요약
- Emotet : Mealybug 그룹이 개발한 모듈방식의 Trojan. 정보유출형 악성코드로 로그인 정보, 개인정보, 금융 정보들을 탈취하고 주로 스팸 이메일을 이용해 전파 됨
- 변종 Emotet : 백신프로그램의 탐지를 피하기 위해 Microsoft Word 파일로 가장한 XML파일에 악성 매크로를 내장함
(과거 : 악성 매크로를 삽입한 Microsoft Word 문서 형식)
- 최초 발견시기 : 2019년 1월 중순 (Menlo Security 보고)
- Emotet 활동 이력 : 현재까지 활발한 활동을 보임.
2018년 10월 : 이메일 주소를 탈취 이력
2018년 11월 : C&C 기반시설을 미국으로 이동, 금융 단체 또는 미국 추수감사절 감사장으로 가장한 이메일로 전파 시도
2019년 1월 : 수신자의 IP주소가 Spamhaus, SpamCop, SORBS가 운영하는 블랙리스트 또는 스팸리스트에 해당이 되는지 확인할 수 있는
기능이 추가 됨
탐지룰 존재유무
IBM : HTTP_Emotet_Trojan_CnC
Symantec : System Infected: Emotet Activity 2,
System Infected: Trojan.Emotet Activity 3
System Infected: Trojan.Emotet Activity 4
System Infected: Trojan.Emotet Activity 6
System Infected: W32.Emotet.B Activity
Web Attack: Emotet Download 2
참고자료
Menlo Security 변종 Emotet 분석 : https://www.menlosecurity.com/blog/emotet-a-small-change-in-tactics-leads-to-a-spike-in-attacks
출처 : https://www.bleepingcomputer.com/news/security/emotet-uses-camouflaged-malicious-macros-to-avoid-antivirus-detection/
https://threatpost.com/emotet-evasion-tactic-xml/141862/
'Informational' 카테고리의 다른 글
| [2020.03.03] 영국 다국적 회계 감사 기업 PWC 김수키(Kimsuky)해킹그룹 분석보고서 발표 (0) | 2020.03.03 |
|---|---|
| [2019.02.20] 유명 토렌트 업로더 ‘CrackNow’ 악성코드 유포 (0) | 2019.03.21 |
| [2019.02.11] Google, 모바일과 IoT 기기를 겨냥한 새로운 암호화 알고리즘 발표 – Adiantum (0) | 2019.03.20 |
| [2019.01.21] 클라우드 보안 제품 제거 기능이 추가된 변종 Xbash Linux 멀웨어 등장 (0) | 2019.03.19 |
| [2019.01.15] Windows 7 서비스 종료일 까지 1년 남음 (0) | 2019.03.19 |