Home > 전체기사
연이은 갠드크랩 랜섬웨어 공격! 이번엔 한국은행 사칭했다
  |  입력 : 2019-02-27 14:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
어눌한 한국어를 사용하는 ‘갠드크랩 랜섬웨어’ 공격조직...확인된 공격만 벌써 4번째

[보안뉴스 원병철 기자] 지난 2월 20일경부터 어눌한 한국어를 사용하는 공격조직이 갠드크랩 랜섬웨어로 국내 사용자들을 연이어 공격하고 있는 가운데, 27일 새벽에는 우리나라 국책은행인 ‘한국은행’을 사칭한 이메일 공격을 시작해 관계기관 및 보안업체 관계자들이 촉각을 곤두세우고 있다. 마치 예전 구글 번역기를 사용한 듯 한 어눌한 한국어 사용은 여전하다.

▲한국은행을 사칭한 갠드크랩 랜섬웨어 첨부 이메일[자료=ESRC]


이스트시큐리티 시큐리티대응센터(ESRC)는 최근 △경찰청 소환장 △지마켓 할인쿠폰 △헌법재판소 소환장 등의 이메일로 사칭해 랜섬웨어를 한국에 집중 유포하던 조직이 27일 새벽 △한국은행을 사칭한 공격을 시작했다고 밝혔다. 아울러 이들 조직은 기존 ‘비너스락커 랜섬웨어 유포 조직’과는 확연히 구분되고 있는 상태라고 강조했다. 2월 27일 헌법재판소 사칭 관련 내용도 수정된 버전이 유포되고 있는데, 이메일 제목에 ‘헌법재판소 마지막 경고’란 표현을 담고 있다.

이런 가운데 2월 27일 추가로 발견된 악성 이메일은 한국은행을 사칭하고 있으며, 기존 악성 이메일들과 동일하게 갠드크랩 랜섬웨어가 첨부된 압축파일을 포함하고 있다. ESRC는 이번 악성 이메일도 역시 개인 사용자보다는 국내 중소기업의 임직원들을 타깃으로 유포됐으며, 실제 한국은행 CI를 사용해 사용자들을 속이려고 노력했지만, 기존 메일처럼 어색한 한글로 작성되어 있다고 설명했다.

▲악성 이메일 발신 도메인 정보[자료=ESRC]


또한, 해당 공격에 있어 특이할 만한 사항은 일반적인 이메일 계정 형식인 ‘xxx@xxx.com’이 아닌 ‘xxx.xxx’의 형태를 사용했다는 점이다. ESRC는 분석 결과, 코드 상에는 ‘koreasecurity.top@koreasecurity.top’ 형태로 작성되어 있지만, 이메일 발신자 주소가 보이는 부분에서 공격자가 임의로 설정을 바꿔 ‘koreasecurity.top’ 까지만 보이는 것으로 확인됐다고 밝혔다.

이번 이메일의 발신지는 러시아로 확인됐는데, 공격 패턴에 따라 네덜란드, 미국 등 다른 국가도 목격되고 있다. 압축파일 안에는 pdf 파일을 위장한 exe 파일이 포함되어 있고, 표현이 부자연스러운 제목의 PDF로 위장한 악성파일이 존재한다.

▲악성 첨부파일[자료=ESRC]


만약 사용자가 첨부되어 있는 exe 파일을 pdf 파일로 간주, 실행한다면 갠드크랩 5.2에 감염된다. 해당 조직은 shanghaipolice.top, policeshanghai.top 등 koreasecurity.top과 유사한 도메인으로 이미 국내에 갠드크랩 랜섬웨어가 포함된 악성 이메일을 유포한 적이 있다.

최근 대량의 악성 이메일을 통해 갠드크랩을 유포하고 있는 조직은, 기존 국내에 갠드크랩을 유포하던 비너스락커 조직과는 다른 특징을 보이고 있어 이스트시큐리티에서는 최근 공격의 배후가 새로운 조직일 것으로 추정하고 있다. 아울러 현재 알약에서는 해당 악성코드에 대해 ‘Trojan.Ransom.GandCrab’으로 탐지 중이라고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)