[2019.09.17] Emotet 다량의 스팸 메일을 보내며 활동 재개

요약

- 8월 22일 C2의 활동 재개 움직임 후, 2019.09.16일 본격적인 스팸 공격 시작 (약 1달간 공격에 필요한 인프라를 구축한 것으로 추정)

- Emotet 시그니처가 포함된 악성 메일이 독일, 영국, 폴란드, 이탈리아, 미국의 개인/사업자/공공 기관을 대상으로 전파되고 있는 것이 포착 됨.

- 공격 대상 : 보안회사 Cofense Labs은 약 66,000의 이메일 주소, 30,000개의 도메인을 타겟으로 공격 중이라고 밝힘.

                 (해킹된 3,362 개의 이메일을 공격에 사용)

- 공격 양상 : 피싱 이메일 → Emotet 감염(뱅킹 트로잔 및 악성코드 다운로더)  → Trickbot 다운로드

                  *Trickbot에 감염 되었으나 감염 사실이 탐지 되지 않았다면, 추후 Ryuk 랜섬웨어에 감염될 소지가 있음)

- SpamHaus Project(스팸 관련 악성행위를 모니터링하는 단체)는 2019.09.16 Emotet의 활동이 다시 재개 되었다고 선언.

- Emotet 특징

  (1) 샘플 스팸 이메일  ※ 다수의 스팸이메일이 회신/답신의 형태로 이루어, 악성 매크로가 포함된 첨부파일을 확인하도록 유도함.

  (2) Microsoft의 매크로 사용 금지 기능을 우회

     : 가짜 라이센스 사용을 연장 메시지를 만들어 사용자가 매크로를 실행하도록 유도

 - 감염 샘플 트래픽  (hxxps://www.malware-traffic-analysis.net/2019/09/16/index.html)

 - 공격에 사용된 감염 웹사이트

customernoble.com - a cleaning company

taxolabs.com

www.mutlukadinlarakademisi.com - Turkish women's blog

www.holyurbanhotel.com

keikomimura.com

charosjewellery.co.uk

think1.com

broadpeakdefense.com

lecairtravels.com

www.biyunhui.com

nautcoins.com

- Emotet 관련 IoC

hxxps://pastebinp.ml/nUxnxSg4

hxxps://pastebinp.ml/cxqAPKx8

hxxps://pastebinp.ml/ZcULst7R

hxxps://pastebinp.ml/4QE6r8VX

hxxps://cofenselabs.com/emotet-updated-client-with-new-c2-list/

탐지룰 존재유무

- IBM : HTTP_Emotet_Trojan_CnC

- AhnLab-V3 : Trojan/Win32.Emotet.R248033

- FireEye : Generic.mg.9f31cd80fd32a04e 

- McAfee : Emotet-FKU!9F31CD80FD32

- Symantec : Trojan.Emotet

- TrendMicro : TSPY_EMOTET.THABOCAH

참고자료

출처 : https://www.bleepingcomputer.com/news/security/emotet-revived-with-large-spam-campaigns-around-the-world/#.XYAXocyXdhQ.twitter

https://twitter.com/spamhaus/status/1173512556960452608?s=20

https://twitter.com/CofenseLabs/status/1173506983997186053

https://twitter.com/Cryptolaemus1/status/1173849621220724736

https://blog.malwarebytes.com/botnets/2019/09/emotet-is-back-botnet-springs-back-to-life-with-new-spam-campaign/