.

현재 유포되고 있는 악성 메일 및 파일명은 아래와 같다. 메일 내 압축된 악성 파일을 첨부하고 있으며, 메일의 제목 및 첨부 파일명은 지원자의 이름으로 되어있다. 또한 유포되고 있는 파일명 중 비밀번호가 사용된 파일이 존재하는 것으로 보아 압축 비밀번호가 설정된 파일이 함께 유포되는 것으로 추정된다.

  • 유포 파일명
    \이민영(비번-210913)\이력서\이력서(뽑아주시면 항상 최선을 다하여 열심히하겠습니다).exe
    \박민지(비번-210913)\이력서2\이력서(뽑아주시면 항상 최선을 다하여 열심히하겠습니다).exe
    \이선영 지원서\이력서1\이력서(뽑아주시면 항상 최선을 다하여 열심히하겠습니다).exe
    \장성규\이력서3\이력서4\이력서(뽑아주시면 항상 최선을 다하여 열심히하겠습니다).exe
피싱 메일

첨부 파일은 압축된 형태(.zip) 로 압축 해제시, 특정 프로그램으로 압축된 파일(.alz) 이 존재하는 것을 확인 할 수 있다. 압축 파일 내부에 또 다른 압축 파일이 존재하는 형태로 악성 파일을 2중으로 압축하여 탐지를 우회하기 위한 것으로 추정된다.

2중으로 압축된 악성 파일

최종적으로 첨부 파일 내부에서 아래와 같이 파일 2개를 확인할 수 있다. 워드 아이콘으로 위장된 실행 파일(exe) 이 악성 행위를 수행하는 Makop 랜섬웨어이다.

첨부 파일 압축 해제

랜섬웨어 파일을 실행시 아래 명령어를 사용하여 볼륨 섀도우 복사본을 삭제하며, 실행 중인 문서 파일 등을 암호화하기 위해 실행 중인 관련 프로세스를 종료 후 암호화를 진행한다.

  • 볼륨 섀도우 삭제 명령어
    vssadmin delete shadows /all /quiet
    wbadmin delete catalog -quiet
    wmic shadowcopy delete
  • 종료 프로세스
    msftesql.exe sqlagent.exe sqlbrowser.exe sqlservr.exe sqlwriter.exe oracle.exe ocssd.exe dbsnmp.exe synctime.exe agntsrvc.exe mydesktopqos.exe isqlplussvc.exe xfssvccon.exe mydesktopservice.exe ocautoupds.exe encsvc.exe firefoxconfig.exe tbirdconfig.exe ocomm.exe mysqld.exe mysqld-nt.exe mysqld-opt.exe dbeng50.exe sqbcoreservice.exe excel.exe infopath.exe msaccess.exe mspub.exe onenote.exe outlook.exe powerpnt.exe steam.exe thebat.exe thebat64.exe thunderbird.exe visio.exe winword.exe wordpad.exe

암호화에서 제외되는 파일명 및 확장자는 아래와 같다.

  • 제외 확장자
    makop CARLOS shootlock shootlock2 1recoesufV8sv6g 1recocr8M4YJskJ7 btc KJHslgjkjdfg origami tomas RAGA zbw fireee XXX element HELP zes lockbit captcha gunga fair SOS Boss moloch vassago usagoo pecunia exe dll mammon gamigin marbas harmagedon hinduism sinister baseus
  • 제외 파일명
    boot.ini bootfont.bin ntldr ntdetect.com io.sys readme-warning.txt desktop.ini

암호화된 파일은 .[랜덤8자].[baseus0906@goat.si].baseus 확장자가 추가된다.

암호화된 파일

암호화가 완료된 폴더에는 readme-warning.txt 파일명의 랜섬노트가 생성되며, 추가로 C:\YOUR_FILES_ARE_ENCRYPTED 폴더를 생성하여 동일한 랜섬노트를 생성한다.

랜섬 노트 폴더
랜섬 노트

Makop 랜섬웨어는 이전부터 이력서로 위장한 형태로 꾸준히 유포되고 있어 사용자들의 각별한 주의가 필요하다. 또한 출처가 불분명한 메일의 첨부파일은 열람을 자제해야하며, 문서 파일 아이콘을 사용한 실행 파일의 경우 실행하지 않도록 주의해야 한다..

현재 V3 에서는 해당 악성코드를 다음과 같은 진단명으로 진단하고 있다.

[파일 진단]

  • Ransomware/Win.MAKOP.C4631800

[행위 진단]

  • Malware/MDP.Behavior.M3635


[IOC 정보]

  • 3d044acc234d0c4532e6a7eb694b8608
  • 996872f7782f5507e757c88f2b14bc13

 [기존 Makop 관련 블로그]

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,

5 2 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments