입사지원서 사칭한 갠드크랩 랜섬웨어, 11월 15일부터 이메일 통해 유포
MS 오피스 문서파일의 악성 매크로 기능 통해 전파...콘텐츠 사용 클릭 주의
이스트시큐리티, 비너스락커 랜섬웨어 유포 조직이 이번 공격에 가담 확인

[보안뉴스 김경애 기자] 입사지원서를 사칭한 랜섬웨어가 2018년 11월 15일부터 이메일을 통해 급속히 유포되고 있어 이용자들의 각별한 주의가 필요하다.


이번 입사지원서를 사칭한 악성메일은 한국에 뿌려지고 있으며, 유포된 악성파일은 갠드크랩(GandCrab) 랜섬웨어 v5.0.4 변종으로 분석됐다. 특히, 마이크로소프트 오피스 문서파일(.DOC)의 악성 매크로 기능을 통해 다량 전파되고 있다.

이와 관련 이스트시큐리티는 “해당 위협그룹은 기존 비너스락커(VenusLocker) 랜섬웨어 조직으로 확인됐으며, 이들 조직은 과거 DOC 취약점을 이용해 랜섬웨어를 유포한 이력도 갖고 있다”며, “갠드크랩 랜섬웨어는 러시아에서 제작되어 Ransomware-as-a-Service (RaaS) 형태로 글로벌 사이버 범죄자들에게 판매되고 있는 것으로 알려져 있다”고 밝혔다.

특히, 악성파일은 특정 한국인의 개인정보가 포함된 워드 문서파일로 위장했으며, 워드파일 버전의 차이로 내용이 정상적으로 보여지지 않는 것처럼 조작한 후, ‘콘텐츠 사용’ 보안경고창을 띄워 클릭하도록 유도하고 있다.

만약, ‘콘텐츠 사용’ 보안경고창을 클릭할 경우 악성 매크로 코드가 작동하며, 특정 서버로 접속해 갠드크랩 랜섬웨어 변종을 설치하는 과정을 수행한다.


해당 서버는 동적 DNS 주소로 구성되어 있으며, 명령제어(C&C) 용도로 사용된 서버에서 변종 악성코드가 추가로 발견됐다.

한편, 변종 워드파일의 매크로 실행 유도용 이미지 화면에는 기존과 다른 형태가 발견되기도 했다. 하나는 ‘콘텐츠 사용, 편집 사용’이고, 다른 하나는 ‘콘텐츠 사용’이다. 이런 정황으로 보아 공격자가 직접 이미지 편집까지 수행한 것으로 판단된다.

이스트시큐리티 ESRC는 “악성 DOC 문서를 분석한 결과, 공격자는 코드 페이지가 한국어(949) 기반인 상태에서 제작했고, 2018년 11월 15일 오전에 악성파일을 제작함과 동시에 한국에 다량 유포를 수행하고 있어 각별한 주의가 필요하다”고 당부했다.

악성 DOC 문서에는 VBA 매크로 코드가 포함되어 있으며, 내부 분석을 방해하기 위해 함수들이 대부분 난독화되어 있다. 매크로 코드가 작동하게 되면, 명령제어(C&C) 서버로 통신을 시도하고 갠드크랩(GandCrab) 랜섬웨어 5.0.4 변종이 다운로드된다.

최종적으로 설치된 EXE가 실행되면 갠드크랩 랜섬웨어에 감염되어 바탕화면이 변경되고, 컴퓨터에 보관되어 있던 주요 데이터들이 모두 암호화된다. 그리고 랜섬노트 ‘CRRILRPP-DECRYPT.txt’ 파일이 다수의 경로에 생성된다. ‘CRRILRPP-DECRYPT.txt’ 랜섬노트 파일에는 암호화된 파일들을 복호화하기 위한 설명이 포함돼 있다. 랜섬노트를 통해 토르(Tor) 사이트로 접속하면, 대시(DASH)와 비트코인(Bitcoin) 요구 화면을 보게 된다.

이스트시큐리티 ESRC는 “갠드크랩 랜섬웨어는 한국에서 가장 활발하게 유포되고 있는 랜섬웨어 종류 중에 하나”라며 “기존 비너스락커(VenusLocker) 랜섬웨어 유포 조직이 이번 공격에 가담한 것으로 확인했다.

한국 맞춤형으로 랜섬웨어 공격이 끊임없이 발생하고 있다는 점에서 개인 보안(최신 업데이트 유지) 및 자료 보관(분리 백업)이 더욱 요구되고 있다. 특히, 이스트시큐리티 ESRC는 DOC 등의 문서파일 실행시 ‘콘텐츠 사용’ 보안 경고창이 나타날 경우 절대 실행하지 않도록 주의를 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>