이모텟 악성코드, 트릭봇을 통해 봇넷 재건 중

이모텟은 과거에 스팸 캠페인 및 악성 파일을 통해 가장 널리 확산되었던 악성코드 중 하나입니다. 지난 3~4년 동안 이모텟은 랜섬웨어 갱단 및 다양한 사이버 범죄 그룹을 위한 맬웨어 서비스 인프라 역할을 해왔습니다. 이러한 위협에 따라, 이모텟에 대한 국제적인 공조 수사가 이루어졌으며 올해 1월 초, 국제 법 집행작업에 의해 이모텟은 명령 및 제어 서버 인프라가 압수된 바 있습니다. 또한 4월 25일에는 압수한 인프라를 이용하여 감염된 모든 컴퓨터에서 이모텟 악성코드를 제거하는 조치가 이루어지면서 이모텟 악성코드는 역사속으로 사라지는 듯하였습니다. 하지만 최근 다시 이모텟 봇넷이 재건 중인 조짐이 발견되었습니다.

트릭봇 인프라를 통한 이모텟 로더 유포

최근 발견된 이모텟은 트릭봇의 인프라를 통하여 유포된 것으로 확인됩니다.

 

보안 연구원 루카 에바흐 (Luca Ebach)는 트릭봇이라는 또 다른 악성 코드 봇넷이 이전에 트릭봇에 감염된 시스템에 이모텟 악성 코드를 설치함으로써 이모텟 인프라가 재건 중인 것을 발견하였습니다. 과거에는 이모텟이 트릭봇을 설치하였지만, 이번에는 트릭봇을 통해 이모텟 로더가 설치되는 형태가 발견된 것입니다.

이모텟 연구 그룹인 Cryptolaemus는 이번에 발견된 이모텟 로더에 대한 분석을 진행하였고, 이전 변종에 비해 새로운 변화가 있다고 말했습니다. "이제 3-4개가 아닌, 7개의 명령이 있습니다. 다운로드 한 바이너리에 대한 다양한 실행 옵션이 될 것 같습니다."

이모텟 인프라 재건에 따른 랜섬웨어 감염 급증 우려

이러한 이모텟 감염 정황이 발견됨에 따라 일각에서는 이모텟 로더가 랜섬웨어 배포에 이용될 수 있음을 우려하면서 랜섬웨어 감염의 급증으로 이어질 것이라고 경고하고 있습니다. 실제로 새로운 이모텟 인프라는 빠르게 성장하고 있으며, 이미 246개 이상의 감염된 장치가 명령 및 제어 서버 역할을 하고 있는 것으로 확인되었습니다.

 

이에 따라 Abuse.ch는 새로운 이모텟 봇넷에 의해 활용되는 명령 및 제어 서버의 목록을 발표하였으며, 네트워크 관리자가 해당 목록을 확인하여 IP 주소를 차단할 것을 권고하였습니다.

[그림 1] 활성화 되어있는 이모텟 봇넷 C2 Server List (출처 : abuse.ch)

 

출처 :

https://www.bleepingcomputer.com/news/security/emotet-malware-is-back-and-rebuilding-its-botnet-via-trickbot/

https://therecord.media/emotet-botnet-returns-after-law-enforcement-mass-uninstall-operation/

https://twitter.com/abuse_ch/status/1460308766767915013

Team MIR