안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.
한동안 해외에서만 발견되고, 국내 보고가 소강상태 였던 일명 '이모텟(Emotet)' 악성파일이 7월 말 현재 다시 국내에 유입되고 있어 이용자 분들의 각별한 주의가 필요합니다.
주로 이메일의 첨부 파일과 본문의 URL 링크 클릭 방식으로 감염을 유도하고 있습니다.
알약 블로그에선 지난 1월 말 ▲'사용자 데이터 탈취 협박 메일로 유포중인 Emotet 악성코드 주의!', ▲'특정 통신사업자를 사칭한 피싱 메일로 Emotet 악성코드 유포중!' 등의 내용을 공개한 바 있습니다.
이번에 새롭게 발견된 유형도 기존이랑 큰 차이는 없습니다만, 이메일 본문 내용이 계속 변화되고 있으므로 조금이라도 의심스러운 이메일은 가급적 접근하지 않는 것이 바람직 합니다.
[그림 1] 실제 국내에 유입된 이모텟 악성 이메일 화면
이메일에는 영문 표현으로 첨부된 파일을 확인하도록 현혹하는 내용을 담고 있으며, 첨부된 DOC 워드 문서를 실행하면 악성 매크로 실행을 위해 [콘텐츠 사용] 버튼을 클릭 하도록 유도합니다.
[그림 2] 악성 워드 문서 실행 후 보여지는 화면
악성 문서에는 마치 오피스365 영문 안내 내용처럼 조작된 가짜 문구를 보여주고 자세한 문서 내용을 보기 위해 [콘텐츠 사용] 클릭을 하도록 유도하지만, 절대로 클릭을 해서는 안됩니다.
해당 버튼을 누를 경우 내부에 설정된 악성 매크로 코드가 작동하기 때문입니다.
그리고 해당 문서의 첫 화면에는 '러시아어' 언어가 설정된 모습을 볼 수 있어, 제작자가 러시아어 환경에서 제작했을 가능성을 예상해 볼 수 있습니다.
악성 매크로 코드는 특정 문자열을 반복 추가 삽입한 일종의 난독화 기술을 사용했습니다. 하기 반복 문자열을 제거하면 정상적인 Base64 인코딩된 코드와 함께 파워쉘 명령어가 조합됩니다.
[그림 3] 매크로 함수 화면
[반복 문자열]
$12387ghbqhjwg2781vbjkKKb2
[디코딩된 Base64 코드]
파워쉘 명령어를 통해 5개의 C2 주소로 접속을 시도하고 공격자의 추가 명령에 따라 다양한 악성파일에 노출될 수 있습니다.
[C2 서버 주소 리스트]
http://405.cd.gov[.]mn/cgi-bin/KbnY/
https://chiangmainightsafari[.]com/wp-admin/lrPiggcI/
https://www.4kbutsho[.]xyz/wp-admin/JuMrBKIrC/
https://jiohosting[.]xyz/cgi-bin/J8W6hn25692/
https://faq.lptrend[.]com/dbdmni/TPrr4sc6vcj597571/
추가로 다운로드 되는 악성파일 감염으로 인해 로컬 컴퓨터의 정보가 탈취되거나 여타 악성 행위가 진행될 수 있습니다.
따라서 이런 유사 위협에 피해를 입지 않도록 MS 워드 문서가 첨부된 이메일 중에 [콘텐츠 사용] 버튼 클릭을 유도할 경우 십중팔구 악성 파일이라는 점을 명심하여야 합니다.
이스트시큐리티 알약(ALYac) 백신 프로그램에서는 국내외에서 발견되는 최신 이모텟 악성파일 탐지 및 치료 기능을 지속적으로 추가하고 있으므로 항상 최신 버전으로 업데이트를 유지하고, 실시간 감시 기능 등을 활성화하는 것이 좋습니다.
※ 관련글 보기
▶ 아디다스 쇼핑몰 '아디클럽' 사칭 메일 주의 (2019.12.10)
▶ 급증하고 있는 이모텟(Emotet) 악성코드 주의! (2019.12.05)
▶수상한 이메일을 통해 유포 중인 이모텟(Emotet) 악성코드 주의! (2019.11.19)
▶악성 이메일을 통해 계속적으로 유포되고 있는 이모텟(Emotet) 악성코드 주의! (2019.10.01)
▶구매 송장 메일로 위장해 사용자 정보를 노리는 악성코드 주의!! (2019.02.27)
▶악성 매크로가 포함된 수수료 관련 악성 메일 주의! (2018.12.07)
캡차인증를 이용하는 피싱 메일 주의!! (2) | 2020.07.27 |
---|---|
[스페셜 리포트] 미국 MS가 고소한 탈륨 그룹, 대한민국 상대로 '페이크 스트라이커' APT 캠페인 위협 고조 (0) | 2020.07.25 |
ESRC Email 위협 통계 (7월 셋째주) (0) | 2020.07.22 |
'전쟁과여성인권박물관' 등을 사칭한 악성 이메일 유포 주의 (0) | 2020.07.19 |
Trojan.Android.Zitmo 악성코드 분석 보고서 (0) | 2020.07.17 |
댓글 영역