본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

NH농협 보안담당자 메일로 위장한 소디노키비 랜섬웨어 주의!

보안공지 2019-06-21


NH농협은행 보안팀에서 보낸 메일처럼 위장한 피싱메일이 시중에 대량으로 유포되고 있어 사용자 여러분의 주의가 필요합니다.


피싱메일 분석한 결과, 리플라이 오퍼레이터 그룹에서 유포한 것으로 확인되었으며, 기존의 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등 공공기관에서 보낸 것처럼 사용자를 속이던 방식에서 최근에는 금융회사를 사칭해 랜섬웨어를 유포하는 방향을 선호하는 것으로 보입니다.


[그림 1] NH농협은행을 사칭한 피싱메일


시중에 유포되고 있는 피싱 메일은 NH농협 보안팀이 보낸 것으로 되어 있고 신뢰도를 높이기 위해 직원 이름 역시 사용하고 있습니다. 이 직원 이름은 실제 NH농협 보안팀 소속인지는 알 수 없으나 여러 직원 이름을 사용하고 있는 것으로 미루어보아 거짓 이름을 사용하고 있는 것으로 추정됩니다. 


피싱 메일 최상단에는 NH농협의 로고 이미지가 포함되어 있어 사용자로 하여금 실제 NH농협에서 보낸 것처럼 착각하도록 유도하며, 본문 내용에는 '2019. 5. 10일 고객님의 신규 개설 계좌가 대포통장으로 사용된 정황이 포착되어 고지드립니다.' 라는 내용이 작성되어 있습니다. 


또한 대포통장 개설을 통해 여러 차례에 걸쳐 큰 금액의 현금 거래가 이뤄졌다고 하면서 불법거래 의심 내역과 계좌 개설시 제출되었던 내용들을 확인하라며 사용자로 하여금 메일 첨부파일을 열어보도록 유도하고 있습니다.


만약, 사용자가 첨부 파일을 다운로드 및 클릭할 경우 Sodinokibi 랜섬웨어에 감염되게 되므로, 각별한 주의가 필요합니다.


금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.


알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.Sodinokibi'로 탐지중입니다.