• 스마트 파인더
    • Security Map
    • 견적 및 도입 문의
    • My Company
    • V3 Lite 다운로드
웹콘텐츠
위협 소식2022-09-27

입사지원서로 위장한 LockBit 랜섬웨어를 주의하세요!

안랩은 최근 새로운 버전의 LockBit 3.0 랜섬웨어가 유포중인 것을 확인했다. 해당 랜섬웨어는 지난 6월에는 저작권 사칭 메일로 다수 유포가 되었던 반면, 최근에는 입사지원 관련 피싱 메일로 포착되고 있다. 이번 글에서는 LockBit 랜섬웨어의 새로운 유포 방식을 알아본다.

 


 

​안랩은 지난 2월과 6월에 메일을 통해 유포되고 있는 LockBit 2.0 랜섬웨어에 대한 게시물을 ASEC 블로그에 게시한 바 있다. 최근 발견된 LockBit 3.0 랜섬웨어는 유사한 피싱 메일 형태의 입사지원 관련 내용으로 위장하였다.

 

• 저작권 사칭 메일을 통한 LockBit 랜섬웨어 유포 (2022년 6월 게시)

• 지원서 및 저작권 관련 메일로 LockBit 랜섬웨어 유포 중 (2022년 2월 게시)

 


[그림 1] 파일명에 비밀번호가 명시된 유포 메일

 


[그림 2] 본문에 비밀번호를 명시한 유포 메일

 

[그림 1]과 같이 첨부된 압축 파일명 자체에 압축 비밀번호가 명시된 경우가 있지만, [그림 2]처럼 압축 파일명이 아닌 메일 본문에 압축 비밀번호를 명시한 사례도 확인되었다. 후자의 경우 메일을 수신한 사용자만 이 압축을 해제하여 실행할 수 있다. 이는 압축 파일만으로는 내부의 파일을 알지 못하게 하여 백신 탐지를 우회하기 위한 것일 수 있고, 특정 메일 수신인을 타겟으로 유포하기 위함일 수도 있다.

 


[그림 3] 압축 파일 디렉토리 내부

 

[그림 3]과 같이 압축 파일 내부에는 alz로 한 번 더 압축된 파일이 존재한다. 이 압축 파일을 해제할 시, 한글 파일 아이콘으로 위장한 LockBit 3.0 랜섬웨어 실행 파일이 나타난다.

 

LockBit 3.0은 다음과 같이 다양한 파일명으로 유포되는데, 모두 일관적으로 입사지원서(이력서)로 위장한 것이 특징이다.

 

● 입사지원서_220919(경력사항도 같이 기재하였으니 확인부탁드립니다).exe

● _지원서_220919(경력사항도 같이 기재하였으니 확인부탁드립니다).exe

● 이력서 열심히 하겠습니다 잘 부탁드립니다 감사합니다.exe

● 입사 지원서_220907_열심히하겠습니다.exe

● 이 력 서.exe

 

해당 파일들은 NSIS(Nullsoft Scriptable Install System)형태로, 스크립트 기반의 설치 파일 형식이다. 압축 해제 시 ‘특정 숫자의 알 수 없는 형식 파일’과 ‘System.dll 정상 모듈’ 그리고 ‘[NSIS].nsi’가 확인된다.

 

● 특정 숫자의 알 수 없는 형식 파일 : 쉘코드 및 암호화 된 LockBit 3.0 PE 존재

● System.dll 정상 모듈 : nsis 구동을 위한 정상 모듈

● [NSIS].nsi : NSIS 실행을 위한 스크립트 파일로 해당 스크립트 기반으로 NSIS가 실행 됨

 

예시로 “이력서 열심히 하겠습니다 잘 부탁드립니다 감사합니다.exe”라는 파일명으로 유포된 파일을 분석 정보를 정리하면 아래와 같다.

앞서 언급한 것과 같이 이 NSIS 파일 내부에는 ‘특정 숫자 1213645181 파일’, ‘System.dll이 담긴 $PLUGINSDIR 폴더’ 및 ‘[NSIS].nsi 파일’이 존재한다([그림4] 참고). ‘[NSIS].nsi’ 스크립트를 기반으로 NSIS 실행 설치 파일이 구동되는데, 이 코드에 따라 ‘1213645181 파일’을 생성 후 읽어 복호화된 LockBit 3.0 PE를 자기 자신에 인젝션하여 동작한다.

 

먼저 [그림 4]처럼 nsi 스크립트의 코드 내용과 같이 쉘코드와 암호화된 LockBit 3.0이 존재하는 ‘1213645181 파일’을 %temp% 경로에 생성한다.

 


[그림 4] 인코딩된 데이터​를​ TEMP 경로에 생성한 모습

 

 

그 다음 [그림 5]와 같이 ‘1213645181 파일’의 특정 OFFSET에 있는 쉘코드를 실행한다. 이를 통해 내부 LockBit 3.0 실행파일을 복호화하고 자기 자신에게 인젝션한다.

 


[그림 5] 쉘코드 위치 확인

 

이렇게 LockBit 3.0에 감염되었을 시, 악성코드는 아래 보안 관련 서비스를 비활성화하도록 레지스트리 값을 수정한다.

 

● sppsvc : 소프트웨어 보호 서비스

● WinDefend : 윈도우디펜더 서비스

● wscsvc : 윈도우 보안 센터 서비스

● VSS : 볼륨쉐도우 복사 서비스

 

이후 사용자 시스템의 파일을 암호화한다. 암호화된 파일은 [그림 6]에서 볼 수 있듯이 파일명과 아이콘을 “기존파일명.[랜덤문자열]”로 변경한다. 이후 [그림 7]과 같이 랜섬노트를 생성하고 바탕화면 변경을 수행한다.

 

  

[그림 6] 암호화된 파일 예시

 


 [그림 7] 암호화 후 변경된 바탕화면

 

LockBit 3.0 랜섬웨어는 이력서로 위장한 메일로 유포되는 만큼 특히 기업들을 타겟으로 할 확률이 높다. 각 기업은 백신을 최신으로 업데이트하는 것뿐만 아니라 직원들이 스팸 메일을 열람하지 않도록 강력하게 권고해야 한다.

현재 V3는 해당 악성코드를 효과적으로 진단 중이다.

 

보다 자세한 내용은 ASEC 블로그를 통해 확인할 수 있다.

▶ASEC 블로그 바로가기

 

  • AhnLab
    콘텐츠기획팀
목록 보기

관련 콘텐츠

데모영상

[Demo] AhnLab AI PLUS - AI 에이전트가 수행하는 이벤트 및 영향도 분석

[Demo] AhnLab AI PLUS - AI 에이전트가 수행하는 이벤트 및 영향도 분석

데모영상

[Demo] AhnLab XDR – 실제 공격 시나리오 탐지 & 대응

[Demo] AhnLab XDR – 실제 공격 시나리오 탐지 & 대응

데모영상

[Demo] AhnLab TIP – AI를 활용한 Lazarus 공격 그룹 분석

[Demo] AhnLab TIP – AI를 활용한 Lazarus 공격 그룹 분석

데모영상

[Demo] AhnLab CPS PLUS – CPS 네트워크-엔드포인트 자산 가시성 확보

[Demo] AhnLab CPS PLUS – CPS 네트워크-엔드포인트 자산 가시성 확보

skip navigation
  • 메뉴
  • 본문
  • 하단 정보(링크)
  • 제품
    • AhnLab PLUS Platform
    • AhnLab Endpoint PLUS
      • 안티멀웨어
      • 엔드포인트 보호 플랫폼 (EPP)
      • 지능형 위협 대응
      • 엔드포인트 탐지 & 대응 (EDR)
      • 중소기업 보안
      • 모바일 보안
    • AhnLab Network PLUS
      • 차세대 방화벽 (ZTNA)
      • 차세대 방화벽
      • 디도스 방어
      • 네트워크 침입 방지 (IPS)
      • 지능형 위협 대응
      • 네트워크 위협 관리 (TMS)
    • AhnLab Cloud PLUS
      • 클라우드 워크로드 보안 (CWPP)
      • 클라우드 방화벽
      • 클라우드 IPS
      • 클라우드 네트워크 위협 관리
    • AhnLab Connect PLUS
      • 확장형 탐지 & 대응 (XDR)
      • 위협 인텔리전스 (TIP)
      • SOAR
    • AhnLab CPS PLUS
      • CPS 보안 통합 관리
      • OT 엔드포인트 보안
      • OT 가시성 및 위협 탐지
      • OT 휴대용 안티멀웨어
      • OT 방화벽
      • OT 일방향 데이터 전송
      • OT 지능형 위협 대응
      • IT 엔드포인트 보안
      • IT 안티멀웨어
      • CPS 위협 인텔리전스
    • AhnLab AI PLUS
    • 전체 제품 및 서비스
  • 서비스
    • AhnLab Service PLUS
      • 매니지드 탐지 & 대응 (MDR)
      • 보안관제
      • Professional Service
      • 디지털 포렌식
      • 클라우드 MSP
      • 정보보호컨설팅
      • 글로벌 파트너
    • 전체 제품 및 서비스
  • 솔루션
    • 랜섬웨어 보안
    • 하이브리드 클라우드 보안
    • 제로 트러스트
    • CPS 보안
    • SOC 고도화
    • 위협 탐지 & 대응 (TDR)
    • 디도스 방어
  • 구매
    • 견적 및 도입 문의
    • 스마트 파인더
    • 구매방식
    • 제품 정책
      • 소프트웨어
      • 네트워크
    • 전략 물자
    • 랜섬웨어 탐지 대응 통합 서비스 페이지 배너
  • 고객지원
    • 온라인 고객지원
      • 원격지원
      • 1:1상담
      • 전화상담 안내
      • FAQ
    • 기업 기술 교육
    • 위협정보 신고센터
    • 다운로드
    • 공지사항
  • 콘텐츠 센터
    • 콘텐츠 센터
      • 시큐리티 레터
      • 월간 安
    • ASEC
      • 위협정보
      • 위협 행위자 분류 체계
      • ASEC 보안권고문
      • ASEC 블로그
    • 하이라이트
      • 랜섬웨어 탐지·대응 통합 서비스
      • MITRE ATT&CK 평가 라운드 7
      • 안랩 창립 30주년
      • Frost Radar CPS 보안 리더
  • 파트너
my page
로그인회원가입
언어 선택

최근 검색어가 없습니다.

AhnLab

  • 회사소개
  • 투자정보
  • 채용정보
  • 사용권 약관
  • 개인정보처리방침
  • 이용약관
  • Contact Us
  • 사이트맵

기업정보

  • 대표이사 : 강석균
  • 사업자등록번호 : 214-81-83536
  • (우) 13493 경기도 성남시 분당구 판교역로 220
  • 통신판매신고번호 : 2012-경기성남-1189
  • 대표전화 : 031-722-8000
  • Fax : 031-722-8901
  • © AhnLab, Inc. All rights reserved.

News Letter

시큐리티 레터는 매주 놓쳐서는 안 될 보안 정보를,
월간 '安'은 매월 위협 분석과 보안 동향에 대한 깊이 있는 정보를 이메일로 보내드립니다.

뉴스레터 선택
뉴스레터
이용 동의
V3 엔진 버전OES : 2026.07.01.02SES : 2026.06.28.00
엔진 업데이트 바로가기
  • 카카오톡 채널 바로가기
  • 페이스북 바로가기
  • 링크드인 바로가기
  • 유튜브 바로가기