입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어

ASEC 분석팀은 LockBit 2.0 랜섬웨어가 메일을 통해 유포되고 있음을 지난 2월, 6월에 걸쳐 블로그에 게시한 바 있는데, 새로운 버전의 LockBit 3.0 랜섬웨어가 유사 방식을 통해 여전히 다수 유포 중 임을 알리고자 한다. 지난 6월에는 저작권 사칭 메일로 다수 유포가 되었던 반면 최근에는 입사지원 관련으로 위장한 피싱 메일을 통해 유포 중이다.

[그림1] 유포 메일 1
[그림2] 유포 메일 2

위 메일 캡처와 같이 첨부된 압축 파일명 자체에 압축 비밀번호가 명시된 경우가 있지만, 압축 파일명에 명시하지 않고 메일 본문에 압축 비밀번호를 명시한 케이스도 확인되었다. 후자의 경우 메일을 수신한 사용자만 이 압축을 해제하여 실행 할 수 있다. 이는 압축 파일만으로는 내부의 파일을 알지 못하게 하여 백신 탐지를 우회하기 위함일 수도 있고, 특정 메일 수신인을 타겟으로 유포하기 위함 일 수 있다.

압축 파일 내부에는 alz으로 한번 더 압축된 파일이 존재하며 이 압축 파일 해제 시, 한글 파일 아이콘으로 위장한 LockBit 3.0 랜섬웨어 실행 파일이 존재한다.

[그림3] 압축 파일 디렉토리 내부

다양한 파일명으로 유포되는 것이 확인되는데, 입사지원서(이력서)로 위장하는 일관성이 확인된다.

입사지원서_220919(경력사항도 같이 기재하였으니 확인부탁드립니다).exe
_지원서_220919(경력사항도 같이 기재하였으니 확인부탁드립니다).exe
이력서 열심히 하겠습니다 잘 부탁드립니다 감사합니다.exe
입사 지원서_220907_열심히하겠습니다.exe
이 력 서.exe

해당 LockBit 3.0 파일들은 NSIS(Nullsoft Scriptable Install System)형태로, 스크립트 기반의 설치 파일 형식이다. 압축 해제 시 ‘특정 숫자의 알 수 없는 형식 파일’과 ‘System.dll 정상 모듈’ 그리고 ‘[NSIS].nsi’가 확인된다.

특정 숫자의 알 수 없는 형식 파일 : 쉘코드 및 암호화 된 LockBit 3.0 PE 존재
System.dll 정상 모듈 : nsis 구동을 위한 정상 모듈
[NSIS].nsi : NSIS 실행을 위한 스크립트 파일로 해당 스크립트 기반으로 NSIS가 실행 됨

“이력서 열심히 하겠습니다 잘 부탁드립니다 감사합니다.exe”라는 파일명으로 유포된 파일을 예시로 분석 정보를 정리하면 아래와 같다.

앞서 언급한 것과 같이 이 NSIS 파일 내부에는 [그림4]와 같이 ‘특정 숫자 1213645181 파일’, ‘System.dll이 담긴 $PLUGINSDIR 폴더’ 및 ‘[NSIS].nsi 파일’이 존재한다. ‘[NSIS].nsi’ 스크립트를 기반으로 NSIS 실행 설치 파일이 구동하게 되는데, 이 코드에 따라 ‘1213645181 파일’을 생성 후 읽어 복호화 된 LockBit 3.0 PE를 자기 자신에 인젝션하여 동작한다.

nsi 스크립트의 코드 내용과 같이 먼저, 쉘코드와 암호화 된 LockBit 3.0이 존재하는 ‘1213645181 파일’을 %temp% 경로에 생성한다.

[그림4] TEMP 경로에 생성하는 인코딩 된 데이터 (1213645181 파일)

그리고 ‘1213645181 파일’의 특정 OFFSET에 있는 쉘코드를 실행하여 내부 LockBit 3.0 실행파일을 복호화 및 자기 자신에 인젝션하여 실행한다.

[그림5] 쉘코드 위치 확인

이러한 LockBit 3.0에 감염 될 시 아래 보안 관련 서비스를 비활성화 되도록 레지스트리 값을 수정한다.

● sppsvc : 소프트웨어 보호 서비스
● WinDefend : 윈도우디펜더 서비스
● wscsvc : 윈도우 보안 센터 서비스
● VSS : 볼륨쉐도우 복사 서비스

그리고 사용자 시스템의 파일을 암호화하며, 암호화 된 파일은 아래와 같이 “기존파일명.[랜덤문자열]”으로 파일명 변경 및 아이콘을 변경한다. 또한 랜섬노트 생성 및 바탕화면 변경을 수행한다.

[그림6] 암호화 된 파일 예시
[그림7] 암호화 후 변경 된 바탕화면

이력서를 위장한 메일 내용으로 유포되는 만큼 특히, LockBit 3.0 랜섬웨어는 기업들을 타겟으로 할 확률이 높아보인다. 각 기업에서는 백신 최신 업데이트 뿐 아니라 직원들의 스팸 메일 열람이 이루어 지지 않도록 강격한 권고가 필요하다. 해당 악성코드에 대해 자사 V3에서는 아래와 같이 진단 중이다.

[파일 진단]

  • Ransomware/Win.LockBit.C5226681
  • Ransomware/Win.LockBit.R521104

[행위 진단]

  • Ransom/MDP.Event.M4353

[IOC 정보]

  • 2c0eeb266061631845a9e21156801afd
  • ad1b5253f07584c0d0c2d3caaf38af34

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
guest
1 댓글
Inline Feedbacks
View all comments
trackback

[…] 분석팀은 9/23 공유한 <입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어>가 워드 문서 형태로 유포되고 있는 것을 확인하였다. 정확한 유포 […]