요약
① 독일 연방 보안국은 독일 연방 정부 메일을 가장한 Emotet 공격에 대해 주의할 것을 권고
- 최근 며칠 간 독일 연방 정부 메일을 사칭한 Emotet 공격에 일부 독일 행정관련 시스템이 감염 되었으나, 피해는 없었음
- 공격 형태 :
감염 되었던 시스템의 실제 독일 정부 관료의 이름으로 악성 첨부파일, 링크가 포함된 스팸 공격이 활발히 이루어지고 있어 피해가 우려됨
피해 시스템의 이메일 수신 목록에 이미 존재하는 메일의 회신 형태의 스팸 메일 또한 배포되고 있어 주의 필요.
- 대응 방안 : 이메일 클라이언트에 표기되는 이름 외에도 이메일의 실제 발신자 이름을 반드시 확인할 것.
(클라이언트 표기 이름과 이메일 주소의 이름이 다른 경우 의심. 또한 스팸의 경우 본문 내 오타 혹은 문서 양식이 조잡한 경우가 많음)
② 크리스마스 파티 초대장 가장한 Emotet 공격 기승
- 과거 할로윈, 추수 감사절 파티 초대장을 보낸 공격과 유사하게 크리스마스 시즌에 따라 공격 개시
- 크리스마스 파티 준비 목록을 참고해 파티에 참석할 것을 본문에 기재. 수신자들이 악성 파일을 열도록 유도함.
- 악성 파일 이름 : ‘Christmas party.doc’, ‘ Party menu,doc’
- 스팸 이메일 제목 :
Christmas party.
Christmas Party next week.
Christmas Party.
Christmas party
Christmas Party next week
holiday schedule 2019-2020
Our holiday schedules
holiday
holiday schedule
탐지룰 존재유무
- Trendmicro :
Downloader.VBA.TRX.XXVBAF01FF005
Troj.Win32.TRX.XXPE50FFF031
TrojanSpy.Win32.EMOTET.SMCRS
TROJ_EMOTET_GD270036.UVPM
HTTP_EMOTET_REQUEST-5
HTTP_EMOTET_REQUEST-4
- Ahnlab : Trojan/Win32.Emotet.R200618
- McAfee :
Generic Application Hooking Protection
Generic Application Invocation Protection
Powershell Command Restriction – EncodedCommand
CMD Tool Access by a Network Aware Application
GenericRXBK-UO!ED3F5BCAF167
- Symantec:
System Infected: Emotet Activity 2
System Infected: Emotet Activity 3
System Infected: Emotet Activity 4
System Infected: Emotet Activity 6
System Infected: Emotet Activity 8
System Infected: Emotet Activity 11
System Infected: Emotet Activity 12
System Infected: W32.Emotet.B Activity
Web Attack: Emotet Download 2
영향성
유사 이메일을 수신 시 바로 삭제 요망
참고자료
출처 : hxxps://www.bleepingcomputer.com/news/security/attackers-posing-as-german-authorities-distribute-emotet-malware/#.Xfq1UJ1vorE.twitter
hxxps://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Spam-Bundesbehoerden_181219.html
독일 연방 보안국 공지원문 : hxxps://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Spam-Bundesbehoerden_181219.html
'Malware' 카테고리의 다른 글
| [2019.11.14] Revenge RAT 및 WSHRAT를 배포하는 다운로더 발견 (0) | 2019.11.14 |
|---|---|
| [2019.11.05] 미 정보기관, 북한 소행 변종 Hoplight 트로이 목마 악성코드 활동 보고서 발표 (0) | 2019.11.06 |
| [2019.09.24] Emotet C2 IP 374개 (0) | 2019.09.24 |
| [2019.09.24] Emotet C2 IP /에드워드 스노든의 자서전을 이용한 소셜 엔지니어링 기술 활용 (0) | 2019.09.24 |
| [2019.09.17] Emotet 다량의 스팸 메일을 보내며 활동 재개 (0) | 2019.09.19 |