마이크로소프트 원노트(Microsoft OneNote)를 사칭해 많은 시스템을 감염시켰던 악명 높은 이모텟 악성코드가 부활했다.
2014년 처음 발견된 뱅킹 트로이 목마인 이모텟은 TA542로 알려진 공격자에 의해 운영된다. 이모텟은 주로 트릭봇, 큐봇 트로이 목마와 같은 악성코드와 콘티, 프로록, 류크, 에르고르와 같은 랜섬웨어를 배포하는 데 사용된다.
이모텟은 공격 체인을 강화하기 위해 다양한 공격 벡터를 사용해 왔다. 이모텟 운영자는 마이크로소프트가 비주얼 베이직 포 애플리케이션 매크로를 비활성화하려는 움직임에 대응해 2022년 4월 새로운 공격 기술을 연구하기 시작했다. 그 결과 2022년 6월 모듈을 이용해 크롬 웹브라우저에 저장된 신용카드 정보를 빼내는 새로운 변종을 만들어냈다.
최근 공격은 멀웨어 바이트의 연구원들에 의해 발견된 봇넷 에포크4에 의해 이뤄지고 있다. 가짜 원노트 첨부 파일은 문서가 보호된다는 통지를 가장한다. 공격 체인은 다음과 같다.
수신자가 메일에서 ‘보기 단추를 두 번 누르십시오’라는 지시에 따라 스크립트 파일을 두 번 클릭하면, 스크립트 파일은 원격 서버에서 이모텟 이진 페이로드를 검색한다. 그 이후 악의적인 DLL이 regsvr32.exe를 통해 실행돼 대상 시스템에 이모텟을 설치한다.
코펜스 연구팀은 2023년 3월 7일 이모텟이 다시 성행하고 있다고 말했다. 연구팀이 탐지한 이모텟 관련 메시지에는 암호로 보호되지 않은 첨부된 .zip 파일이 포함돼 있다. 첨부된 .zip 파일은 Emotet.dll을 다운로드하게 한 후 악성 문서를 설치한다.
연구팀은 “이모텟이 언제까지 성행할지는 불분명하다. 이모텟에 대응하기 위해서는 최신 보안 소프트웨어를 설치하고 첨부 파일이나 링크가 포함된 원치 않는 전자 메일을 조심해야 한다. 또한 확인되지 않은 첨부 파일을 열거나 링크를 클릭하지 않아야 하며, 소프트웨어 및 운영 체제를 최신 상태로 유지하고 신뢰할 수 있는 바이러스 백신 소프트웨어를 사용해 악성 프로그램 감염을 탐지하고 예방해야 한다”고 강조했다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
