포스팅 내용

국내외 보안동향

Emotet 악성코드, 연락처 공격을 위해 사용자의 이메일 첨부파일 훔쳐

Emotet malware now steals your email attachments to attack contacts


Emotet 악성코드 봇넷이 타깃 시스템을 감염시키기 위해 스팸 이메일의 신뢰성을 높일 목적으로 첨부파일까지 훔치기 시작한 것으로 나타났습니다.


Binary Defense의 위협 연구원인 James Quinn은 봇넷이 이메일의 신뢰성을 높이기 위해 훔친 첨부파일을 사용하는 것은 이 봇넷이 최초라 밝혔습니다. 


Marcus 'MalwareTech' Hutchins에 따르면 이 첨부파일 스틸러 모듈 코드는 6월 13일경 추가되었습니다.


이 새로운 전략은 Emotet 그룹이 하이잭한 이메일 대화 스레드 악용 시 새로운 이메일에 포함된 악성 URL 또는 첨부파일로 위장하는데 사용됩니다.


2014년 처음 발견된 당시 뱅킹 트로이 목마였던 Emotet은 공격자가 Trickbot 및 QakBot 트로이 목마를 포함한 다른 악성코드 패밀리를 다운로드하기 위해 사용하는 악성코드 봇넷으로 진화했습니다.

 


<훔친 첨부파일을 포함한 Emotet 피싱 이메일>

<이미지 출처: https://twitter.com/CofenseLabs/status/1288201468030464001>



이메일 보안 회사인 Cofense는 아래와 같이 밝혔습니다.


“Emotet은 훔친 이메일 콘텐츠를 사용할 뿐만 아니라, 훔친 첨부파일까지 사용하기 시작했습니다.”


“이로써 피싱 이메일에 신뢰성을 더 해줍니다. 한 샘플의 이메일의 템플릿 부분에서 악성 첨부파일 5개와 드로퍼 링크를 발견했습니다.”

 


<이미지 출처: https://twitter.com/Cryptolaemus1/status/1288170397150711808>



이 봇넷은 5개월 이상의 잠수를 끝내고 7월 17일부터 그들의 서버 클러스터를 통해 결재 보고서, 송장, 고용 공고, 배송 정보 등으로 위장한 악성 스팸 메일을 대량으로 배포하고 있었습니다.


Emotet은 활동을 재개한 후 해킹한 윈도우 컴퓨터에 TrickBot 트로이 목마를 설치하기 시작했습니다. 


이후에는 TrickBot 페이로드를 QakBot 악성코드로 완전히 대체하여 또다시 대량으로 배포하기 시작했습니다.


현재 QakBot의 최종 페이로드에 대한 정확한 정보는 없지만, 초기에 Emotet에 감염된 시스템에 ProLock 랜섬웨어를 배포할 예정인 것으로 보인다는 보고가 있었습니다.

 


<Emotet의 첨부파일 스틸러 모듈>

<이미지 출처: James Quinn>



금주의 가장 활발한 악성코드


호주의 사이버 보안국 ACSC가 발행한 Emotet 공격 관련 경고에 따르면 이 악성코드는 공격자가 추가 공격을 실행할 수 있도록 발판을 제공해주며, 종종 랜섬웨어를 통한 추가 공격으로 이어집니다.


사이버 보안 및 인프라 보안국(CISA) 또한 타깃 Emotet 공격에 대한 보고서를 발행해 관리자 및 사용자들에게 Emotet 악성코드에 대한 경고를 확인하도록 권고했습니다.


 



Emotet은 Emotet 트로이 목마를 피해자의 컴퓨터에 다운로드 및 설치하는 악성 URL과 첨부파일(매크로를 사용하도록 설정된 워드 또는 엑셀 문서)이 포함된 스팸 이메일을 통해 배포됩니다. 


설치가 완료되면 시간이 지남에 따라 다른 악성코드를 다운로드하고 감염된 기기를 통해 더욱 많은 스팸 이메일을 보냅니다.


이 봇넷은 7월 17일 부활한 이후 전 세계 사용자를 노리는 악성 이메일 캠페인의 일환으로 대량의 Emotet 악성코드 페이로드를 확산시키기 시작했습니다.


Emotet의 활동은 급격히 증가해 악성코드 분석 플랫폼인 Any.Run이 분석한 지난주 상위 악성코드 변종 탑 10 목록에서 1위를 차지했습니다.





출처:

https://www.bleepingcomputer.com/news/security/emotet-malware-now-steals-your-email-attachments-to-attack-contacts/

티스토리 방명록 작성
name password homepage