급증하고 있는 이모텟(Emotet) 악성코드 주의!

안녕하세요

이스트시큐리티 시큐리티대응센터(ESRC) 입니다.

최근 피싱 메일을 통해 이모텟(Emotet) 악성코드가 대량으로 유포되고 있습니다.

이모텟(Emotet) 악성코드는 금융정보를 탈취하기 위한 악성코드로 2014년 처음 발견되었습니다. Emotet 악성코드는 주로 이메일을 통해 유포되며 자가복제, 사용자 정보탈취, 다운로더 등 다양한 악성 행위를 수행합니다.

이번에 유포된 이모텟(Emotet)은 업무 지원요청, 청구서, 견적서 등 다양한 형태의 피싱메일로 유포되었으며, 이는 기존에 유포되었던 방식과 매우 유사합니다. 

이모텟(Emotet) 악성코드는 올해 초 이메일을 통해 유포되었다가 잠시 휴식기를 가졌으며, 최근 9월달부터 12월 현재까지 꾸준히 유포되고 있습니다. 특히 11월달부터는 유입이 큰 폭으로 증가하여 10월 대비 300% 이상 증가하였습니다. 

※ 관련글 보기

▶수상한 이메일을 통해 유포 중인 이모텟(Emotet) 악성코드 주의! (2019.11.19)

▶악성 이메일을 통해 계속적으로 유포되고 있는 이모텟(Emotet) 악성코드 주의! (2019.10.01)

▶구매 송장 메일로 위장해 사용자 정보를 노리는 악성코드 주의!! (2019.02.27)

▶악성 매크로가 포함된 수수료 관련 악성 메일 주의! (2018.12.07)

[그림1] 피싱 메일

이모텟(Emotet) 악성코드를 유포하는 조직은 매우 유창한 한글을 구사능력으로 사용자들을 현혹하며, 주로 기업의 그룹메일을 공격타겟으로 하고 있습니다.

[그림2] 악성 매크로가 포함된 워드 파일

이모텟을 유포한 피싱 메일에는 워드 파일이 첨부되어 있으며, 이 워드파일 내에는 분석을 어렵게 하려는 쓰레기 코드와 함께 파워쉘을 실행하는 코드가 포함되어 있습니다. 

만약 사용자가 피싱 메일에 포함되어 있던 첨부파일을 열어 매크로 기능을 활성화 한다면, 악성 파일에 포함되어 있던 파워쉘 코드가 실행되며, 다음 C&C 서버에 접속하여 이모텟(Emotet) 악성코드를 내려받게 됩니다. 

https://******od.id/web/2cxr0-ubz56oa-05736736/

https://*****.asia/wp-content/plugins/jv-effect/js/OUUtTo/

http://******.co.th/wp-admin/images/7htrk8i8-y1v55-25/

http://re*****oapp.com/zdub/2fhaq65af-n96zm950-863/

http://ch****a.com/wp-content/PTVDKC/

이모텟(Emotet) 악성코드는 'C:\Users\사용자이름' 경로에 105.exe이라는 이름으로 생성되며, 자동으로 실행되게 됩니다. 

[그림3] 매크로가 실행되어 자동으로 내려받아 진 이모텟 악성코드

이렇게 실행된 이모텟(Emotet) 악성코드는 사용자 PC에 자가복제 및 자동실행 등록을 하며, 로컬 PC정보탈취, 추가악성코드 다운로드 등의 악성행위를 합니다. 

현재 알약에서는 해당 악성코드에 대하여  Trojan.Downloader.DOC.Gen, Trojan.Agent.Emotet으로 탐지중에 있으며, 관련된 자세한 IoC 정보는 쓰렛인사이드(ThreatInside)에서 확인하실 수 있습니다. 

이모텟(Emotet) 악성코드를 유포하는 피싱 메일이 급격히 증가하고 있는 만큼, 기업 보안담당자들의 각별한 주의가 필요한 시점입니다.