세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
연이은 갠드크랩 랜섬웨어 공격! 이번엔 한국은행 사칭했다
  |  입력 : 2019-02-27 14:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
어눌한 한국어를 사용하는 ‘갠드크랩 랜섬웨어’ 공격조직...확인된 공격만 벌써 4번째

[보안뉴스 원병철 기자] 지난 2월 20일경부터 어눌한 한국어를 사용하는 공격조직이 갠드크랩 랜섬웨어로 국내 사용자들을 연이어 공격하고 있는 가운데, 27일 새벽에는 우리나라 국책은행인 ‘한국은행’을 사칭한 이메일 공격을 시작해 관계기관 및 보안업체 관계자들이 촉각을 곤두세우고 있다. 마치 예전 구글 번역기를 사용한 듯 한 어눌한 한국어 사용은 여전하다.

▲한국은행을 사칭한 갠드크랩 랜섬웨어 첨부 이메일[자료=ESRC]


이스트시큐리티 시큐리티대응센터(ESRC)는 최근 △경찰청 소환장 △지마켓 할인쿠폰 △헌법재판소 소환장 등의 이메일로 사칭해 랜섬웨어를 한국에 집중 유포하던 조직이 27일 새벽 △한국은행을 사칭한 공격을 시작했다고 밝혔다. 아울러 이들 조직은 기존 ‘비너스락커 랜섬웨어 유포 조직’과는 확연히 구분되고 있는 상태라고 강조했다. 2월 27일 헌법재판소 사칭 관련 내용도 수정된 버전이 유포되고 있는데, 이메일 제목에 ‘헌법재판소 마지막 경고’란 표현을 담고 있다.

이런 가운데 2월 27일 추가로 발견된 악성 이메일은 한국은행을 사칭하고 있으며, 기존 악성 이메일들과 동일하게 갠드크랩 랜섬웨어가 첨부된 압축파일을 포함하고 있다. ESRC는 이번 악성 이메일도 역시 개인 사용자보다는 국내 중소기업의 임직원들을 타깃으로 유포됐으며, 실제 한국은행 CI를 사용해 사용자들을 속이려고 노력했지만, 기존 메일처럼 어색한 한글로 작성되어 있다고 설명했다.

▲악성 이메일 발신 도메인 정보[자료=ESRC]


또한, 해당 공격에 있어 특이할 만한 사항은 일반적인 이메일 계정 형식인 ‘xxx@xxx.com’이 아닌 ‘xxx.xxx’의 형태를 사용했다는 점이다. ESRC는 분석 결과, 코드 상에는 ‘koreasecurity.top@koreasecurity.top’ 형태로 작성되어 있지만, 이메일 발신자 주소가 보이는 부분에서 공격자가 임의로 설정을 바꿔 ‘koreasecurity.top’ 까지만 보이는 것으로 확인됐다고 밝혔다.

이번 이메일의 발신지는 러시아로 확인됐는데, 공격 패턴에 따라 네덜란드, 미국 등 다른 국가도 목격되고 있다. 압축파일 안에는 pdf 파일을 위장한 exe 파일이 포함되어 있고, 표현이 부자연스러운 제목의 PDF로 위장한 악성파일이 존재한다.

▲악성 첨부파일[자료=ESRC]


만약 사용자가 첨부되어 있는 exe 파일을 pdf 파일로 간주, 실행한다면 갠드크랩 5.2에 감염된다. 해당 조직은 shanghaipolice.top, policeshanghai.top 등 koreasecurity.top과 유사한 도메인으로 이미 국내에 갠드크랩 랜섬웨어가 포함된 악성 이메일을 유포한 적이 있다.

최근 대량의 악성 이메일을 통해 갠드크랩을 유포하고 있는 조직은, 기존 국내에 갠드크랩을 유포하던 비너스락커 조직과는 다른 특징을 보이고 있어 이스트시큐리티에서는 최근 공격의 배후가 새로운 조직일 것으로 추정하고 있다. 아울러 현재 알약에서는 해당 악성코드에 대해 ‘Trojan.Ransom.GandCrab’으로 탐지 중이라고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)