Emotet은 어떻게 되나요?

Emotet은 Mealybug 또는 TA2014로 알려진 사이버 범죄 그룹이 운영하는 542년부터 활성화된 맬웨어 계열입니다. 처음에는 뱅킹 트로이 목마로 시작했지만 나중에는 봇넷으로 발전하여 전 세계적으로 가장 널리 퍼진 위협 중 하나가 되었습니다. Emotet은 스팸 이메일을 통해 확산됩니다. 손상된 컴퓨터에서 정보를 유출하고 타사 맬웨어를 전달할 수 있습니다. Emotet 운영자는 대상에 대해 그다지 까다롭지 않으며 개인, 회사 및 대규모 조직에 속한 시스템에 악성 코드를 설치합니다.

2021년 XNUMX월 Emotet은 게시 중단 Eurojust와 Europol이 조정한 2021개국의 국제적 협력 노력의 결과입니다. 하지만 이 작전에도 불구하고 이모텟은 XNUMX년 XNUMX월 다시 살아났다.

이 블로그 포스트의 요점:

• Emotet은 게시 중단 후 다시 나타난 이후 여러 스팸 캠페인을 시작했습니다.
• 그 이후로 Mealybug는 여러 개의 새로운 모듈을 만들었고 모든 기존 모듈을 여러 번 업데이트하고 개선했습니다.
• 이후 Emotet 운영자는 봇넷이 돌아온 이후 모니터링 및 추적을 피하기 위해 많은 노력을 기울였습니다.
• 현재 Emotet은 효과적이고 새로운 공격 벡터를 찾지 못했기 때문에 조용하고 비활성 상태입니다.

그림 1. Emotet 복귀 이후 흥미로운 이벤트의 타임라인

스팸 캠페인

2021년 말 컴백 후 여러 스팸 캠페인이 이어진 후, 2022년 초에도 이러한 추세가 이어지고 우리는 등록 Emotet 운영자가 시작한 여러 스팸 캠페인. 이 기간 동안 Emotet은 주로 VBA 매크로가 포함된 악성 Microsoft Word 및 Microsoft Excel 문서를 통해 확산되었습니다.

2022년 XNUMX월 Microsoft는 인터넷에서 얻은 문서에서 VBA 매크로를 비활성화하여 확산 방법으로 악성 문서가 포함된 피싱 이메일을 사용했던 Emotet 및 Qbot과 같은 모든 맬웨어 제품군에 대한 게임을 변경했습니다. 이 변경은 발표 연초에 Microsoft에서 제공하고 원래 2022월 초에 배포했지만 사용자 피드백으로 인해 업데이트가 롤백되었습니다. 최종 롤아웃은 2년 2022월 말에 이루어졌으며 그림 XNUMX에서 볼 수 있듯이 업데이트로 인해 Emotet 손상이 크게 감소했습니다. XNUMX년 여름 동안 중요한 활동을 관찰하지 못했습니다.

그림 2. 이모티콘 탐지 추이, XNUMX일 이동 평균

Emotet의 주요 공격 벡터를 비활성화함으로써 운영자는 대상을 손상시킬 새로운 방법을 찾게 되었습니다. 가루깍지벌레 실험을 시작했다 하지만 2022년이 끝나갈 무렵 Emotet 운영자는 VBA 매크로만큼 효과적인 새로운 공격 벡터를 찾기 위해 고군분투했습니다. 2023년에는 각각 약간 다른 침입 경로와 사회 공학 기술을 테스트하는 XNUMX개의 독특한 악성 스팸 캠페인을 실행했습니다. 그러나 공격 규모의 축소와 접근 방식의 지속적인 변화는 결과에 대한 불만을 시사할 수 있습니다.

이 세 가지 캠페인 중 첫 번째 캠페인은 8월 XNUMX일경에 발생했습니다.^th, 2023년, Emotet 봇넷이 내장된 악성 VBA 매크로와 함께 송장으로 위장한 Word 문서를 배포하기 시작했을 때. 이는 VBA 매크로가 기본적으로 Microsoft에 의해 비활성화되어 있어 피해자가 포함된 악성 코드를 실행할 수 없기 때문에 매우 이상했습니다.

13월 XNUMX일 사이의 두 번째 캠페인에서^th 및 18 월 XNUMX 일^th, 공격자는 이러한 결함을 인정한 것으로 보이며 회신 체인 접근 방식을 사용하는 것 외에도 VBA 매크로에서 포함된 VBScript가 있는 OneNote 파일(ONE). 피해자가 파일을 열면 보호된 OneNote 페이지처럼 보이는 페이지가 표시되어 콘텐츠를 보려면 보기 버튼을 클릭하도록 요청합니다. 이 그래픽 요소 뒤에는 Emotet DLL을 다운로드하도록 설정된 숨겨진 VBScript가 있습니다.

이 작업이 악성 콘텐츠로 이어질 수 있다는 OneNote의 경고에도 불구하고 사람들은 습관적으로 유사한 프롬프트를 클릭하는 경향이 있으므로 잠재적으로 공격자가 장치를 손상시킬 수 있습니다.

ESET 원격 측정에서 관찰된 마지막 캠페인은 20월 XNUMX일에 시작되었습니다.^th, 미국에서 다가오는 소득세 마감일을 활용합니다. 봇넷이 보낸 악성 이메일은 미국 국세청(IRS)에서 보낸 것처럼 가장했으며 W-9 form.zip이라는 아카이브 파일을 첨부했습니다. 포함된 ZIP 파일에는 악의적인 VBA 매크로가 포함된 Word 문서가 포함되어 있었습니다. 가능. 특히 미국을 대상으로 한 이 캠페인과는 별개로 우리는 동시에 진행 중인 임베디드 VBScripts 및 OneNote 접근 방식을 사용하는 또 다른 캠페인을 관찰했습니다.

그림 3에서 볼 수 있듯이 ESET에서 탐지한 대부분의 공격은 일본(43%), 이탈리아(13%)를 겨냥한 것이었지만 이러한 수치는 이 지역의 강력한 ESET 사용자 기반으로 인해 편향되었을 수 있습니다. 상위 4개 국가를 제거한 후(나머지 국가에 집중하기 위해) 그림 5에서 나머지 국가도 타격을 입었음을 알 수 있습니다. 스페인(5%)이 4위, 멕시코(XNUMX%)가 그 뒤를이었습니다. %) 및 남아프리카 공화국(XNUMX%).

그림 3. 2022년 2023월~XNUMX년 XNUMX월 Emotet 탐지

그림 4. 2022년 2023월 – XNUMX년 XNUMX월 Emotet 탐지(JP 및 IT 제외)

향상된 보호 및 난독화

다시 등장한 후 Emotet은 여러 가지 업그레이드를 받았습니다. 첫 번째 주목할만한 특징은 봇넷이 암호화 체계를 전환했다는 것입니다. 제거하기 전에 Emotet은 RSA를 기본 비대칭 체계로 사용했으며 다시 등장한 후 봇넷은 타원 곡선 암호화를 사용하기 시작했습니다. 현재 모든 다운로더 모듈(메인 모듈이라고도 함)에는 두 개의 공개 키가 내장되어 있습니다. 하나는 Elliptic curve Diffie Hellman 키 교환 프로토콜에 사용되고 다른 하나는 서명 확인(디지털 서명 알고리즘)에 사용됩니다.

Emotet 맬웨어를 64비트 아키텍처로 업데이트하는 것 외에도 Mealybug는 모듈을 보호하기 위해 여러 가지 새로운 난독화를 구현했습니다. 첫 번째 주목할만한 난독화는 분석 속도를 상당히 늦추고 Emotet 모듈에서 흥미로운 코드 부분을 찾을 수 있는 제어 흐름 평탄화입니다.

Mealybug는 또한 많은 무작위화 기술의 구현을 구현하고 개선했으며, 그 중 가장 주목할만한 것은 구조 구성원 순서의 무작위화와 상수를 계산하는 명령의 무작위화입니다(상수는 마스킹됨).

모듈이 타이머 대기열을 사용하기 시작한 2022년 마지막 분기에 언급할 가치가 있는 또 하나의 업데이트가 발생했습니다. 이를 통해 모듈의 주요 기능과 모듈의 통신 부분을 콜백 함수로 설정하여 여러 스레드에서 호출하고 이 모든 것이 제어 흐름 평탄화와 결합됩니다. 여기서 코드 블록을 관리하는 상태 값은 호출할 스레드 간에 공유됩니다. 이 난독화는 분석의 또 다른 장애물을 추가하고 실행 흐름을 따르는 것을 더욱 어렵게 만듭니다.

새로운 모듈

수익성 있고 널리 퍼진 맬웨어를 유지하기 위해 Mealybug는 그림 5에 노란색으로 표시된 여러 개의 새로운 모듈을 구현했습니다. 그 중 일부는 봇넷을 위한 방어 메커니즘으로, 다른 일부는 맬웨어의 보다 효율적인 확산을 위해 생성되었으며 마지막으로 가장 중요한 모듈입니다. 피해자의 돈을 훔치는 데 사용할 수 있는 정보를 훔치는 것입니다.

그림 5. Emotet에서 가장 자주 사용되는 모듈. Red는 게시 중단 이전에 존재했습니다. 컴백 후 등장한 노란색

Thunderbird 이메일 스틸러 및 Thunderbird 연락처 스틸러

Emotet은 스팸 이메일을 통해 확산되며 사람들은 종종 이러한 이메일을 신뢰합니다. Emotet은 이메일 스레드 하이재킹 기술을 성공적으로 사용하기 때문입니다. 게시 중단 전에 Emotet은 Outlook에서 이메일과 연락처 정보를 훔칠 수 있는 Outlook Contact Stealer 및 Outlook Email Stealer라는 모듈을 사용했습니다. 그러나 모든 사람이 Outlook을 사용하는 것은 아니기 때문에 Emotet이 게시 중단된 후 무료 대체 이메일 애플리케이션인 Thunderbird에도 집중했습니다.

Emotet은 이름에서 알 수 있듯이 이메일을 훔칠 수 있는 Thunderbird Email Stealer 모듈을 손상된 컴퓨터에 배포할 수 있습니다. 이 모듈은 수신된 메시지(MBOX 형식)가 포함된 Thunderbird 파일을 검색하고 보낸 사람, 받는 사람, 제목, 날짜 및 메시지 내용을 포함한 여러 필드에서 데이터를 훔칩니다. 도난당한 모든 정보는 추가 처리를 위해 C&C 서버로 전송됩니다.

Emotet은 Thunderbird Email Stealer와 함께 Thunderbird에서 연락처 정보를 훔칠 수 있는 Thunderbird Contact Stealer도 배포합니다. 이 모듈은 또한 이번에는 받은 메시지와 보낸 메시지를 모두 찾는 Thunderbird 파일을 검색합니다. 차이점은 이 모듈은 부터, 에:, CC : 및 참조 : 누가 누구와 의사소통했는지, 여기서 노드는 사람이고 두 사람이 서로 의사소통을 하면 가장자리가 있는지에 대한 내부 그래프를 생성합니다. 다음 단계에서 모듈은 가장 상호 연결된 사람들부터 시작하여 훔친 연락처를 주문하고 이 정보를 C&C 서버로 보냅니다.

이 모든 노력은 MailPassView Stealer 모듈과 Spammer 모듈이라는 두 가지 추가 모듈(게시 중단 이전에 이미 존재함)로 보완됩니다. MailPassView Stealer는 암호 복구를 위해 합법적인 NirSoft 도구를 남용하고 이메일 애플리케이션에서 자격 증명을 훔칩니다. 도난당한 이메일, 자격 증명 및 누구와 연락하고 있는지에 대한 정보가 처리되면 Mealybug는 이전에 도난당한 대화에 대한 답장처럼 보이는 악성 이메일을 생성하고 해당 자격 증명을 사용하여 전송하는 스패머 모듈에 도난당한 자격 증명과 함께 해당 이메일을 보냅니다. SMTP를 통한 이전 이메일 대화에 대한 악의적인 회신.

Google 크롬 신용 카드 도용자

이름에서 알 수 있듯이 Google Chrome Credit Card Stealer는 Google Chrome 브라우저에 저장된 신용 카드에 대한 정보를 훔칩니다. 이를 달성하기 위해 모듈은 일반적으로 다음 위치에 있는 웹 데이터 데이터베이스 파일에 액세스하기 위해 정적으로 연결된 SQLite3 라이브러리를 사용합니다. %LOCALAPPDATA%GoogleChromeUser DataDefault웹 데이터. 모듈이 테이블을 쿼리합니다. 신용 카드 for 이름_카드_카드, 만기 월, 만료_년및 카드_번호_암호화됨, 기본 Google 크롬 프로필에 저장된 신용 카드에 대한 정보가 포함되어 있습니다. 마지막 단계에서 card_number_encrypted 값은 %LOCALAPPDATA%GoogleChromeUser Data로컬 상태 파일 모든 정보는 C&C 서버로 전송됩니다.

Systeminfo 및 Hardwareinfo 모듈

Emotet이 돌아온 직후 2021년 XNUMX월에 Systeminfo라는 새로운 모듈이 등장했습니다. 이 모듈은 손상된 시스템에 대한 정보를 수집하여 C&C 서버로 보냅니다. 수집된 정보는 다음으로 구성됩니다.

• 출력 SYSTEMINFO 명령
• 출력 ipconfig를 / 모두 명령
• 출력 테스트 /dclist: 명령(2022년 XNUMX월 삭제됨)
• 프로세스 목록
• 가동 시간(통해 얻음 GetTickCount) 초 단위(2022년 XNUMX월에 삭제됨)

In 2022년 XNUMX월 Emotet의 운영자는 Hardwareinfo라는 또 다른 새 모듈을 출시했습니다. 손상된 시스템의 하드웨어에 대한 정보를 독점적으로 훔치지는 않지만 Systeminfo 모듈에 대한 보완 정보 소스 역할을 합니다. 이 모듈은 손상된 시스템에서 다음 데이터를 수집합니다.

• 컴퓨터 이름
• ID / Username
• 메이저 및 마이너 버전 번호를 포함한 OS 버전 정보
• 세션 ID
• CPU 브랜드 문자열
• RAM 크기 및 사용량에 대한 정보

두 모듈 모두 하나의 주요 목적을 가지고 있습니다. 통신이 합법적으로 손상된 피해자로부터 오는지 여부를 확인하는 것입니다. Emotet은 특히 컴백 이후 컴퓨터 보안 업계와 연구자들 사이에서 정말 뜨거운 주제였기 때문에 Mealybug는 활동 추적 및 모니터링으로부터 자신을 보호하기 위해 많은 노력을 기울였습니다. 데이터를 수집할 뿐만 아니라 추적 방지 및 분석 방지 트릭을 포함하는 이 두 모듈에서 수집한 정보 덕분에 실제 피해자를 맬웨어 연구원의 활동 또는 샌드박스와 구별하는 Mealybug의 기능이 크게 향상되었습니다.

무엇 향후 계획?

ESET 연구 및 원격 측정에 따르면 2023년 XNUMX월 초부터 봇넷의 두 에포크가 조용해졌습니다. 현재 이것이 작성자에게 또 다른 휴가 시간인지, 새로운 효과적인 감염 벡터를 찾기 위해 고군분투하고 있는지 또는 봇넷을 운영하는 새로운 사람이 있습니다.

2023년 XNUMX월에 봇넷의 Epoch 중 하나 또는 둘 모두가 누군가에게 판매되었다는 소문을 확인할 수는 없지만 Epoch 중 하나에서 비정상적인 활동을 발견했습니다. 다운로더 모듈의 최신 업데이트에는 모듈의 내부 상태를 기록하고 실행을 파일로 추적하는 새로운 기능이 포함되었습니다. C:JSmith로더 (그림 6, 그림 7). 실제로 무언가를 기록하려면 이 파일이 존재해야 하므로 이 기능은 모듈이 수행하는 작업과 작동 방식을 완전히 이해하지 못하는 사람을 위한 디버깅 출력처럼 보입니다. 또한 그 당시 봇넷은 Spammer 모듈을 널리 퍼뜨리고 있었는데, 이 모듈은 Mealybug가 역사적으로 안전하다고 생각하는 시스템에서만 사용했기 때문에 Mealybug에게 더 소중한 것으로 간주됩니다.

그림 6. 다운로더 모듈의 동작 로깅

그림 7. 다운로더 모듈의 동작 로깅

봇넷이 현재 조용한 이유에 대한 설명이 사실이든 Emotet은 그 효율성으로 유명했으며 운영자는 봇넷을 재구축 및 유지 관리하고 몇 가지 개선 사항을 추가하기 위해 노력했습니다. 따라서 블로그를 계속 추적하여 미래가 가져올 결과를 확인하십시오. 우리를.

WeLiveSecurity에 게시된 연구에 대한 문의 사항은 다음으로 문의하십시오. Threatintel@eset.com.
ESET Research는 비공개 APT 인텔리전스 보고서 및 데이터 피드를 제공합니다. 본 서비스에 대한 문의사항은 ESET 위협 인텔리전스 페이지.

IoC

파일

네트워크

MITRE ATT&CK 기술

이 테이블은 다음을 사용하여 제작되었습니다. 버전 12 MITRE ATT&CK 기업 기술의.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
• 출처: https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet/