새로운 Emotet 봇넷 급격히 성장, 179개국 13만 봇 추가돼

New Emotet botnet is rapidly growing, with +130K unique bots spread across 179 countries

 

Emotet 봇넷이 2021년 11월 활동을 재개한 이후 계속해서 성장하고 있으며, 호스트 약 13만개를 감염시킨 것으로 나타났습니다.

 

지난 2021년 초, 전 세계의 법 집행 기관 및 사법 당국은 Operation Ladybird라는 공동 작전을 수행해 EMOTET 봇넷을 중단시켰습니다. 당시 수사관들은 국제적인 협력을 통해 그들의 인프라에 대한 제어권을 획득했습니다.

 

이 작전은 네덜란드, 독일, 미국, 영국, 프랑스, ​​리투아니아, 캐나다, 우크라이나 당국이 공동으로 참여했으며, Europol 및 Eurojust에서 조정했습니다.

 

이 법 집행 기관들은 Emotet 봇넷 인프라의 일부로 사용되는 서버 최소 700대를 압수했습니다. FBI는 정리 작업을 진행 중 Emotet 운영자가 악성코드 캠페인에서 사용한 이메일 주소 수백만 개를 발견했습니다.

 

Emotet 뱅킹 트로이 목마는 최소 2014년부터 활동을 시작했으며, 해당 봇넷은 TA542로 불리는 공격자가 운영합니다. 이 악명 높은 뱅킹 트로이 목마는 Trickbot 및 QBot 트로이 목마와 같은 다른 악성코드나 Conti, ProLock, Ryuk, Egregor와 같은 랜섬웨어를 확산시키는 데에도 사용되었습니다.

 

2021년 11월 여러 사이버 보안 회사(Cryptolaemus, GData, Advanced Intel)의 연구원은 공격자가 TrickBot 악성코드를 사용하여 감염된 장치에 Emotet 로더를 드롭한다고 보고했습니다. 전문가들은 TrickBot의 인프라를 사용하여 Emotet 봇넷을 재구축하려는 캠페인을 ‘Operation Reacharound´라 명명했습니다.

 

Lumen’s Black Lotus Labs의 연구원들은 해당 보고 이후 Emotet 운영자가 꽤 많은 시스템을 감염시켰다고 보고했습니다.

 

연구원들은 새로운 Emotet 봇넷이 네트워크 트래픽 암호화, 프로세스 목록 자체 모듈로 분리 등 탐지/분석을 피하기 위한 새로운 기능을 지원하기 시작했다고 밝혔습니다.

 

새 버전은 암호화를 수행하는 공개 키, 데이터 유효성 검사를 수행하는 데 사용되는 별도 알고리즘과 함께 ECC(타원 곡선 암호화)를 사용합니다.

 

또한 새 버전은 감염된 호스트에 대한 추가적인 정보를 수집하는 것이 가능합니다. 전문가들은 2월 말부터 3월 4일까지 이 그룹의 C2 풀 꽤 많이 성장했다고 밝혔습니다.

 

"Black Lotus Labs는 2019년 5월 고유한 Emotet C2를 300개 이상 발견했지만, 활동을 재개한 이후 약 4개월 동안 고유한 C2의 수는 약 200개였습니다. 이는 Emotet이 2021년 11월 다시 온라인 상태가 되었을 때 확인한 결과입니다. 따라서 규모는 작지만 상대적으로 변함없는 Tier 1 C2 풀이 있습니다.”

 

 

<이미지 출처 : https://blog.lumen.com/emotet-redux/>

 

 

새로운 Emotet 인프라의 가장 중요한 특징 중 하나는 Bot C2가 없다는 것입니다. 이 봇은 UPnP 모듈을 수신하여 감염된 기기가 사용자 라우터의 포트를 열어 C2 역할을 할 수 있도록 하는 UPnP 모듈입니다. 이후 Emotet 봇에서 상위 계층 C2로 트래픽을 프록시하도록 허용합니다.

 

대부분의 Emotet C2는 미국과 독일에 위치하며, 나머지는 프랑스, ​​브라질, 태국, 싱가포르, 인도네시아, 칸다, 영국, 인도에 위치하고 있는 것으로 나타났습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/128879/breaking-news/emotet-botnet-rapidly-growing.html

https://blog.lumen.com/emotet-redux/