AhnLab SEcurity intelligence Center(ASEC)에서는 저작권 침해 경고/이력서 위장 내용을 활용한 랜섬웨어/인포스틸러 악성코드에 대해 지속적으로 소개해왔다.
- [주의] 이력서와 공정거래위원회를 사칭한 악성코드 유포 [1]
- 이력서/저작권 관련 메일로 유포중인 악성코드 (랜섬웨어, 인포스틸러) [2]
- 저작권 위반 관련 내용으로 유포되는 Makop 랜섬웨어 [3]
- 이력서로 위장한 Makop 랜섬웨어 국내 유포 중 [4]
- 지원서 및 저작권 관련 메일로 LockBit 랜섬웨어 유포 중 [5]
- 저작권 사칭 메일을 통한 LockBit 랜섬웨어 유포 [6]
- LockBit 랜섬웨어 유사 파일명 형태로 대량 유포 중 [7]
- LockBit 2.0 랜섬웨어 이력서 위장으로 지속 유포 중 [8]
- 이력서를 사칭하여 유포되는 LockBit 랜섬웨어와 Vidar InfoStealer [9]
최근 저작권 침해에 대한 경고 내용을 바탕으로 새로운 악성코드의 유포가 확인되어 소개하고자 한다.
1. 개요
이메일의 본문 내용은 기존과 크게 다르지 않지만, 악성코드를 전달하는 방식의 변화가 확인되었다. 기존에는 이메일에 암호를 설정한 압축 파일을 첨부하였으나, 이메일 내에 외부 링크를 기입하여 다운로드를 유도하는 방식으로 변경되었다.
본문 내 ‘저작권 위반내용 확인하기’ 의 하이퍼링크를 클릭하면 압축 파일이 다운로드 된다. 압축 파일에 별도 암호는 설정되어있지 않으나 최초로 다운로드 되는 압축 파일(Lee eu***_240423.zip) 내부에 ‘저작권관련 내용정리.alz’ 의 알집 압축파일이 추가로 존재한다.
위의 Figure 3.은 해당 파일이 다운로드 되는 페이지의 웹소스를 나타낸 것인데, Base64 인코딩된 문자열 데이터를 디코딩하는 것에 atob 함수를 이용하였고, 해당 데이터를 압축파일 포맷으로 사용자 PC에 저장한다. 분석 과정에서 동일한 압축 파일이 다운로드 되는 웹페이지들을 추가로 확보하였으며, 해당 페이지의 웹소스 포맷은 모두 동일하다. Figure 1.과 동일한 포맷의 피싱 메일을 통해 악성코드가 유포되는 정황이 확인된 것이다.
해당 웹페이지에서 다운로드 된 압축 파일에는 별도의 암호가 설정되어있지 않으나, 내부에 alz 포맷의 압축 파일이 추가로 존재한다. 압축 옵션 설정에 따른 안티바이러스 제품의 탐지를 우회하려는 시도로 판단된다.
최종적으로 압축 해제 시 한글/Excel 아이콘을 가진 2개의 실행파일을 확인할 수 있다. 두 개의 실행파일은 각각 인포스틸러 유형의 Vidar 악성코드와 Beast 랜섬웨어로 확인되었다.
- 저작권 침해 관련 내용정리_240423 꼭 확인하시고 조치부탁드립니다1.exe (Excel 아이콘, Vidar Infostealer)
- 저작권 침해 관련 내용정리_240423 꼭 확인하시고 조치부탁드립니다.exe (한글 아이콘, Beast Ransomware)
2개의 실행파일을 함께 유포한 사례로는, 동일한 해쉬를 가진 파일의 이름을 다르게 제작하여 함께 첨부한 경우도 있고 이번 경우처럼 랜섬웨어&인포스틸러를 함께 첨부하여 유포한 사례도 다수 있었다. 이는 저작권 침해 관련 내용 뿐만 아니라, LockBit 랜섬웨어 유포에 매우 빈번하게 사용되는 이력서 위장 내용 피싱 메일에서도 빈번하게 확인된 바 있다. 어떠한 파일을 실행하더라도 사용자 PC에서 악성 행위가 수행되도록 의도한 것으로 보여진다.
2. Beast 랜섬웨어
Beast 랜섬웨어는, Monster 랜섬웨어를 제작 및 유포한 공격그룹이 Monster 랜섬웨어보다 좀 더 진화한 버전의 랜섬웨어로 제작한 것으로 알려져있다. 분석 과정에서 감염 결과에 따른 두 가지 종류의 Beast 랜섬웨어를 확보할 수 있었는데, 하나는 원본파일을 암호화하여 랜섬노트와 함께 압축을 한 뒤 파일 확장자 뒤에 ‘[피해 시스템 ID].BEAST.zip’ 을 추가하는 것이고(Figure 6.), 다른 하나는 ‘[피해 시스템 ID].BEAST’를 추가하는 것이다.(Figure 7.)
하지만 Figure 7. 에서 확인되는 바와 같이 원본 파일을 암호화 한 뒤 압축 포맷으로 변경하지 않는 유형이었지만, 랜섬노트에는 아래 문구와 같이 압축 포맷으로 변경했음을 암시하는 내용이 기재되어있다. Figure 7. 의 Beast 랜섬웨어는 제작 과정에서 의도치 않게 압축을 수행하지 못한 것으로 판단된다.
- “If you found this document in a zip, do not modify the contents of that archive!“
또한 해당 랜섬웨어는 활성화된 SMB 포트를 스캔하는데, 이는 감염 시스템에서 연결 가능한 공유 폴더를 검색하여 연쇄적인 네트워크 확산 감염을 의도한 것으로 판단된다.
3. Vidar 인포스틸러
Beast 랜섬웨어와 함께 유포된 다른 한 개의 파일(Excel 아이콘)은, 사용자 정보를 유출하는 기능을 갖는 인포스틸러 유형의 Vidar 악성코드로 확인되었다. Vidar 악성코드는 정보 탈취 행위를 수행하기 전에 C2 서버에 접속하여 명령을 전달 받고, 추가적으로 여러 DLL파일들을 다운로드하여 사용자의 정보를 수집하는 특징이 있다.
일반적인 인포스틸러 악성코드들과는 달리, 정보 유출 대상을 웹브라우저나 이메일 클라이언트 등에 대한 사용자 계정 정보만을 대상으로 한정하지는 않으며, 웹 브라우저의 경우 쿠키, AutoFill, 신용카드 번호와 같은 다양한 정보들과 사용자 PC에 존재하는 파일들까지 탈취 대상이 될 수 있다.
Figure 8. 에서 확인되는 바와 같이, Vidar 악성코드는 C2 서버와의 통신에서 공개 플랫폼인 Telegram과 Steam Community를 활용한다. 해당 페이지에서 식별 문자열을 검색하여 C2주소를 찾아 통신하는 것인데, 이를 참고하여 실제 C2 서버에 접속하여 수집한 정보를 탈취한다. 만약 보안제품에 의해 기존 C2가 차단되더라도 새로운 C2 서버를 개설하여 내용만 수정하면 되기 때문에, 네트워크 탐지를 우회하기 위한 목적으로 이러한 방식을 사용한다.
4. 결론
공격자가 시스템을 감염 시킨 후 파일의 복호화 몸값으로 제시하는 금액은 모두 터무니없이 큰 금액일 뿐더러, 해당 금액을 지불한다고 해서 피해 시스템의 데이터가 복구되거나 원하는 요청이 받아들여진다는 보장은 없다. 따라서, 의심스러운 파일은 아예 실행하지 않는 것이 중요하다.
이력서 사칭/저작권 위반 내용을 활용한 랜섬웨어는, 이번 사례처럼 내부 악성코드를 변경하거나 유포 방식을 변경해가며 지속적으로 유포되고 있기에 사용자들의 각별한 주의가 필요하다. 또한, V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
[파일 진단]
Ransomware/Win.Generic.R646126 (2024.04.24.02)
[행위 진단]
Ransom/MDP.Decoy.M1171
[IOC]
78cee04912b214f3436e3fed0c8a120f
bbda482f1ecce55c24e1a444c03da58e
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보