2019-10-14 19:31 (월)
악성 이메일 통해 계속 유포되고 있는 ‘이모텟’ 악성코드 주의
상태바
악성 이메일 통해 계속 유포되고 있는 ‘이모텟’ 악성코드 주의
  • 길민권 기자
  • 승인 2019.10.02 17:49
이 기사를 공유합니다

지난주 26일부터 악성 이메일을 통한 유포되고 있는 ‘이모텟(Emotet)’ 악성코드가 지속적으로 감염을 시도하고 있어 각별한 주의가 요구된다.

악성문서파일이 첨부되어 있는 이메일은 한가지 내용이 아닌 아래와 같이 다양한 형태의 소재로 내용이 작성되어 있다.

△ '[설문 참여] PC 로그인 지연현상 발생여부 설문조사',
△ '지재권관리시스템으로부터 [2018-4963KR]의 사건처리가 완료되었습니다.'
△ '[특허법인PCR/천성희]P2017-0182PCUS건의 출원을 위한 영문 명세서 검토 요청 및 서명서류
△ '回复: RE: MV.PAN BEGONIA(SPQB-073) - 본선 동정'

첨부된 악성문서파일을 실행하게 되면, 공격자가 심어 놓은 매크로를 실행시키도록 유도한다.

매크로는 가비지 코드와 함께 파워쉘을 실행하는 코드를 포함하고 있다. 파워쉘 실행 코드는 C2서버 리스트 목록에 따라 순차적으로 접속해 C2서버에서 내려주는 파일을 감염된 로컬PC에 752.exe로 저장하고 실행한다.

최종적으로 다운로드되는 악성코드의 주요행위는 시스템 정보 수집과 임의파일 추가 다운로드다. 수집하는 시스템 정보는 OS version 정보와 SessionID값이며 추가적으로 프로세스 목록들을 수집해 서버에 전송한다. 전송되는 데이터는 암호화해 공격자가 사전에 지정한 서버에 업로드된다.

이렇게 감염된 시스템에서 수집한 정보를 전송한 뒤, 공격자 서버를 통해 추가 파일을 다운로드하고 실행한다. 추가 다운로드된 파일을 실행 시, 공격자의 명령에 따라 메모리에 로드되거나 파일이 드롭-실행된다.

이모텟 악성코드는 주로 악성문서파일을 포함하는 이메일을 통해 유포가 이뤄지고 있다. 출처가 불분명한 메일에 있는 첨부파일 및 링크에 대해서는 접근을 삼가해야 하고 검증되지 않은 파일을 실행하기 전에는 신뢰할 수 있는 백신 프로그램을 활용해 악성 여부를 체크해야 한다.

[PASCON 2019 개최]
·하반기 최대 정보보안/개인정보보호 컨퍼런스 PASCON 2019
·7시간 보안교육 이수 및 2020년 대비 보안실무 교육
·공공,기업 개인정보보호 및 정보보안 실무자라면 누구나 무료 참석
-무료사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★