상세 컨텐츠

본문 제목

Emotet 악성코드, 감염시킨 모든 컴퓨터에서 스스로 파괴돼

국내외 보안동향

by 알약4 2021. 4. 27. 09:00

본문

 

 

Emotet Malware Destroys Itself From All Infected Computers

 

여러 봇넷 기반 스팸 캠페인 및 랜섬웨어 공격을 실행하기로 악명 높은 이메일 기반 윈도우 악성코드인 Emotet이 유럽의 법 집행부의 작전에 따라 대규모로 감염시킨 모든 컴퓨터에서 자동으로 삭제되었습니다.

 

이 작업은 3개월 전에 Emotet을 중단시키기 위해 악성코드의 C2 서버의 제어권을 압수하기 위해 실행됐던 "Ladybird" 작전의 일환으로 이루어졌습니다.

 

이 조직화된 작전을 통해 서버 최소 700개가 내부에서 중성화되어 추가적인 악용을 막을 수 있었습니다.

 

이 국제적인 작전에는 네덜란드, 독일, 미국, 영국, 프랑스, ​​리투아니아, 캐나다, 우크라이나의 법 집행 기관이 참여했습니다.

 

이전에 네덜란드에 위치한 중앙 서버 2개를 압수한 네덜란드 경찰은 Emotet의 위협에 효과적으로 대응하기 위한 소프트웨어 업데이트를 배포했다고 밝혔습니다.

 

이 기관은 지난 1감염된 모든 시스템이 자동으로 업데이트를 받아온 후, Emotet 감염은 격리될 것이라 설명했습니다.

 

 

<이미지 출처: https://twitter.com/MBThreatIntel/status/1386413655659479043>

 

 

또한 감염된 모든 기기에 Emotet 원본을 배포하기 위해 사용된 동일한 채널에 “EmotetLoader.dll”이라는 이름의 32비트 페이로드를 푸시하는 작업도 포함되었습니다.

 

이 루틴은 2021 4 25일 자동으로 트리거되도록 설정되어 있었으며, 기기에서 악성코드를 제거하고 autorun 레지스트리 키를 삭제하고 프로세스를 종료하는 방식으로 동작했습니다.

 

지난 일요일, 사이버 보안 회사인 MalwarebytesEmotet에 감염된 기기가 특수 제작된 시한 폭탄 코드를 받았으며, 성공적으로 Emotet의 제거 루틴이 시작되어 윈도우 시스템에서 해당 악성코드가 제거되었음을 확인했다고 밝혔습니다.

 

이 기사를 작성 중인 현재, Abuse.chFeodo Tracker에서는 Emotet 서버가 현재 모두 오프라인 상태임을 확인할 수 있습니다.

 

하지만 이 작업으로 인해 해당 악성코드가 추후 다시 등장하게 될지, 아니면 영구적으로 사용이 불가능한 상태가 될지는 아직까지 지켜봐야 합니다.

 

Redscan의 연구원들은 지난 금요일 아래와 같이 밝혔습니다.

 

“Emotet의 운영자는 악성코드를 개선하기 전 항상 긴 휴식을 취하는 경향을 보였습니다. 즉, Emotet의 운영자는 이 기회를 이용하여 로더 악성코드를 더욱 탄력적으로 만들 수 있습니다. 예를 들면, 향후 이루어질 조직적인 중단 작전에 대응하기 위해 다형성 기술을 사용하는 것 등입니다. 또한 이들은 Emotet 소스코드를 사용하여 더 규모가 작고 독립적인 봇넷을 만들 수도 있습니다.”

 

이 대규모 중단 작전은 법 집행 기관이 해킹된 시스템에서 악성코드를 제거하기 위해 실행한 두 번째 작전입니다.

 

이달 초, 미국 정부는 ProxyLogon 익스플로잇을 악용하여 손상된 익스체인지 서버에 드롭된 웹 셸 백도어를 제거하기 위한 조치를 취했습니다.

 

법원에서 승인한 작전 이후, FBI는 웹 셸을 제거한 모든 조직에 이를 통보하는 과정을 진행 중이라 밝혔습니다. 하지만 이는 FBI가 해당 시스템에 주인이 모르게 접근했을 수 있다는 것을 의미합니다.

 

 

 

 

 

출처:

https://thehackernews.com/2021/04/emotet-malware-destroys-itself-today.html

https://twitter.com/MBThreatIntel/status/1386413655659479043

관련글 더보기

댓글 영역