본문 바로가기

악성코드 정보

국내 유포 중인 Gandcrab v5.1

안랩 ASEC은 2019년 1월 17일 국내 사용자를 대상으로 한 이력서로 가장하여 유포중인 Gandcrab v5.1을 발견하였다.

1월 16일까지는 이력서로 가장한 Gandcrab과 JS 스크립트를 통해 유포되는 Gandcrab은 모두 v5.0.4로 같았다. 

그러나 1월 17일부터 이력서를 통해 유포되는 Gandcrab 버전이 5.1로 변경되었다. (JS 스크립트를 통해 유포되는 GandCrab은 v5.0.4)


2018년 11월 15일 발견 된 이력서를 가장하여 유포중인 Gandcrab(http://asec.ahnlab.com/1178)과 달리, 첨부파일을 통해 랜섬웨어를 실행한다. 첨부파일에는 정상 이력서 문서 파일(*.doc)과 이미지 파일로 위장한 실행파일, 랜섬웨어를 실행하는 바로가기 파일(*.lnk) 이 존재한다.


공격자는 아래 [그림-1]과 같이 실제로 회사에 지원하는 이력서 형태로 보내 첨부파일을 열어보게끔 유도한다.

첨부된 파일을 열어보면 [그림-2] 처럼 문서파일, 이미지 파일, 바로가기 파일이 존재하지만 시스템에서 '알려진 확장자 숨김 ' 속성이 설정되어 있다면 정상 워드문서(*.doc) 2개와 정상 jpg이미지 파일로 착각하게 된다.


또한, 공격에 사용된 이메일 주소는 "GandCrab 랜섬웨어 유포에 사용되는 이메일 주소 (사전예방)" 제목으로 공개한 제작자가 등록한 메일주소로 확인되었다. (http://asec.ahnlab.com/1182)


- hometaxkorea1.com (2018-12-19)

- hometaxkorea2.com (2018-12-19)

- hometaxkorea3.com (2018-12-19)

- hometaxkorea4.com (2018-12-19)

- hometaxkorea5.com (2018-12-19)

- online-klantendienst.com (2018-12-21)

- klantendienst-online.com (2018-12-21)

- klantenservise.com (2018-12-21)

- starhaksa.com (2019-01-02)

- pusandesigncorp.com (2019-01-02)

- kwangjoodesigncorp.com (2019-01-02)

- doremidesigncorp.com (2019-01-02)

- damoadesign.com (2019-01-02)

au-29.com (2019-01-16)

- au-31.com (2019-01-16)

- au-38.com (2019-01-23)

- au-39.com (2019-01-23)

- sicherherheit.com (2019-01-24)

- sicherherheit.net (2019-01-24)

- sicherheits-netzwerk.com (2019-01-24)

- sicherheits-netzwerk.net (2019-01-24)

- kukjedesign.com (2019-01-25)

- freehaksa.com (2019-01-25)

- gildesigncorp.com (2019-01-25)

- dankookdesign.com (2019-01-25)

- chammaeul.com (2019-01-25)




[그림-1] 이메일 내용


[그림-2] 첨부파일


바로가기 파일이 실행되면 hidden속성으로 cmd.exe를 이용해 포트폴리오_윤지인.jpg가 실행되어 정상 문서파일이 열리고, Gandcrab 랜섬웨어가 동작하게 된다.

[그림-3] 1.지원서(윤지인).doc.lnk 바로가기 파일


[그림-4] 바로가기 명령어


만약 바로가기 파일을 먼저 보지 않고, 정상 문서파일과 JPG 이미지파일을 본다고 해도 이력서_윤지인.doc는 이력서 형식만 있을 뿐 내용이 없고, 포트폴리오_윤지인.jpg를 실행 시 정상적인 이미지 구조가 아니므로 사진을 열 수 없다고 나오기 때문에 결국엔 1.지원서(윤지인).doc(*.lnk) 파일을 클릭하게 될것으로 보인다.

[그림-5] 이력서_윤지인.doc 정상 문서 파일


[그림-6] 포트폴리오_윤지인.jpg 이미지 파일로 위장한 Gandcrab 실행파일


Gandcrab 버전은 v5.0.4에서 v5.1로 변경되었고, 감염이후 이용하는 C2주소도 kakaocorp.link(카카오 사칭 페이지)가 추가되었다.


[그림-7] Gandcrab v5.1 감염바탕화면


[그림-8] Gandcrab v5.1 랜섬노트


[그림-9] Gandcrab 내부버전 v5.1


[그림-10] kakao로 사칭한 사이트


현재 V3에서는 다음과 같이 진단하고 있다.


LNK - LNK/GandCrab.S1 (2019.01.16.06)

PE - Trojan/Win32.Gandcrab.C2932076 (2019.01.18.00)