자사에서는 금주 동안 악성 문서가 첨부된 메일을 통해 Hermes v2.1과 GandCrab v4 랜섬웨어를 유포 중임을 확인하였다. 문서는 비밀번호를 필요로 하며, 해당 비밀번호는 아래와 같이 메일에 명시 되어있다.
[그림1] – 악성 문서가 첨부 된 메일
비밀번호 입력 후 문서가 열리면 매크로를 활성화 하라는 내용을 확인 할 수 있다.
[그림2] – 암호 입력을 필요로 하는 악성 문서
[그림3] – 매크로 활성화 유도하는 문서 내용
매크로가 활성화되면 특정 네트워크에 접속하여 랜섬웨어를 다운로드 후 실행한다.
|
다운로드 URL |
http://2*5.**5.*1*.*2/default.exe |
|
파일 저장 경로 및 이름 |
%temp%\qwerty2.exe |
[표 1] – 랜섬웨어 유포 주소 및 저장 경로명
흥미로운 점은 7월 4일까지는 해당 URL에서 Hermes v2.1을 유포하는 반면, 오늘인 7월 5일에는 동일 URL에서 GandCrab v4를 유포 중이다. 따라서 해당 문서 실행 시 어제까지는 Hermes v.2.1이 다운로드 되서 실행 된 반면 오늘은 GandCrab v4에 감염 될 수 있다. 또한 두 종류의 랜섬웨어는 동일한 파일 설명, 제품 이름 및 중국어를 언어로 사용하는 등의 유사한 버전 정보를 사용하고 있다.
[그림 4] – 유사 버전 정보 (좌 : GandCrab v4, 우 : Hermes v2.1)
위의 내용과 같이 동일한 URL에서 유포되고 버전 정보가 매우 유사한 점으로 보아 두 랜섬웨어의 제작자가 동일 할 것으로 추정된다.
해당 문서는 아래와 같은 파일명으로서 이력서로 위장하여 유포되므로 첨부 파일로 전송 받은 문서 실행 시 주의가 필요하다.
|
유포 중인 문서 이름 일부 |
|
Danial’s Resume.doc Maire’s Resume.doc Fiona’s Resume.doc Alissa's Resume.doc |
[표 2] – 유포 중 문서 이름 일부
안랩 제품에서는 위와 같은 문서 및 랜섬웨어를 아래와 같이 진단하고 있다.
|
문서 |
파일 진단명 |
W97M/Downloader (2018.06.30.00) |
|
랜섬웨어 실행파일 |
파일 진단명 |
Trojan/Win32.Hermesran (2018.06.30.00) Trojan/Win32.Gandcrab (2018.07.05.05) |
|
행위 진단명 |
Malware/MDP.Ransom.M1171 |
[표 3] – 진단명
'악성코드 정보' 카테고리의 다른 글
| VB6 외형으로 유포 중인 헤르메스 랜섬웨어 v2.1 (0) | 2018.07.10 |
|---|---|
| 파워쉘 스크립트를 이용한 GandCrab 랜섬웨어의 유포 (Fileless) (0) | 2018.07.06 |
| 음란물과 함께 유포되는 GoBot2 악성코드 주의 (0) | 2018.06.21 |
| GrandSoft 익스플로잇 킷을 통한 갠드크랩 랜섬웨어 유포 (0) | 2018.06.20 |
| Fileless 형태 매그니베르 랜섬웨어 인젝션 대상(불특정 프로세스) 변경 (0) | 2018.06.11 |
댓글