본문 바로가기
악성코드 정보

암호 걸린 첨부 파일로 유포 중인 Emotet 악성코드

by 분석팀 2020. 10. 20.

ASEC 분석팀은 메일에 암호 걸린 압축 파일로 첨부되어 이모텟(Emotet) 악성코드가 유포 중인 것을 확인하였다. 메일 본문에 압축 파일을 풀기 위한 암호가 적혀있어서, 메일을 수신한 사람만 파일을 실행할 수 있다. 또한 압축 파일 내의 파일을 안티바이러스 제품에서 탐지하고 있더라도, 압축 파일 자체에 암호가 걸려있기 때문에 암호 해제 전까지는 자동으로 탐지가 어렵다.

 

메일은 10월 17일 발송되었고, 다음과 같이 기업 관계자를 위장하고 있다. 첨부된 파일은 압축 파일로서, 압축 해제 시 'MYTNXTOJ3 202010月17.doc' 이름의 워드 파일이 존재한다. 

 

 

'MYTNXTOJ3 202010月17.doc' 워드 문서 파일의 내용은 위와 같다. 매크로 [콘텐츠 사용] 허용 시 악성 매크로 코드가 동작하여 악성 기능이 동작한다. 매크로 코드는 파워쉘 프로세스를 실행해서 여러 개의 외부 주소를 순차적으로 시도하여 Emotet 악성코드를 다운받는다. 

 

hxxp://www.tahirsylaj.com/error/UpDueJ/
hxxp://www.tahirsylaj.com/error/UpDueJ/
hxxps://bestoffershop.com/wp-admin/k/
hxxp://wintekelevators.com/wp-content/xExD/
hxxp://supplementhouse.net/wp-content/HXLS7K/
hxxp://solddolls.com/cgi-bin/xwoLV/
hxxp://fumigacionesmac.com/wp-includes/je/
hxxp://excellence4u.com/wp-snapshots/brAvtr/
hxxp://balancingelephants.com/wp-content/kH/

 

다운로드 된 Emotet 악성파일은 C&C 서버에 접속하여 공격자로부터 명령을 받아 악성 행위를 수행한다. Trickbot, Qakbot 등과 같은 뱅킹형 악성코드를 추가로 다운로드 받을 수 있다.

 

hxxp://208.180.207.205

Emotet은 악성 매크로가 포함된 워드 파일을 통해 주로 유포되고 있다. 사용자는 메일의 발신인을 확인하고, 의심스러운 파일에 포함된 매크로 실행을 지양해야 한다.  현재 V3 제품에서는 관련 파일에 대하여 아래와 같이 진단하고 있다.

 

 

[파일 진단]

  • Downloader/DOC.Emotet.S1304 (2020.10.17.00)
  • Malware/Win32.Generic.C4206910 (2020.10.18.01)

[행위 진단]

  • Malware/MDP.Connect.M2367 (2020.01.21.00)

[IOC 정보]

  • e610a542034b1d8ffb0281c077c7d347
  • a6541e1bf1fb12569ea9040742b58916
  • hxxp://www.tahirsylaj.com/error/UpDueJ/
  • hxxp://www.tahirsylaj.com/error/UpDueJ/
  • hxxps://bestoffershop.com/wp-admin/k/
  • hxxp://wintekelevators.com/wp-content/xExD/
  • hxxp://supplementhouse.net/wp-content/HXLS7K/
  • hxxp://solddolls.com/cgi-bin/xwoLV/
  • hxxp://fumigacionesmac.com/wp-includes/je/
  • hxxp://excellence4u.com/wp-snapshots/brAvtr/
  • hxxp://balancingelephants.com/wp-content/kH/
  • hxxp://208.180.207.205

댓글