상세 컨텐츠

본문 제목

활동을 재개한 이모텟(Emotet) 악성코드, 국내 유포 정황 포착!

악성코드 분석 리포트

by 알약4 2023. 3. 9. 11:08

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 
이모텟(Emotet) 악성코드가 3개월의 휴식기를 지나 다시 유포하기 시작하여 사용자들의 주의가 필요합니다. 

이모텟 악성코드는 2014년 처음 발견된 금융정보 탈취 악성코드로서 지금까지 꾸준히 유포중이며, 스팸메일의 첨부파일로 형태로 유포됩니다. 

유포를 재개한 이모텟의 경우도 스팸메일에 파일을 첨부한 형태로 유포중이며, 첨부되어 있는 압축파일 내에는 악성 매크로가 포함된 doc 파일이 포함되어 있습니다. 

 

 

[그림 1] 악성 매크로가 포함된 워드 파일



doc 파일을 실행하면, 악성 매크로가 동작하면서 공격자가 미리 지정해 놓은 C&C에 접속하여 악성 dll 파일을 내려받아 실행하는데, 이때 실행하는 doc 파일과 dll 파일의 용량이 500MB이상이라는 특징을 갖고 있습니다. 

 

 

[그림 2] 공격에 사용된 500MB 이상의 용량을 가진 doc 및 dll 파일

 

수상한 파일 실행 전, 파일 크기를 확인하는 방법도 파일의 악성여부를 확인하는 좋은 방법 중 하나라는 점 참고하시기 바라며, 현재 알약에서는 최근 해당 악성코드에 대해  Trojan.Downloader.DOC.Gen, Trojan.Agent.Emotet으로 탐지중이며 지속적인 모니터링 중에 있습니다. 

 

감사합니다.

 

IoC

2148A6A2BEF5A35CE5665CBC12D5E474
17B526011C4771FEF77B0DE07860EA35 

 

 

 

 

관련글 더보기

댓글 영역