5개월 만에 돌아온 이모텟 악성코드 국내 유포 중

5개월 만에 돌아온 이모텟 악성코드 국내 유포 중 AhnLab ASEC 분석팀 l 2020-07-22     안랩은 7월 22일 안랩시큐리티대응센터(ASEC) 블로그를 통해 이모텟(Emotet) 악성코드가 국내 유포 중인 것을 확인하고, 사용자의 주의를 당부했다.     뱅킹 악성코드인 이모텟은 지난 2월 초 악성코드 유포를 중단하고 잠적했으나 거의 5개월 만에 다시 나타났다. 유포 방식은 이전과 동일하게 피싱 메일을 통해 유포되고 있다. 메일의 유형은 ▲다운로드 링크가 첨부된 형태 ▲PDF 파일이 첨부된 형태 ▲악성 문서 파일을 첨부한 형태 등 3가지이다.     피싱 메일에는 DOC 파일뿐만 아니라 PDF 형태의 파일도 첨부되어 유포되고 있다. PDF 파일에는 아래 [그림 1]과 같이 지불과 관련된 내용을 포함하고 있으며 DocuSign 사이트로 위장한 링크가 첨부되어 있다. 하지만 해당 링크는 "hxxp://braxmedia.nl/test/invoice/"로 연결되어 악성 문서 파일을 다운로드하게 된다.   [그림 1] 이모텟 다운로드 주소로 연결되는 PDF   최종적으로 실행되는 문서 파일은 악성 매크로를 포함하고 있는 워드 파일이며, 매크로 사용을 유도하고 있다.  매크로 실행 시, 윈도우 관리 도구(Windows Management Instrumentation, WMI)를 통해 베이스64(Base64)로 인코딩된 파워쉘(powershell) 명령어를 실행한다. 해당 명령어는 5개의 URL을 통해 이모텟을 다운받게 된다.   과거 이모텟은 "--XXXXXXXX" 형식의 인자 값을 통해 실행되었지만, 현재 이모텟은 특정 인자 값 없이 실행된다. 이모텟이 동작하면 C2 에 접속하여 공격자의 명령을 받아 악성 행위를 수행하며, 명령어에 따라 이모텟 업데이트, 악성 모듈 또는 악성코드 다운로드를 수행한다. 악성 모듈은 사용자 정보를 탈취하는 정보 탈취 모듈과 공유 폴더 등을 이용한 전파 모듈이 존재한다. 또한 다운로드되는 악성코드에는 트릭봇(Trickbot)과 같은 뱅킹 악성코드가 포함되어 있다.   뱅킹형 악성코드인 이모텟이 피싱 메일을 통해 다양한 형태로 대량 유포 중이므로 사용자는 출처가 불분명한 메일의 첨부 파일을 열람하지 말고, 문서 파일 내부의 매크로를 실행에도 주의해야 한다.   안랩은 현재 자사 제품군에서 이모텟 관련 파일 및 URL을 탐지 및 차단하고 있다.   해당 악성코드에 대한 자세한 분석 정보는 ASEC 블로그에서 확인할 수 있다.   ▶ ASEC 블로그 바로 가기