상세 컨텐츠

본문 제목

다시 유포중인 이모텟(Emotet) 악성코드 주의!

악성코드 분석 리포트

by 알약4 2022. 5. 12. 19:03

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
이모텟(Emotet) 악성코드가 재 유포중에 있어 사용자들의 각별한 주의가 필요합니다. 

이모텟 악성코드는 4월 중순부터 대량으로 유포되어 오다 5월의 시작점을 기점으로 유포가 중단되었습니다. 하지만 금일(12일)부터 다시 유포 정황이 확인되었습니다. 

4월 말, 이모텟 악성코드는 Powershell 명령이 포함된 윈도우 바로가기 파일(.lnk)을 사용하는 새로운 방식을 사용하였습니다.

하지만, 이번에 유포되고 있는 이모텟 악성코드는 기존의 악성 매크로가 포함된 XLS파일 및 암호화 된 압축 파일을 통한 유포방식을 사용하고 있습니다. 

 

[그림 1] 현재 유포중인 이모텟이 포함된 이메일(1)

 

[그림 2] 현재 유포중인 이모텟이 포함된 이메일(2)
[그림 3] 암호가 설정 된 압축파일 내부 화면

 

 

만일 사용자가 첨부되어 있는 excel 파일을 실행한다면 '콘텐츠 사용' 버튼의 활성화를 유도합니다. 만일 사용자가 콘텐츠 사용 버튼을 활성화 하면, 숨겨진 시트에 포함되어 있던 악성 명령어를 Auto_Open을 이용하여 실행합니다. 

 

[그림 4] 시트 숨기기 기능으로 숨겨져 있는 시트

 

[그림 5] 포함되어 있는 Auto Open 매크로 코드

 

해당 악성 명령어는 공격자가 설정해 놓은 특정 주소로 부터 이모텟 악성코드를 내려받으며, 내려받은 악성코드는 C:\Users\[사용자명] 하위에 저장합니다. 이후 rundll32.exe를 사용하여 이모텟 악성코드를 실행합니다. 

 

 

C&C주소

hxxp://easiercommunications[.]com/wp-content/w/
hxxp://dulichdichvu[.]net/libraries/QhtrjCZymLp5EbqOdpKk/
hxxps://www.whow[.]fr/wp-includes/H54Fgj0tG/
hxxp://genccagdas.com[.]tr/assets/TTHOm833iNn3BxT/
hxxp://heaventechnologies[.]com.pk/apitest/xdeAU0rx26LT9I/
hxxp://goonboy[.]com/goonie/bSFz7Av/ ​

 

사용자 여러분들께서는 알약과 같은 신뢰할만한 백신을 사용하시고, 수상한 이메일 열람 및 문서 파일 실행 시 [콘텐츠 사용] 기능 활성화를 지양하시기를 당부 드립니다.

 

관련글 더보기

댓글 영역