해외 보안 트렌드

요약

① 독일 연방 보안국은 독일 연방 정부 메일을 가장한 Emotet 공격에 대해 주의할 것을 권고

- 최근 며칠 간 독일 연방 정부 메일을 사칭한 Emotet 공격에 일부 독일 행정관련 시스템이 감염 되었으나, 피해는 없었음

- 공격 형태 : 

감염 되었던 시스템의 실제 독일 정부 관료의 이름으로 악성 첨부파일, 링크가 포함된 스팸 공격이 활발히 이루어지고 있어 피해가 우려됨

피해 시스템의 이메일 수신 목록에 이미 존재하는 메일의 회신 형태의 스팸 메일 또한 배포되고 있어 주의 필요.

- 대응 방안 : 이메일 클라이언트에 표기되는 이름 외에도 이메일의 실제 발신자 이름을 반드시 확인할 것.

              (클라이언트 표기 이름과 이메일 주소의 이름이 다른 경우 의심. 또한 스팸의 경우 본문 내 오타 혹은 문서 양식이 조잡한 경우가 많음)

②  크리스마스 파티 초대장 가장한 Emotet 공격 기승

- 과거 할로윈, 추수 감사절 파티 초대장을 보낸 공격과 유사하게 크리스마스 시즌에 따라 공격 개시

- 크리스마스 파티 준비 목록을 참고해 파티에 참석할 것을 본문에 기재. 수신자들이 악성 파일을 열도록 유도함.

- 악성 파일 이름 : ‘Christmas party.doc’, ‘ Party menu,doc’

- 스팸 이메일 제목 : 

Christmas party.

Christmas Party next week.

Christmas Party.

Christmas party

Christmas Party next week

holiday schedule 2019-2020

Our holiday schedules

holiday

holiday schedule

탐지룰 존재유무

- Trendmicro : 

Downloader.VBA.TRX.XXVBAF01FF005

Troj.Win32.TRX.XXPE50FFF031

TrojanSpy.Win32.EMOTET.SMCRS

TROJ_EMOTET_GD270036.UVPM

HTTP_EMOTET_REQUEST-5

HTTP_EMOTET_REQUEST-4

- Ahnlab :  Trojan/Win32.Emotet.R200618

- McAfee : 

Generic Application Hooking Protection

Generic Application Invocation Protection

Powershell Command Restriction – EncodedCommand

CMD Tool Access by a Network Aware Application

GenericRXBK-UO!ED3F5BCAF167

- Symantec: 

System Infected: Emotet Activity 2

System Infected: Emotet Activity 3

System Infected: Emotet Activity 4

System Infected: Emotet Activity 6

System Infected: Emotet Activity 8

System Infected: Emotet Activity 11

System Infected: Emotet Activity 12

System Infected: W32.Emotet.B Activity

Web Attack: Emotet Download 2

영향성

유사 이메일을 수신 시 바로 삭제 요망

참고자료

출처 : hxxps://www.bleepingcomputer.com/news/security/attackers-posing-as-german-authorities-distribute-emotet-malware/#.Xfq1UJ1vorE.twitter

  hxxps://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Spam-Bundesbehoerden_181219.html

독일 연방 보안국 공지원문 : hxxps://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Spam-Bundesbehoerden_181219.html

요약

- 전자메일을 통해 전송된 zip문서에서 Revenge RAT 및 WSHRAT를 배포하는 다단계 vbs 다운로더 발견

- zip문서에 포함된 MHT 파일에서 시작하여 디렉토리서버(hxxp : //newdocreviewonline.3utilities [.] com /)와 통신함.

- 이 서버는 Review.php 와 Microsoft.hta 파일이 존재하며, hta 파일을 검토한 결과 URL 인코딩문자로 된 JavaScript 파일로 확인됨.

- 문자를 디코딩하면 내부에 VBScript코드가 포함된 html 파일이 표시되는데, 

         AppData/Local에 저장되는 A6p.vbs 스크립트를 생성한 다음 Microsoft2.b라는 스크립트인 stage2를 다운로드 하고 실행하는데 사용함. 

- stage2는 아래 경로에서 다운로드됨

        hxxps : //scisolinc[.]com/wp-includes/Text/microsoft.vbs

- Stage2 난독화 파일

■ Revenge RAT

- stage2를 디코딩하면 스크립트가 확인되고, 그 안에 Revenge RAT 실행 파일인 Base64로 인코딩 된 PE파일을 볼 수 있음.

- 지속성 유지를 위해 AppData/Local/Temp 경로에서 Appdata/Roaming으로 Microsoft.vbs를 복사 한 후,

          "C : \ User \ % USER % \ Appdata로 설정된"microsoft "라는 실행 키를 저장 함으로써, 컴퓨터 시작 시 vbs를 실행할 수 있음.

- 스크립트는 난독 처리된 PE파일을 HKCU : \ Software \ Microsoft \ microsoft에 문자열로 저장 후 이전에 저장된 키를 메모리로 읽고 

        파일을 최종 실행하기전에 PE파일을 난독 처리함.

- 이를 통해 Revenge RAT는 메모리에서 실행되고 파일을 시스템에 드롭 하지 않음.

■ WSHRAT

- stage2에 포함된 다른 문자열에서 WSHRAT 스크립트 확인

- 디코딩된 Base64문자열을 Appdata/Roaming의 GXxdZDvzyH.vbs 파일에 저장하기 전에 Base64를 디코딩 한 다음 

        wscript /b로 실행함 (/b 플래그는 배치 모드를 지정하므로 오류나 입력프롬프트가 발생하지 않음)

- GXxdZDvzyH.vbs에 포함된 base64 문자열을 난독처리하면 WSHRAT가 확인됨.

- WSHRAT는 컴퓨터이름 및 바이러스 백신 공급자와 같은 컴퓨터 정보를 훔칠 수 있음.

- 또한 Chrome, IE 및 Firefox와 같은 널리 사용되는 웹브라우저에서 비밀번호를 도용할 수 있음.

- 실행키로 설치하는 것 외에도 합법적인 바로가기로 보이지만 실제로는 지정된 파일을 실행하기 전에 Malware를 실행하는 lnk 파일을 만들 수 있음.

- WSHRAT의 기능

① 파이어폭스, 크롬, 인터넷 익스플로러, 에지, 오페라, 아웃룩, 선더버드 크리덴셜 탈취

② 파일의 다운로드, 업로드, 실행

③ 시스템 내에서 파일 검색 및 찾기

④ 원격 스크립트 및 명령 실행

⑤ 사용자 계정 제어(UAC) 비활성화

⑥ 백신 제품 비활성화

⑦ 프로세스 열람 및 종료

⑧ PC 종료 및 재시작

※ Revenge RAT : 원격 쉘을 열 수 있는 것으로 알려진 DevPoint 해킹포럼에서 2016년 공개된 RAT로 공격자는 시스템파일, 프로세스, 레지스트리 및 서비스를 관리하고 키 입력을 기록하여 피해자의 암호 등을 탈취할 수 있음.

※ WSHRAT : 후디니 웜의 변종으로 봇을 구성하는 기능과 RAT 기능을 가지고 있는 멀웨어. (Windows Script Host)라는 툴과 관련된것으로 보이며, MHT파일과 href링크가 포함된 악성 이메일을 통해 전파됨.

- 샘플 정보 

RevengeRAT  

Hash: 9ada62e4b06f7e3a61d819b8a74f29f589b645a7a32fd6c4e3f4404672b20f24 

C2: 193.56.28.134:5478, 185.84.181.102:5478 

WSHRAT

Hash: d86081a0795a893ef8dc251954ec88b10033166f09c1e65fc1f5368b2fd6f809 

샘플에서 추출한 악성 IP : 194.5.98.46

C2: britianica.uk.com:4132 (185.165.153.14)

Registry Location: HKEY_LOCAL_MACHINE:Software\Microsoft\Windows\CurrentVersion\Run\GXxdZDvzyH 

Loader

Hash (microsoft.vbs): c229c614c9bd2b347fd24ad12e3c157c686eb86bc0a02df1c7080cf40b659e10 

Hash (GXxdZDvzyH.vbs): ced8be6a20b38f5f4d5af0f031bd69863a60be53b9d6434deea943bf668ac8d8

치료방법

- 레지스트리에 상주하기 때문에 레지스트리에서 직접 삭제 필요

① 멀웨어 실행 중지 : % APPDATA %에 저장된 두 파일 (microsoft.vbs 및 GXxdZDvzyH.vbs) 삭제

② (HKEY_LOCAL_MACHINE : Software \ Microsoft \ Windows \ CurrentVersion \ Run)를 찾아 "microsoft", "GXxdZDvzyH"값 삭제

③ (HKCU : Software \ Microsoft \)로 이동하여 "microsoft"값 (Base64로 인코딩 된 PE 파일로 구성되어야 함)을 찾은 다음 해당 값 삭제

④ 컴퓨터 재부팅 수행

참고자료

출처 : hxxps://www.binarydefense.com/revenge-is-a-dish-best-served-obfuscated/?utm_content=105361112&utm_medium=social&utm_source=twitter&hss_channel=tw-2715666338

hxxps://www.bleepingcomputer.com/news/security/attackers-target-govt-and-financial-orgs-with-orcus-revenge-rats/

요약

- 리포트 원문 : https://www.us-cert.gov/ncas/analysis-reports/ar19-304a

- 리포트에 실린 악성 IP (총 22개) 

112.175.92.57

113.114.117.122

117.239.241.2

119.18.230.253

128.200.115.228

137.139.135.151

14.140.116.172

181.39.135.126

186.169.2.237

195.158.234.60

197.211.212.59

21.252.107.198

210.137.6.37

218.255.24.226

221.138.17.152

26.165.218.44

47.206.4.145

70.224.36.194

81.94.192.10

81.94.192.147

84.49.242.125

97.90.44.200

영향성

악성 IP에 대한 차단 권고

참고자료

출처 :  hxxp://www.dt.co.kr/contents.html?article_no=2019110202109919807008&ref=naver 

    hxxps://www.us-cert.gov/ncas/analysis-reports/ar19-304a

2019.09.24 기준 총 374개

100.34.98.47

100.42.161.20

103.83.81.148

103.97.95.218

104.131.11.150

104.131.58.132

104.136.151.73

104.236.185.25

104.236.246.93

104.24.118.227

104.24.119.227

104.247.221.104

104.27.132.137

104.28.10.35

104.31.76.148

105.224.170.204

107.11.23.236

107.159.94.183

108.179.216.46

109.104.79.48

109.169.86.13

113.161.174.36

113.52.135.33

114.79.134.129

115.71.233.127

117.197.124.36

119.59.124.163

119.92.51.40

122.165.134.72

122.174.172.246

123.168.4.66

124.121.192.163

125.99.106.226

125.99.61.162

128.199.78.227

128.92.54.20

133.130.73.156

133.242.208.183

136.243.177.26

138.197.140.163

138.201.140.110

138.68.106.4

138.68.139.199

139.155.98.82

139.162.151.141

139.59.19.157

139.59.242.76

140.207.113.106

142.44.162.209

143.0.245.169

143.95.101.72

144.139.247.220

144.76.117.247

149.167.86.174

149.202.153.251

149.202.153.252

149.62.173.247

151.80.142.33

152.168.220.188

152.168.82.167

152.169.236.172

152.46.8.148

153.122.38.158

154.120.228.126

158.69.130.55

159.203.204.126

159.65.241.220

159.65.25.128

159.65.76.245

159.69.211.211

162.213.21.254

162.241.130.39

162.243.125.212

165.227.213.173

169.239.182.217

170.247.122.37

173.178.94.138

173.212.203.26

173.212.231.135

173.242.103.80

173.248.147.186

173.249.42.35

175.100.138.82

176.31.200.130

176.58.93.123

177.224.87.110

177.246.193.139

178.249.187.150

178.249.187.151

178.254.6.27

178.32.255.133

178.62.37.188

178.78.64.80

178.79.161.166

178.79.163.131

179.12.170.88

179.32.19.219

179.62.18.56

181.113.229.139

181.143.194.138

181.143.208.106

181.143.53.227

181.16.4.180

181.164.8.25

181.170.212.29

181.188.149.134

181.230.126.152

181.29.214.233

181.36.42.205

181.39.134.122

181.39.66.26

181.48.174.242

181.81.143.108

182.176.106.43

182.176.132.213

182.76.6.2

183.82.97.25

183.87.87.73

184.59.116.243

185.129.92.210

185.129.93.140

185.187.198.4

185.86.148.222

185.94.252.13

186.1.6.67

186.137.133.132

186.139.160.193

186.146.1.36

186.149.243.238

186.150.97.128

186.159.186.156

186.176.165.231

186.3.188.74

186.4.172.5

186.4.194.153

186.64.69.115

186.75.241.230

186.83.133.253

186.93.145.178

187.144.189.58

187.144.227.2

187.147.50.167

187.149.84.80

187.155.233.46

187.160.2.73

187.188.166.192

187.207.12.6

187.207.188.248

187.220.233.135

187.242.204.142

188.166.253.46

189.129.231.76

189.129.4.186

189.166.68.89

189.180.51.94

189.187.141.15

189.189.214.1

189.209.217.49

189.245.216.217

190.1.37.125

190.10.194.42

190.104.253.234

190.104.64.197

190.106.97.230

190.113.233.4

190.117.206.153

190.13.146.47

190.145.67.134

190.146.214.85

190.146.81.138

190.146.86.180

190.15.198.47

190.16.177.117

190.171.105.158

190.18.146.70

190.180.96.117

190.186.203.55

190.189.16.174

190.19.42.131

190.200.64.180

190.201.164.223

190.221.50.210

190.226.44.20

190.230.60.129

190.38.14.52

190.53.135.159

190.55.39.215

190.55.86.138

190.79.251.99

190.8.246.18

190.9.44.28

190.92.103.7

190.97.10.198

192.155.90.90

192.163.199.254

192.163.221.191

192.241.175.184

192.241.250.202

196.6.112.70

197.248.5.23

197.248.67.226

197.91.152.93

198.199.185.25

198.199.88.162

198.46.150.196

198.50.170.27

198.58.114.91

200.188.143.154

200.21.90.6

200.32.61.210

200.57.102.71

200.58.171.51

200.6.168.130

200.80.198.34

200.82.147.93

200.85.46.122

201.113.23.175

201.163.74.202

201.184.65.229

201.212.57.109

201.219.183.243

201.250.11.236

203.130.0.67

203.150.19.63

203.25.159.3

206.189.98.125

207.180.208.175

210.2.86.72

210.2.86.94

211.229.116.97

211.63.71.72

212.71.234.16

212.71.237.140

213.120.104.180

213.123.212.188

216.14.176.17

216.154.222.52

216.70.88.55

216.98.148.157

217.113.27.158

217.160.182.191

217.165.2.133

217.199.160.224

217.199.175.216

219.94.254.93

221.120.97.51

222.214.218.192

23.254.203.51

23.92.22.225

3.254.203.51

31.12.67.62

31.172.240.91

31.210.76.98

31.31.78.203

37.120.175.15

37.157.194.134

37.208.39.59

37.59.1.74

41.185.29.128

41.220.119.246

43.229.62.186

45.118.216.70

45.123.3.54

45.33.1.161

45.33.35.103

45.33.49.124

45.55.82.2

45.56.216.160

46.105.131.69

46.105.131.87

46.163.144.228

46.21.105.59

46.228.205.245

46.249.204.99

46.28.111.142

46.29.183.211

46.32.229.152

46.41.151.103

47.41.213.2

49.212.135.76

5.189.148.98

5.196.35.138

5.196.74.210

5.67.96.120

5.77.13.70

5.9.128.163

50.28.51.143

50.79.146.13

51.15.8.192

51.255.50.164

59.152.93.46

60.205.208.213

62.210.142.58

62.75.143.100

62.75.150.240

62.75.160.178

62.75.171.248

62.75.187.192

63.142.253.122

64.13.225.150

65.49.60.163

65.87.40.115

66.209.69.165

66.228.32.31

66.228.45.129

67.79.6.38

68.183.49.130

69.163.33.82

69.164.216.124

69.198.17.20

69.43.168.232

70.184.97.144

70.28.3.120

70.45.30.28

71.11.157.249

71.244.60.230

71.244.60.231

71.56.132.47

72.47.248.48

75.127.14.170

77.122.183.203

77.245.101.134

77.55.211.77

77.68.30.48

77.82.85.35

78.109.34.178

78.188.105.159

78.24.219.147

79.127.57.42

79.143.182.254

80.0.106.83

80.11.163.139

80.12.84.86

80.85.87.122

81.136.248.12

81.169.140.14

82.78.228.57

83.110.75.153

83.169.33.157

83.29.180.97

85.104.59.244

85.187.198.4

86.42.166.147

86.98.25.30

87.106.136.232

87.106.139.101

87.106.77.40

87.230.19.21

88.156.97.210

88.250.223.190

88.99.3.166

89.188.124.145

90.69.208.50

91.109.13.64

91.205.215.10

91.205.215.57

91.205.215.66

91.83.93.103

91.83.93.124

91.92.191.134

92.222.125.16

92.222.216.44

92.48.118.27

92.51.129.249

93.78.205.196

94.177.253.126

94.205.247.10

94.33.52.72

95.128.43.213

95.178.241.254

98.129.229.204

98.144.133.221 

98.6.40.86

99.243.127.236

요약

- 최근 출간된 에드워드 스노든의 자서전, “Permanent Record”를 Word 문서로 첨부했다며, 사용자들이 파일을 다운로드하도록 유도

 (현재까지 영어, 독일어, 프랑스어, 이탈리아어 버전이 발견됨).

      *자서전은 현재 베스트 셀러이며, 출간일 미국 정부는 기밀 누설 및 승인없이 책을 출판한 점을 들어 에드워드 스노든을 고소한 상태.

 - Emotet C2 IP 총 374개 (2019.09.24일 기준) * Emotet C2 IP 리스트 포스트 참고

탐지룰 존재유무

- IBM : HTTP_Emotet_Trojan_CnC

- AhnLab-V3 : Trojan/Win32.Emotet.R248033

- FireEye : Generic.mg.9f31cd80fd32a04e 

- McAfee : Emotet-FKU!9F31CD80FD32

- Symantec : Trojan.Emotet

- TrendMicro : TSPY_EMOTET.THABOCAH

참고자료

출처 : https://paste.cryptolaemus.com/emotet/2019/09/16/emotet-malware-IoCs_09-16-19.html

https://paste.cryptolaemus.com/emotet/2019/09/17/emotet-malware-IoCs_09-17-19.html

https://paste.cryptolaemus.com/emotet/2019/09/18/emotet-malware-IoCs_09-18-19.html

https://paste.cryptolaemus.com/emotet/2019/09/19/emotet-malware-IoCs_09-19-19.html

https://paste.cryptolaemus.com/emotet/2019/09/20/emotet-malware-IoCs_09-20-19.html

https://blog.malwarebytes.com/botnets/2019/09/emotet-malspam-campaign-uses-snowdens-new-book-as-lure/

요약

- 8월 22일 C2의 활동 재개 움직임 후, 2019.09.16일 본격적인 스팸 공격 시작 (약 1달간 공격에 필요한 인프라를 구축한 것으로 추정)

- Emotet 시그니처가 포함된 악성 메일이 독일, 영국, 폴란드, 이탈리아, 미국의 개인/사업자/공공 기관을 대상으로 전파되고 있는 것이 포착 됨.

- 공격 대상 : 보안회사 Cofense Labs은 약 66,000의 이메일 주소, 30,000개의 도메인을 타겟으로 공격 중이라고 밝힘.

                 (해킹된 3,362 개의 이메일을 공격에 사용)

- 공격 양상 : 피싱 이메일 → Emotet 감염(뱅킹 트로잔 및 악성코드 다운로더)  → Trickbot 다운로드

                  *Trickbot에 감염 되었으나 감염 사실이 탐지 되지 않았다면, 추후 Ryuk 랜섬웨어에 감염될 소지가 있음)

- SpamHaus Project(스팸 관련 악성행위를 모니터링하는 단체)는 2019.09.16 Emotet의 활동이 다시 재개 되었다고 선언.

- Emotet 특징

  (1) 샘플 스팸 이메일  ※ 다수의 스팸이메일이 회신/답신의 형태로 이루어, 악성 매크로가 포함된 첨부파일을 확인하도록 유도함.

  (2) Microsoft의 매크로 사용 금지 기능을 우회

     : 가짜 라이센스 사용을 연장 메시지를 만들어 사용자가 매크로를 실행하도록 유도

 - 감염 샘플 트래픽  (hxxps://www.malware-traffic-analysis.net/2019/09/16/index.html)

 - 공격에 사용된 감염 웹사이트

customernoble.com - a cleaning company

taxolabs.com

www.mutlukadinlarakademisi.com - Turkish women's blog

www.holyurbanhotel.com

keikomimura.com

charosjewellery.co.uk

think1.com

broadpeakdefense.com

lecairtravels.com

www.biyunhui.com

nautcoins.com

- Emotet 관련 IoC

hxxps://pastebinp.ml/nUxnxSg4

hxxps://pastebinp.ml/cxqAPKx8

hxxps://pastebinp.ml/ZcULst7R

hxxps://pastebinp.ml/4QE6r8VX

hxxps://cofenselabs.com/emotet-updated-client-with-new-c2-list/

탐지룰 존재유무

- IBM : HTTP_Emotet_Trojan_CnC

- AhnLab-V3 : Trojan/Win32.Emotet.R248033

- FireEye : Generic.mg.9f31cd80fd32a04e 

- McAfee : Emotet-FKU!9F31CD80FD32

- Symantec : Trojan.Emotet

- TrendMicro : TSPY_EMOTET.THABOCAH

참고자료

출처 : https://www.bleepingcomputer.com/news/security/emotet-revived-with-large-spam-campaigns-around-the-world/#.XYAXocyXdhQ.twitter

https://twitter.com/spamhaus/status/1173512556960452608?s=20

https://twitter.com/CofenseLabs/status/1173506983997186053

https://twitter.com/Cryptolaemus1/status/1173849621220724736

https://blog.malwarebytes.com/botnets/2019/09/emotet-is-back-botnet-springs-back-to-life-with-new-spam-campaign/

요약

- Emotet 진화 : 

① 뱅킹 트로잔으로 시작하였으나, 봇넷으로 전파력 향상 및 새로운 기능 탑재 등 한층 업그레이드 됨  

    (크리덴셜 스틸링,네트워크 전염, 이메일을 통한 확산, 주소록 탈취 등 기능 추가)

② 새로운 전파 기술을 적용탐지 우회 능력 향상과 동시에 다양한 악성행위를 행하는 교두보 봇넷 역할에 집중하는 추세

- 전파방법 : 피싱이메일의 악성 링크, 첨부파일

    (최근 보고서들에 따르면 악성 페이로드를 포함하는 모든 스팸 중 60%가 emotet으로 나타남)

- 영향성 : 시스템이 emotet에 감염된 후, 추가적으로 다양한 악성코드를 시스템에 감염시킴

- C2와 통신 : 감염 IoT 장비를 Bot C2로 활용

  신규 감염 시스템 → Bot C2(감염 IoT 장비) → Tier 1 C2 (해킹된 웹 호스트) →  Tier 2 C2

      ① 새로 감염된 장비에는 40+개의 C2 주소가 포함된 페이로드 다운로드 (Bot C2, Tier 1 C2)

      ② emotet 감염된 IoT 장비에 UPnP 모듈이 활성화해 Bot C2로 활용되고, 프록시 역할을 하며 감염장비에서 Tier 1 C2로 커뮤니케이션 포워딩 함

      ③ 주로 해킹된 웹호스트인 Tier 1 C2는 Tier 2 C2 서버로 커뮤니케이션을 포워딩 함.

- Emotet 활동 재개 포착 : 브라질, 멕시코, 독일, 일본, 미국 

- 올해 6월 활동 이후 활동 재개 포착 : 비활성이던 Emotet 봇들이 새로운 바이너리를 제공하기 시작 

- 현재 공격은 펼치지 않음 : 공격 전 시스템 환경 구축에 시간이 필요해 즉각적인 공격이 이루어 지지 않은 것으로 보임

                                          (봇넷 새로 구축, AV 봇 제거, anti spam 제품을 우회 테스트 시간 필요, 공격 캠패인전 준비기간 필요 등)

- C2 :

104.131.11.150:8080

104.131.208.175:8080

104.236.151.95:7080

142.93.88.16:443

144.139.247.220:80

159.89.179.87:7080

162.144.119.216:8080

162.243.125.212:8080

170.150.11.245:8080

176.31.200.130:8080

177.242.214.30:80

187.163.180.243:22

195.242.117.231:8080

216.98.148.156:8080

217.13.106.160:7080

31.12.67.62:7080

45.123.3.54:443

45.32.158.232:7080

46.101.142.115:8080

46.105.131.69:443

64.13.225.150:8080

69.45.19.145:8080

70.32.84.74:8080

75.127.14.170:8080

91.83.93.103:7080                    

탐지룰 존재유무

- IBM : HTTP_Emotet_Trojan_CnC

- AhnLab-V3 : Trojan/Win32.Emotet.R248033

- FireEye : Generic.mg.9f31cd80fd32a04e 

- McAfee : Emotet-FKU!9F31CD80FD32

- Symantec : Trojan.Emotet

- TrendMicro : TSPY_EMOTET.THABOCAH

참고자료

출처 : https://www.bleepingcomputer.com/news/security/emotet-botnet-is-back-servers-active-across-the-world/

   https://www.centurylink.com/business/security/black-lotus-labs.html?rid=blacklotuslabs

요약

*마트로시카 트로잔 : 러시아 인형의 이름에서 유래

- 발견 경위 : Kaspersky Labs 연구진이 유명 토렌트 트랙킹 사이트인 파이럿베이에 호스팅 되는 새로운 파이럿 마트로시카 트로잔 발견

- 빠른 확산 : 연구진에 따르면 현재 10,000건의 트로잔이 삽입된 악성 프로그램을 다운로드 됨

- 악성코드 정보 

(1) 구성 : 마트로시카 트로잔은 PC활용에 쓰이는 정상 프로그램에 트로잔 다운로더를 추가하는 방식으로 구성.

(2) 분포 : 평판이 좋은 토렌트 시더들에 의해서 분포 됨. 과거 악성 행위들을 한 이력이 없는 시더들을 중심으로 배포되고 있음

(3) 구동 방법 : 마트로시카 트로잔이 삽입 된 악성 프로그램을 설치하게 되면 사용자는 다운로드를 완료하기 위해 로그인이 필요하다는 

                    메시지와 함께 파이럿베이 로그인 팝업창을 보게 됨.

사용자가 자신의 아이디와 비밀번호를 넣을 시 공격자는 이를 수집해 새로운 시드 계정을 만들고 악성 코드를 배포 -> 기타 악성 모듈들을 사용자 시스템에 설치

영향성

토렌트 트렉커 사이트 사용 시 각별한 주의 필요

참고자료

Kaspersky 분석 : https://www.kaspersky.com/blog/pirate-matryoshka-malware/25905/?utm_source=twitter&utm_medium=social&utm_campaign=us_kdaily_Zt0106_organic&utm_content=sm-post&utm_term=us_twitter_organic_Zt0106_sm-post_social_kdaily

출처 : https://www.hackread.com/the-pirate-bay-spreading-malware-piratematryoshka-via-reputed-seeders/