포스팅 내용

악성코드 분석 리포트

한동안 국내 발견이 없었던 이모텟(Emotet) 악성파일 7월 말 다시 공격 증가




안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.


한동안 해외에서만 발견되고, 국내 보고가 소강상태 였던 일명 '이모텟(Emotet)' 악성파일이 7월 말 현재 다시 국내에 유입되고 있어 이용자 분들의 각별한 주의가 필요합니다.


주로 이메일의 첨부 파일과 본문의 URL 링크 클릭 방식으로 감염을 유도하고 있습니다.


알약 블로그에선 지난 1월 말 ▲'사용자 데이터 탈취 협박 메일로 유포중인 Emotet 악성코드 주의!', ▲'특정 통신사업자를 사칭한 피싱 메일로 Emotet 악성코드 유포중!' 등의 내용을 공개한 바 있습니다.


이번에 새롭게 발견된 유형도 기존이랑 큰 차이는 없습니다만, 이메일 본문 내용이 계속 변화되고 있으므로 조금이라도 의심스러운 이메일은 가급적 접근하지 않는 것이 바람직 합니다.



[그림 1] 실제 국내에 유입된 이모텟 악성 이메일 화면


 

이메일에는 영문 표현으로 첨부된 파일을 확인하도록 현혹하는 내용을 담고 있으며, 첨부된 DOC 워드 문서를 실행하면 악성 매크로 실행을 위해 [콘텐츠 사용] 버튼을 클릭 하도록 유도합니다.



[그림 2] 악성 워드 문서 실행 후 보여지는 화면



악성 문서에는 마치 오피스365 영문 안내 내용처럼 조작된 가짜 문구를 보여주고 자세한 문서 내용을 보기 위해 [콘텐츠 사용] 클릭을 하도록 유도하지만, 절대로 클릭을 해서는 안됩니다.


해당 버튼을 누를 경우 내부에 설정된 악성 매크로 코드가 작동하기 때문입니다.


그리고 해당 문서의 첫 화면에는 '러시아어' 언어가 설정된 모습을 볼 수 있어, 제작자가 러시아어 환경에서 제작했을 가능성을 예상해 볼 수 있습니다.


악성 매크로 코드는 특정 문자열을 반복 추가 삽입한 일종의 난독화 기술을 사용했습니다. 하기 반복 문자열을 제거하면 정상적인 Base64 인코딩된 코드와 함께 파워쉘 명령어가 조합됩니다.



[그림 3] 매크로 함수 화면



[반복 문자열]

$12387ghbqhjwg2781vbjkKKb2



[디코딩된 Base64 코드]



파워쉘 명령어를 통해 5개의 C2 주소로 접속을 시도하고 공격자의 추가 명령에 따라 다양한 악성파일에 노출될 수 있습니다.



[C2 서버 주소 리스트]

http://405.cd.gov[.]mn/cgi-bin/KbnY/

https://chiangmainightsafari[.]com/wp-admin/lrPiggcI/

https://www.4kbutsho[.]xyz/wp-admin/JuMrBKIrC/

https://jiohosting[.]xyz/cgi-bin/J8W6hn25692/

https://faq.lptrend[.]com/dbdmni/TPrr4sc6vcj597571/



추가로 다운로드 되는 악성파일 감염으로 인해 로컬 컴퓨터의 정보가 탈취되거나 여타 악성 행위가 진행될 수 있습니다.


따라서 이런 유사 위협에 피해를 입지 않도록 MS 워드 문서가 첨부된 이메일 중에 [콘텐츠 사용] 버튼 클릭을 유도할 경우 십중팔구 악성 파일이라는 점을 명심하여야 합니다.


이스트시큐리티 알약(ALYac) 백신 프로그램에서는 국내외에서 발견되는 최신 이모텟 악성파일 탐지 및 치료 기능을 지속적으로 추가하고 있으므로 항상 최신 버전으로 업데이트를 유지하고, 실시간 감시 기능 등을 활성화하는 것이 좋습니다.





티스토리 방명록 작성
name password homepage