비너스락커(VenusLocker) 혹은 모방조직, zipx 압축파일 형식을 이용하여 LockBit 3.0 랜섬웨어 유포중!

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

국내에 꾸준히 랜섬웨어를 유포중인 비너스락커(VenusLocker)조직(혹은 비너스락커 조직을 모방하는 조직)이 LockBit 랜섬웨어의 유포방식을 변경하였습니다. 

 

[그림 1] 입사지원서를 위장하여 유포중인 피싱 메일

 

이번에도 역시 입사지원서를 위장한 이메일을 통해 유포하고 있으나, 기존과 다르게 .zipx 형태의 압축파일을 첨부한 것이 특징입니다.

zipx 파일 포멧은 WinZip에서 개발한 ZIP 포맷의 확장 형식으로, 압축해제를 지원하는 프로그램이 적습니다. 

압축해제를 지원하는 프로그램이 적은 형태를 사용한 것은, 보안 프로그램의 탐지를 우회하고자 시도한 것으로 추정됩니다. 

만일 사용자가 사용하는 압축해제 프로그램이 zipx 압축해제를 지원하는 파일이라면 일반 .zip 파일처럼 더블클릭만으로 압축해제가 가능합니다. 

압축파일 내부에는 워드파일 아이콘을 위장한 악성 .exe 파일과 지원서 파일명 .jpg 파일을 위장한 정상 dll 파일이 포함되어 있습니다. 

 

[그림 2] 압축파일 내 첨부되어 있는 파일

사용자가 .exe 파일을 워드파일로 오인하여 실행하면 LockBit 3.0 랜섬웨어가 실행되며 사용자 PC내 파일들이 암호화 됩니다. 

 

[그림 3] 감염 후 바탕화면 및 랜섬노트

 

 

LockBit 3.0 랜섬웨어는 22년 7월 초에 새로 등장한 버전으로, 8월 초 국내에서도 유포중인 정확이 확인되었습니다. 

 

최근 다양한 형태로 랜섬웨어들이 많이 유포되고 있는 만큼, 사용자 여러분들께서는 수상한 파일 실행 전 반드시 확장자를 확인하시고, 중요 파일에 대해서는 주기적인 백업을 진행하시기를 바랍니다. 

 

현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.LockBit로 탐지중에며, 유포 상황에 대해서도 지속적인 모니터링을 진행중에 있습니다.