포스팅 내용

국내외 보안동향

Emotet 트로이목마, 새로운 모듈을 사용해 피해자의 이메일 훔치기 시작해

Emotet Trojan Begins Stealing Victim's Email Using New Module


Emotet 악성코드는 뱅킹 트로이목마나 다른 악성코드를 배포하는데 사용 되어왔지만, 6개월 전부터 사용자의 이메일을 훔치는 모듈을 추가해 더욱 기능이 다양해졌습니다.


예전에는 Emotet은 피해자의 이메일 주소만을 훔쳤지만, 이 새로운 버전은 데이터 탈취 및 기업 스파잉행위를 더욱 쉽도록 하는 기능을 추가했습니다. 또한 이 기능은 이미 악성코드에 감염 된 모든 시스템에 배포될 수 있습니다.


Kryptos Logic의 보안 연구원들은 Emotet의 이메일 수집 모듈을 분석한 결과, 이 모듈이 이메일의 제목과 내용까지 추출해낼 수 있는 기능으로 더욱 강화된 것을 발견했습니다.


연구원들은 금일 발행한 포스트에서 “이는 개인간 메시지의 루트폴더에 존재하는 모든 하위폴더의 모든 이메일을 크롤링합니다.”라고 말하며, 180일 내에 송/수신 된 모든 이메일을 대상으로 한다고 덧붙였습니다.


또한 연구원들은 이메일 내용의 16KB(또는 16384 문자)만 추출 되어 C&C 서버로 보내진다는 사실도 발견했습니다.


<이메일 내용의 16kb를 훔치는 Emotet의 모듈>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/emotet-trojan-begins-stealing-victims-email-using-new-module/>


연구원들은 공격자들이 왜 이렇게 많은 이메일들을 모두 훔치는 지는 알아내지 못했지만, 귀중한 정보를 얻기 위함일 것으로 추측하고 있습니다.


공격자는 이메일의 첨부 파일을 훔치지는 못하지만, 메시지 텍스트는 훔칠 수 있습니다. 게다가 이들은 원격 제어 기능을 통해 감염 된 컴퓨터에서 가치있어 보이는 모든 데이터들을 훔칠 수 있습니다.


<Emotet이 훔치는 이메일의 정보>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/emotet-trojan-begins-stealing-victims-email-using-new-module/>


공격자들은 Emotet을 배포하기 위해 스팸 캠페인을 활용하지만, 이 새로운 이메일 탈취 플러그인은 초기 페이로드에는 포함 되어있지 않습니다. 이 악성코드의 메인 컴포넌트는 Emotet의 C&C 서버로부터 이메일 모듈을 다운로드 해, 손상 된 컴퓨터에서 로컬로 활성화합니다.


<이미지 출처 : https://www.bleepingcomputer.com/news/security/emotet-trojan-begins-stealing-victims-email-using-new-module/>


이후 이메일들은 스캔 되어 내용은 임시 파일에 저장 됩니다. 작업을 완료하는데 300초가 주어진 후, 작업을 종료하고 모듈은 임시파일 전체를 읽습니다. 그리고 C&C 서버로 보내기 전 이 내용이 최소 116 바이트인지 확인합니다.


이 위협은 조직들에 더욱 위험합니다. 이메일에 타겟 공격을 준비할 수 있는 충분한 정보를 포함할 가능성이 높기 때문입니다. 지난 7월, US-CERT는 조직들에 Emotet의 기능에 대해 설명하며 “SLTT 정부들과 사기업 및 공공 부문에 영향을 미칠 수 있는 가장 비용이 많이 소모되며 파괴적인 악성코드 중 하나”라 말했습니다.


Emotet의 개발자들은 업계 상황을 빠르게 파악해 완화 기술을 적용하는 것으로 알려져 있습니다. 예를 들어, 2018년 7월 US-CERT가 Emotet에 대한 경고문을 발행하자, Emotet은 메일 필터를 우회하기 위해 하이잭 된 도메인에서 DKIM을 구현하기 시작했습니다.


Emotet 봇넷의 규모는 꽤 큽니다.


Emotet의 새로운 플로그인에 영향을 받을 사용자 수는 엄청납니다. Telltale 알림 서비스 데이터를 기반으로 한 추측 결과, 감염 수는 수 십만 건 이상일 것으로 나타났습니다.


감염 된 기기의 정확한 숫자를 알지는 못하지만, 고유한 IP주소만이 카운트 되었습니다. 하지만 여러 대의 컴퓨터가 동일한 IP 주소에 연결될 수 있으니 실제 숫자는 훨씬 많을 수 있습니다.


출처 :


티스토리 방명록 작성
name password homepage