Nemty Ransomware 페이로드를 전달하기 위해 비밀스런 연인이 보낸 것처럼 위장한 이메일을 보내는 캠페인이 확인되었다.

해당 캠페인은 Malwarebytes와 X-Force IRIS 연구원들에 의해 확인되었으며 지속적인 이메일 스트림을 통해 악성 메시지를 배포하고 있다.

공격자는 이미 알고 있는 사람이 보낸 전자 메일로 위장하기 위하여 "Don't tell anyone", "I love you", "Letter for you", "Will be our secret", "Can't forget you."와 같은 제목을 사용하였다.

이 캠페인의 경우 ;)와 같은 이모티콘만 포함되어 있어 솔루션을 통해 사전 차단이 되지 않았으며, 메일에 첨부된 “LOVE_YOU_######_2020.zip”형태로 #의 내용만 바뀌어 유포되는 형태라고 X-Force IRIS 연구자들은 확인하였다.

첨부된 압축파일(아카이브)에 포함된 난독화된 LOVE_YOU.js라는 JavaScript파일은 다른 아카이브에서도 동일한 Hash를 가지며 현재 Virustotal에서 낮은 탐지율로 인해 보안 솔루션에 의해 사전 차단되기 어려운 상황이다. 이 JS파일을 통해 페이로드를 다운로드하여 실행되며 이를 통해 Nemty 랜섬웨어가 실행된다.

캠페인을 통해 감염되는 Nemty 랜섬웨어는 2019년 08월에 최초 발견되었으며 Shadowcopy를 모두 삭제하는 것으로 유명하며, 이후 Windows Service 및 Process를 종료하도록 코드를 추가한 것을 확인하였다. 2019년 10월 보안회사 Tesorion에서 nemty 1.4 및 1.6용 버전의 암호 해독기를 만들었으나 현재 캠페인의 nemty 랜섬웨어의 버전이 1.4와 1.6에 해당하는지는 확인하지 못하였다.

단순히 Nemty Ransomware뿐 아니라  Maze Ransomware와 Sodinokibi, BitPyLock가 동일한 전략을 사용하며 Ransomware를 통해 탈취한 개인정보를 유출하기 위해 블로그를 만들어 운영할 계획인 것을 확인하였다.

따라서 다음과 같은 캠페인을 통해 랜섬웨어가 감염되지 않았다고 해도 다른 방식의 악성코드가 설치되었을 수 있으며 개인정보 유출에 대해 유의해야 할 것으로 보인다.

현재 캠페인은 국내 이용자를 타겟으로 사용하기 어려운 제목들이지만, 한국어로 이용될 가능성 또한 배제할 수 없다. 또한 현재 코로나와 같은 관심을 끌 수 있는 제목을 이용한 방식 또한 이러한 캠페인과 비슷하다는 것을 인지하고 정상적이지 않은 메일과 첨부된 파일에 대한 주의를 기울이기 바란다.

[참조:https://www.bleepingcomputer.com/news/security/nemty-ransomware-actively-distributed-via-love-letter-spam/]

보안관제센터 Team MIR