Emotet 악성코드, TrickBot을 통해 봇넷 재구축 하도록 돌아와

 

 

Emotet malware is back and rebuilding its botnet via TrickBot

Emotet 악성코드는 스팸 캠페인과 악성파일 첨부를 통하여 악성코드를 유포합니다. 그 후 감염된 장치를 이용하여 다른 스팸 캠페인을 수행하고 QakBot(Qbot) 및 Trickbot 악성코드와 같은 다른 페이로드를 설치합니다. 이러한 페이로드는 공격자에게 초기 액세스를 제공하여 Ryuk, Conti, ProLock, Egregor 및 기타 여러 랜섬웨어를 배포하는데 사용됩니다. 

올해 초, Europol과 Eurojust는 Emotet 인프라를 인수하고 2명을 체포하였습니다. 그리고 4월 25일, 감염된 장치에서 Emotet을 삭제하는 모듈을 제공했습니다. 

그리고 최근 보안연구원들은 TrickBot 악성코드가 Emotet 악성코드를 감염 장치에 드랍하는 것을 확인하였습니다. 하지만 Emotet 봇넷이 스팸 활동을 하거나 다른 악성 파일을 드랍하는 것을 확인하지는 못했다고 밝혔습니다. 

 

이렇게 스팸 활동이 없는 것은 Emotet 악성코드가 인프라를 재 구축하고 향후 스팸 캠페인을 위해 이미 감염된 사용자들로 부터 새로운 이메일 리플라이 체인을 탈취했기 때문이라고 추측됩니다. 

 

Emotet 연구그룹 Cryptolaemus는 새로운 Emotet 로더를 분석하였으며, 새로운 Emotet 로더에서는 이전과 다른 새로운 변경사항이 포함되어 있다고 밝혔습니다.

 

"우리는 커맨드 버퍼가 변경된 것을 확인하였습니다. 이 전에는 3-4개의 명령이 있었지만 이제는 7개의 명령이 있습니다. 또한 다운로드 한 바이너리에 대한 다양한 실행 옵션이 있는 것으로 보입니다"라고 Cryptolaemus 연구원은 밝혔습니다.

 

또한 Advanced Intel의 Vitali Kreme는 새로운 Emotet 드랍퍼 분석 후, 대량의 랜섬웨어 감염을 일으킬 수 있는 악성코드 봇넷에 대해 경고했습니다. 

현재 새로운 Emotet 인프라는 빠르게 성장하고 있으며, 246개 이상의 감염된 장치가 이미 명령 및 제어 서버로 작동중에 있습니다. 

 

현재 알약에서는 해당 악성코드에 대해 Trojan.Agent.Emotet으로 탐지중에 있습니다. 

 

 

 

출처 : 

https://www.bleepingcomputer.com/news/security/emotet-malware-is-back-and-rebuilding-its-botnet-via-trickbot/