이력서를 사칭하여 유포하는 방식은 LockBit 랜섬웨어의 대표적인 유포 경로이다. 이와 관련된 내용은 올해 2월 ASEC 블로그를 통해 공유된 바가 있으며,[1] 최근에는 LockBit 랜섬웨어만 유포되던 것과 다르게 정보 탈취형 악성코드를 포함하여 유포 중인 정황을 확인하였다.[2]
‘이력서16.egg’ 내부에는 PDF파일을 위장한 LockBit 랜섬웨어(좌)와 PPT파일을 위장한 Vidar 인포스틸러(우)가 존재하였다.
실행되는 랜섬웨어는 LockBit 3.0 버전으로 사용자 PC 환경의 PE 파일을 제외하고 파일을 암호화한다.
LockBit 랜섬웨어와 함께 유포되는 Vidar 인포스틸러는 C2 통신 이전에 텔레그램 웹 사이트에 접속한다. 해당 사이트는 “twowheelfun” 채널로 해당 페이지에 명시되어 있는 문자열을 C2 서버 주소로 활용한다. 이와 같은 방식은 Vidar 인포스틸러에서 자주 확인할 수 있는 방식으로 주기적인 C2 변경을 통해 네트워크 탐지를 우회할 수 있다.
이 후, 실제 C2 서버에 접속하여 악성 행위에 필요한 DLL 파일을 다운로드하고, 탈취한 정보를 C2 서버에 전달한다.
이력서로 위장한 악성코드는 기업들을 타겟으로 하여 LockBit 랜섬웨어 뿐만 아니라 정보 유출형 악성코드와 함께 유포되고 있다. 각 기업에서는 백신 최신 업데이트 뿐 아니라 사용자의 각별한 주의가 필요하다. 해당 악성코드에 대해 자사 V3에서는 아래와 같이 진단 중이다.
[파일 진단]
Trojan/Win.Generic.R613812
[행위 진단]
Ransom/MDP.Event.M4353
Win-Trojan/MalPeP.mexp
[IOC 정보]
0d4967353b6e48ab671aed24899827aa
92350da914ba55c3137c9a8a585f7750
hxxp://128.140.96[.]230
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보