Emotet 봇넷의 부활

가장 큰 봇넷 중 하나가 2021년 초에 발생한 국제 법 집행 작전에서 중단되어 종료되었습니다. 이제 1년 이상이 지난 지금, 동일한 봇넷이 다시 한 번 생명의 조짐을 보이고 있으며, 일부 성장한 것 같습니다. 잠자고 있던 시간에 새로운 뿔과 가시. 문제의 봇넷 은 악명 높은 Emotet 봇 네트워크입니다. 다양한 악의적인 목적으로 사용되는 손상된 장치의 웹입니다.

이모텟이란?

봇넷은 손상된 장치 또는 "봇"을 제어하는 당사자가 여러 악의적인 작업에 사용할 수 있습니다. Emotet의 경우 네트워크가 맬웨어를 전파하는 데 사용되었으며 봇은 서비스형 랜섬웨어 모델과 유사한 다른 악의적인 당사자에게 임대되어 손상된 장치 인프라에 대한 액세스 권한만 판매했습니다.

이제 보안 회사인 Proofpoint의 연구팀은 "소량의 Emotet 활동"을 확인하여 일반적인 Emotet 봇넷 운영 방식과 "극적으로" 다르다고 설명했습니다.

Emotet은 이제 이메일 캠페인을 통해 배포되고 있습니다. 연구원에 따르면 악성 메시지의 발신지인 이메일 주소는 손상된 것으로 보입니다. Emotet 스팸 모듈을 사용하여 수신자에게 발송하지 않았기 때문입니다.

새로운 악성 이메일 캠페인이 Emotet을 퍼뜨립니다.

이메일은 구조가 단순했습니다. "Salary"와 같은 한 단어로 된 제목 문자열입니다. 이것은 피해자의 관심을 끌고 사용자가 이메일에 포함된 내용을 클릭하도록 하는 간단하지만 효과적인 트릭입니다. 이 경우 전자 메일에는 OneDrive에 대한 단일 링크만 포함됩니다.

OneDrive 링크는 zip 아카이브에 있는 MS Excel XLL 파일을 가리킵니다. 그 안에 포함된 아카이브 파일과 엑셀 문서는 모두 메일 제목과 비슷하게 이름을 지었다. Proofpoint에서 제공한 예제에서 아카이브 이름은 "Salary_new.zip"이고 그 안에 있는 Excel 파일은 "Salary_and_bonuses-04.01.2022.xll"입니다.

사용자가 Excel 파일을 추출하고 열려고 하면 Emotet이 삭제되고 배포됩니다.

이전에 Emotet이 사용한 일반적인 대량 공격 스팸 접근 방식과 대조적으로 캠페인의 소량 특성을 감안할 때 연구원들은 맬웨어 운영자가 새로운 접근 방식과 기술을 테스트하고 있으며 자동 탐지를 피하기 위한 새로운 방법을 테스트하고 있다고 믿습니다.