[2019.02.15] 새로운 변종 Emotet 등장

요약

- Emotet : Mealybug 그룹이 개발한 모듈방식의 Trojan. 정보유출형 악성코드로 로그인 정보, 개인정보, 금융 정보들을 탈취하고 주로 스팸 이메일을 이용해 전파 됨

- 변종 Emotet : 백신프로그램의 탐지를 피하기 위해 Microsoft Word 파일로 가장한 XML파일에 악성 매크로를 내장함

         (과거 : 악성 매크로를 삽입한 Microsoft Word 문서 형식)

- 최초 발견시기 : 2019년 1월 중순 (Menlo Security 보고)

- Emotet 활동 이력 : 현재까지 활발한 활동을 보임.

2018년 10월 : 이메일 주소를 탈취 이력

2018년 11월 : C&C 기반시설을 미국으로 이동, 금융 단체 또는 미국 추수감사절 감사장으로 가장한 이메일로 전파 시도

2019년 1월 : 수신자의 IP주소가 Spamhaus, SpamCop, SORBS가 운영하는 블랙리스트 또는 스팸리스트에 해당이 되는지 확인할 수 있는 

                 기능이 추가 됨

탐지룰 존재유무

IBM : HTTP_Emotet_Trojan_CnC

Symantec  : System Infected: Emotet Activity 2, 

System Infected: Trojan.Emotet Activity 3

System Infected: Trojan.Emotet Activity 4

System Infected: Trojan.Emotet Activity 6

System Infected: W32.Emotet.B Activity

Web Attack: Emotet Download 2

참고자료

Menlo Security 변종 Emotet 분석 : https://www.menlosecurity.com/blog/emotet-a-small-change-in-tactics-leads-to-a-spike-in-attacks

출처 : https://www.bleepingcomputer.com/news/security/emotet-uses-camouflaged-malicious-macros-to-avoid-antivirus-detection/

  https://threatpost.com/emotet-evasion-tactic-xml/141862/