입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어

ASEC 분석팀은 LockBit 2.0 랜섬웨어가 메일을 통해 유포되고 있음을 지난 2월, 6월에 걸쳐 블로그에 게시한 바 있는데, 새로운 버전의 LockBit 3.0 랜섬웨어가 유사 방식을 통해 여전히 다수 유포 중 임을 알리고자 한다. 지난 6월에는 저작권 사칭 메일로 다수 유포가 되었던 반면 최근에는 입사지원 관련으로 위장한 피싱 메일을 통해 유포 중이다.

• 저작권 사칭 메일을 통한 LockBit 랜섬웨어 유포 (2022년 6월 게시)
• 지원서 및 저작권 관련 메일로 LockBit 랜섬웨어 유포 중 (2022년 2월 게시)

위 메일 캡처와 같이 첨부된 압축 파일명 자체에 압축 비밀번호가 명시된 경우가 있지만, 압축 파일명에 명시하지 않고 메일 본문에 압축 비밀번호를 명시한 케이스도 확인되었다. 후자의 경우 메일을 수신한 사용자만 이 압축을 해제하여 실행 할 수 있다. 이는 압축 파일만으로는 내부의 파일을 알지 못하게 하여 백신 탐지를 우회하기 위함일 수도 있고, 특정 메일 수신인을 타겟으로 유포하기 위함 일 수 있다.

압축 파일 내부에는 alz으로 한번 더 압축된 파일이 존재하며 이 압축 파일 해제 시, 한글 파일 아이콘으로 위장한 LockBit 3.0 랜섬웨어 실행 파일이 존재한다.

다양한 파일명으로 유포되는 것이 확인되는데, 입사지원서(이력서)로 위장하는 일관성이 확인된다.

해당 LockBit 3.0 파일들은 NSIS(Nullsoft Scriptable Install System)형태로, 스크립트 기반의 설치 파일 형식이다. 압축 해제 시 ‘특정 숫자의 알 수 없는 형식 파일’과 ‘System.dll 정상 모듈’ 그리고 ‘[NSIS].nsi’가 확인된다.

“이력서 열심히 하겠습니다 잘 부탁드립니다 감사합니다.exe”라는 파일명으로 유포된 파일을 예시로 분석 정보를 정리하면 아래와 같다.

앞서 언급한 것과 같이 이 NSIS 파일 내부에는 [그림4]와 같이 ‘특정 숫자 1213645181 파일’, ‘System.dll이 담긴 $PLUGINSDIR 폴더’ 및 ‘[NSIS].nsi 파일’이 존재한다. ‘[NSIS].nsi’ 스크립트를 기반으로 NSIS 실행 설치 파일이 구동하게 되는데, 이 코드에 따라 ‘1213645181 파일’을 생성 후 읽어 복호화 된 LockBit 3.0 PE를 자기 자신에 인젝션하여 동작한다.

nsi 스크립트의 코드 내용과 같이 먼저, 쉘코드와 암호화 된 LockBit 3.0이 존재하는 ‘1213645181 파일’을 %temp% 경로에 생성한다.

그리고 ‘1213645181 파일’의 특정 OFFSET에 있는 쉘코드를 실행하여 내부 LockBit 3.0 실행파일을 복호화 및 자기 자신에 인젝션하여 실행한다.

이러한 LockBit 3.0에 감염 될 시 아래 보안 관련 서비스를 비활성화 되도록 레지스트리 값을 수정한다.

그리고 사용자 시스템의 파일을 암호화하며, 암호화 된 파일은 아래와 같이 “기존파일명.[랜덤문자열]”으로 파일명 변경 및 아이콘을 변경한다. 또한 랜섬노트 생성 및 바탕화면 변경을 수행한다.

이력서를 위장한 메일 내용으로 유포되는 만큼 특히, LockBit 3.0 랜섬웨어는 기업들을 타겟으로 할 확률이 높아보인다. 각 기업에서는 백신 최신 업데이트 뿐 아니라 직원들의 스팸 메일 열람이 이루어 지지 않도록 강격한 권고가 필요하다. 해당 악성코드에 대해 자사 V3에서는 아래와 같이 진단 중이다.

[파일 진단]

• Ransomware/Win.LockBit.C5226681 (2022.08.24.02)
• Ransomware/Win.LockBit.R521104 (2022.09.20.03)

[행위 진단]

• Ransom/MDP.Event.M4353

[IOC 정보]

• 2c0eeb266061631845a9e21156801afd
• ad1b5253f07584c0d0c2d3caaf38af34

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.