안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
이모텟(Emotet) 악성코드가 재 유포중에 있어 사용자들의 각별한 주의가 필요합니다.
이모텟 악성코드는 4월 중순부터 대량으로 유포되어 오다 5월의 시작점을 기점으로 유포가 중단되었습니다. 하지만 금일(12일)부터 다시 유포 정황이 확인되었습니다.
4월 말, 이모텟 악성코드는 Powershell 명령이 포함된 윈도우 바로가기 파일(.lnk)을 사용하는 새로운 방식을 사용하였습니다.
하지만, 이번에 유포되고 있는 이모텟 악성코드는 기존의 악성 매크로가 포함된 XLS파일 및 암호화 된 압축 파일을 통한 유포방식을 사용하고 있습니다.
만일 사용자가 첨부되어 있는 excel 파일을 실행한다면 '콘텐츠 사용' 버튼의 활성화를 유도합니다. 만일 사용자가 콘텐츠 사용 버튼을 활성화 하면, 숨겨진 시트에 포함되어 있던 악성 명령어를 Auto_Open을 이용하여 실행합니다.
해당 악성 명령어는 공격자가 설정해 놓은 특정 주소로 부터 이모텟 악성코드를 내려받으며, 내려받은 악성코드는 C:\Users\[사용자명] 하위에 저장합니다. 이후 rundll32.exe를 사용하여 이모텟 악성코드를 실행합니다.
C&C주소
hxxp://easiercommunications[.]com/wp-content/w/
hxxp://dulichdichvu[.]net/libraries/QhtrjCZymLp5EbqOdpKk/
hxxps://www.whow[.]fr/wp-includes/H54Fgj0tG/
hxxp://genccagdas.com[.]tr/assets/TTHOm833iNn3BxT/
hxxp://heaventechnologies[.]com.pk/apitest/xdeAU0rx26LT9I/
hxxp://goonboy[.]com/goonie/bSFz7Av/
사용자 여러분들께서는 알약과 같은 신뢰할만한 백신을 사용하시고, 수상한 이메일 열람 및 문서 파일 실행 시 [콘텐츠 사용] 기능 활성화를 지양하시기를 당부 드립니다.
ESRC 주간 Email 위협 통계 (5월 둘째주) (0) | 2022.05.17 |
---|---|
결제 완료 문자! 쇼핑몰을 위장한 악성 앱 분석 (0) | 2022.05.13 |
ESRC 주간 Email 위협 통계 (5월 첫째주) (0) | 2022.05.10 |
북한이탈주민(탈북민) 자문위원대상 의견수렴 설문지 위장 北 연계 해킹 주의! (0) | 2022.05.09 |
ESRC 주간 Email 위협 통계 (4월 넷째주) (0) | 2022.05.03 |
댓글 영역