본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

피싱메일을 통해 유포중인 Emotet 악성코드 주의!

보안공지 2021-11-18



피싱메일을 통해 유포중인 Emotet 악성코드가 확인되어 사용자들의 주의가 필요합니다.

 

올해 초 Europol과 Eurojust가 협력하여 Emotet 인프라를 압수하고 관련자 2명을 체포하였습니다. 또한 4월 25일 Emotet에 감염된 디바이스에서 해당 악성코드를 제거하는 모듈을 제공하기도 했습니다. 

그러나 최근, Emotet 악성코드가 또 다시 활동을 시작하였습니다. 

 

▶ Emotet 악성코드, TrickBot을 통해 봇넷 재구축 하도록 돌아와

 

이번에 ESRC에서 발견한 Emotet은 기존과 같이 피싱메일을 통해 유포되고 있습니다. 

 

 

[그림 1] 악성 파일이 첨부 된 피싱 메일

 

 

해당 피싱메일은 공직자 통합메일(@korea.kr) 사용자에게 전염병대비혁신연합(CEPI)을 위장하여 발송되었습니다. 이메일 내용에는 별 다른 내용 없이 첨부되어 있는 zip 파일 파일명 및 패스워드만 적혀 있습니다. 

 

 

[그림 2] 압축 파일 내 포함된 악성 워드파일

 

 

첨부된 압축파일 안에는 악성 매크로가 포함된 워드파일이 첨부되어 있습니다. 

 

이메일에 적힌 비밀번호 입력하여 압축해제 후 워드파일을 실행하면 문서 보호를 위하여 미리보기가 불가하다는 문구와 함께, 사용자로 하여금 콘텐츠 사용 버튼을 클릭하도록 유도합니다. 

 

 

[그림 3] 매크로 실행을 유도하는 파일

 

 

하지만 사용자가 콘텐츠 사용 버튼을 눌러도 사용자 입장에서 보이는 화면은 동일하며, 내부에 포함되어 있던 매크로가 동작하게 됩니다. 

 

워드파일안에 존재하는 악성 VBA 매크로는 난독화가 되어 있으며, cmd를 통해 powershell을 실행하여 7개의 URL 중 연결이 가능한 URL을 통해 Emotet 악성코드를 다운로드 합니다.

 

 

[그림 4] 난독화 되어있는 VBA 스크립트

 

 

[그림 5] powershell 명령어를 이용한 프로세스 실행 화면

 

 

[그림 6] 이모텟 dll 다운로드

 

 

다운로드 된 파일은 C:\ProgramData 폴더에 다운로드 되며, 차후 사용자의 AppData\Local 폴더 아래 랜덤한 이름의 폴더를 생성 후 이동시킵니다.

 

재부팅 시 자동 실행을 위해 Run 레지스트리트에 등록합니다.

 

 

[그림 7] 레지스트리 등록 화면

 

C&C정보 

hxxp://thepilatesstudionj[.]com/wp-ontent/oAx5UoQmIX3cbw/
hxxp://alfaofarms[.]com/xcyav/F9le301G89W0s2g4jLO5/
hxxps://staviancjs[.]com/wp-forum/QOm4n2/
hxxps://yougandan[.]com/backup_YouGandan-9th-nov/3n6PrcuIaPCNcRU7uj7D/
hxxp://alfadandoinc[.]com/67oyp/C2J2KyCpQnkK4Um/
hxxp://www.caboturnup[.]com/wp-content/plugins/classic-editor/js/PZgllRH6QtkaCKtSB50rzr/
hxxp://itomsystem[.]in/i9eg3y/nNxmmn9aTcv

 

 

사용자 여러분들은 출처불분명한 사용자에게서 온 이메일의 열람을 지양하시고, 낯선 문서파일 내의 매크로 실행을 하지 않아야 합니다. 

 

현재 알약에서는 해당 악성코드에 대해 Trojan.Downloader.DOC.Gen, Trojan.Agent.Emotet로 탐지중에 있습니다.