이모텟

Emotet

이모텟우크라이나에 기반을 둔 것으로 추정되는 악성코드 변종이자 사이버 범죄 작전입니다.[1]허도(Heodo)라고도 알려진 이 악성코드는 2014년에 처음 발견되었으며 10년 동안 가장 널리 퍼진 위협 중 하나로 여겨집니다.[2][3][4]2021년 독일과 우크라이나에서 글로벌 경찰의 조치로 이모텟에 사용되는 서버가 장애를 일으켜 법 집행의 통제 하에 놓였습니다.[4]

이모텟 악성코드의 첫 번째 버전은 감염된 호스트로부터 은행 자격 증명을 훔치기 위한 은행 트로이 목마로 작동했습니다.2016년과 2017년에 이모텟 운영자(Mealybug라고도 함)는 트로이 목마를 업데이트하여 주로 "로더"(loader)로 작동하도록 재구성했습니다. 이는 시스템에 대한 액세스 권한을 획득한 후 운영자가 추가 페이로드를 다운로드할 수 있도록 하는 멀웨어의 일종입니다.[5]2단계 페이로드는 이모텟의 자체 모듈에서부터 다른 사이버 범죄 조직이 개발한 악성코드에 이르기까지 모든 종류의 실행 가능한 코드가 될 수 있습니다.

대상 시스템의 초기 감염은 종종 이메일 첨부 파일의 매크로 바이러스를 통해 진행됩니다.감염된 전자 메일은 공격 대상자가 이전에 보낸 메시지에 대한 적법하게 표시된 회신입니다.[6]

Emotet 작성자는 이 악성 프로그램을 사용하여 사이버 보안 커뮤니티에서 서비스형 악성 프로그램(Malware-as-a-Service), 서비스형 사이버 범죄(CaaS) 또는 크라임웨어로 지칭되는 IaaS(Infrastructure as a Service) 모델에서 액세스 권한을 판매하는 감염된 컴퓨터 봇넷을 만든 것으로 널리 문서화되어 있습니다.[7]이모텟은 감염된 컴퓨터에 대한 접근권을 류크 갱단과 같은 랜섬웨어 작전에 임대한 것으로 알려져 있습니다.[8]

2019년 9월 기준으로 이모텟 작업은 에포크 1, 에포크 2, 에포크 3라고 불리는 세 개의 개별 봇넷 위에서 실행되었습니다.[9]

2020년 7월, 이모텟 캠페인이 전 세계적으로 감지되었으며, 피해자들은 은행 자격 증명을 훔치고 네트워크 내부에 퍼지는 데 사용되는 트릭봇큐봇에 감염되었습니다.일부 말스팸 캠페인에는 "form.doc" 또는 "invoice.doc"과 같은 이름을 가진 악성 문서가 포함되어 있었습니다.보안 연구원들에 따르면, 이 악성 문서는 악의적인 웹사이트와 감염된 기계들로부터 이모텟 페이로드를 끌어내기 위해 파워쉘 스크립트를 실행한다고 합니다.

2020년 11월 이모텟은 페이로드를 배포하기 위해 주차된 도메인을 사용했습니다.

2021년 1월, 유로폴유로가 조정한 국제 조치로 인해 조사관들이 이모텟 인프라를 통제하고 혼란에 빠뜨릴 수 있었습니다.[12]보도된 조치는 우크라이나에서 체포된 사건들과 함께 이루어졌습니다.[13]

2021년 11월 14일, 이전 봇 코드와 매우 유사하지만 명령 및 제어 통신에 타원 곡선 암호를 사용하는 다른 암호화 체계를 가진 새로운 이모텟 샘플이 등장했습니다.[14]새로운 이모텟 감염은 트릭봇을 통해 이전에 트릭봇에 감염되었던 컴퓨터로 전달되었고, 곧 매크로가 포함된 마이크로소프트 워드와 엑셀 파일을 페이로드로 하여 악성 스팸 이메일 메시지를 보내기 시작했습니다.[15]

2022년 11월 3일, 이메일 메시지[16][self-published source] 내에 첨부된 XLS 파일의 일부로 이모텟의 새로운 샘플이 나타났습니다.

주목할 만한 감염

참고문헌

  1. ^ Ikeda, Scott (August 28, 2020). "Emotet Malware Taken Down By Global Law Enforcement". Cpomagazine. Retrieved May 1, 2021.
  2. ^ "Emotet's Malpedia entry". Malpedia. January 3, 2020.{{cite web}}: CS1 유지 : url-status (링크)
  3. ^ Ilascu, Ionut (December 24, 2019). "Emotet Reigns in Sandbox's Top Malware Threats of 2019". Bleeping Computer.{{cite web}}: CS1 유지 : url-status (링크)
  4. ^ a b European Union Agency for Criminal Justice Cooperation (January 27, 2021). "World's most dangerous malware EMOTET disrupted through global action". Eurojust.{{cite web}}: CS1 유지 : url-status (링크)
  5. ^ Christiaan Beek (December 6, 2017). "Emotet Downloader Trojan Returns in Force". McAfee.{{cite web}}: CS1 유지 : url-status (링크)
  6. ^ a b Schmidt, Jürgen (June 6, 2019). "Trojaner-Befall: Emotet bei Heise" (in German). Heise Online. Retrieved November 10, 2019.
  7. ^ Brandt, Andrew (December 2, 2019). "Emotet's Central Position in the Malware Ecosystem". Sophos. Retrieved September 19, 2019.
  8. ^ "North Korean APT(?) and recent Ryuk Ransomware attacks". Kryptos Logic.{{cite web}}: CS1 유지 : url-status (링크)
  9. ^ Cimpanu, Catalin (September 16, 2019). "Emotet, today's most dangerous botnet, comes back to life". ZDnet. Retrieved September 19, 2019.
  10. ^ "July 2020's Most Wanted Malware: Emotet Strikes Again After Five-Month Absence" (Press release). August 7, 2020.
  11. ^ "Emotet uses parked domains to distribute payloads". How To Fix Guide. October 30, 2020. Retrieved January 27, 2021.
  12. ^ "World's most dangerous malware EMOTET disrupted through global action". Europol. Retrieved January 27, 2021.
  13. ^ Cimpanu, Catalin, 당국은 2021년 3월 25일 감염된 호스트로부터 Emotet을 대량 제거할 계획입니다, zdnet, 2021년 1월 27일
  14. ^ "Emotet botnet returns after law enforcement mass-uninstall operation". The Records. November 15, 2021. Retrieved November 20, 2021.
  15. ^ "Emotet Returns". SANS Internet Storm Center. Retrieved November 20, 2021.
  16. ^ "Cryptolaemus (@Cryptolaemus1)". Twitter. Retrieved November 7, 2022.
  17. ^ "Malware infection poised to cost $1 million to Allentown, Pa". washingtontimes.com. The Washington Times. Retrieved November 12, 2019.
  18. ^ "Emotet malware gang is mass-harvesting millions of email in mysterious campaign". zdnet.com. ZDNet. Retrieved November 12, 2019.
  19. ^ "Emotet: Trojaner-Angriff auf Berliner Kammergericht". Der Spiegel (in German). October 4, 2019. Retrieved November 12, 2019.
  20. ^ "Emotet: Wie ein Trojaner das höchste Gericht Berlins lahmlegte". faz.net (in German). Frankfurter Allgemeine Zeitung. Retrieved November 12, 2019.
  21. ^ "Trojaner greift Netzwerk von Humboldt-Universität an". dpa (in German). Heise Online. November 9, 2019. Retrieved November 10, 2019.
  22. ^ "Trojaner-Befall: Uni Gießen nutzt Desinfec't für Aufräumarbeiten" (in German). Heise Online. December 19, 2019. Retrieved December 22, 2019.
  23. ^ Joncas, Hugo. "Les pirates informatiques ont pu voler tous les courriels". Le Journal de Montréal. Retrieved January 27, 2021.
  24. ^ "Several institutions affected by email virus in Lithuania – center". baltictimes.com. Retrieved January 27, 2021.