상세 컨텐츠

본문 제목

Emotet 봇넷, QakBot 악성코드 배포해

국내외 보안동향

by 알약(Alyac) 2020. 7. 22. 10:08

본문

Emotet botnet is now heavily spreading QakBot malware


Emotet 봇넷을 추적 중인 연구원들이 오랫동안 배포되어온 TrickBot 페이로드를 제치고 매우 빠른 속도로 QakBot 뱅킹 트로이목마를 푸시하기 시작했다고 밝혔습니다.


지난주, Emotet이 5개월의 공백 끝에 다시 활동을 시작했습니다. 7월 20일부터 시작된 악성 스팸 작전은 해킹된 윈도우 시스템에 다시 TrickBot을 설치하기 시작했습니다.


하지만 금일 연구원들은 Emotet이 QakBot을 드롭하고 있다는 사실을 발견되어 상황이 달라졌습니다. 악성코드 내 문자열은 이 트로이목마가 Emotet 봇넷의 파트너임을 나타내고 있었습니다.


연구원 그룹 및 시스템 관리자들은 Emotet 작전과의 싸움을 위해 ‘Cryptolaemus’라는 이름으로 모였습니다. 이들은 공격자들이 모든 TrickBot epoch 배포를 변경했다고 밝혔습니다.


Emotet epoch는 봇넷의 서브 그룹으로 별도의 인프라에서 실행됩니다. 현재 이들 중 3개가 별도 C&C 서버 및 배포 방식, 페이로드를 사용하고 있습니다.


Cryptolaemus는 BleepingComputer 측에 QakBot이 Emotet 봇넷을 통해 배포되고 있으며 TrickBot은 완전히 제거된 상태였다고 밝혔습니다.


보안 연구원인 Bom은 QakBot(QBot) 악성코드 샘플을 발견해 Any.Run 분석 툴에 게시했습니다. 결과는 여기에서 확인하실 수 있습니다. C&C 서버 주소 목록은 여기에서 확인하실 수 있습니다.

 


<이미지 출처: https://twitter.com/bomccss/status/1285562763767504901>



사이버 범죄 인텔리전스 회사인 intel 471은 QBot 캠페인을 식별하는 문자열은 “partner01”이며, Emotet과 QBot 공격자들 사이에 많은 연결고리가 있음을 나타낸다고 밝혔습니다.



<이미지 출처: https://twitter.com/Cryptolaemus1/status/1285579090234400769>



하지만 Emotet과 TrickBot이 협업을 중단한 것으로 추측하기에는 이릅니다. 이 운영자 둘 사이는 배타적이지 않기 때문입니다. 


Cryptolaemus는 전달된 페이로드에 대한 변화는 과거에도 발생했으며, 이 둘이 활동을 계속할 것으로 추측된다고 밝혔습니다.


하지만 이러한 상황이 흔히 발생하는 것은 아닙니다. 예를 들어, Emotet은 작년에 QakBot을 배포하는 것이 발견된 적이 있습니다.


TrickBot과 QakBot은 Emotet의 고객으로 알려져 있습니다. 이 공격 그룹 3곳 모두 러시아어를 구사하는 동일한 커뮤니티의 일원으로 오랫동안 교류해 왔습니다.


감염된 기기에 QakBot이 드롭되는지는 확실하지 않지만, 일부 피해자들은 ProLock과 같은 랜섬웨어에 감염될 가능성도 있는 것으로 나타났습니다.


Emotet 캠페인에 사용된 IoC 및 C2 주소는 Cryptolaemus의 트위터를 통해 업데이트될 예정입니다.


페이로드는 다르지만, Emotet은 악성코드를 배포하기 위해 악성 문서를 첨부한 이메일을 여전히 사용합니다.


현재 알약에서는 해당 악성코드 샘플에 대해 'Trojan.Agent.QakBot'으로 탐지 중에 있습니다.





출처:

https://www.bleepingcomputer.com/news/security/emotet-botnet-is-now-heavily-spreading-qakbot-malware/

관련글 더보기

댓글 영역