다수의 봇넷 기반 스팸 캠페인 및 랜섬웨어 공격의 배후에 있는 악명 높은 트로이 목마인 Emotet은 이미 감염된 장치를 사용하여 근처 Wi-Fi 네트워크에 연결된 새로운 피해자를 식별하는 새로운 공격 벡터를 발견했습니다.

에 따르면 Binary Defense의 연구원, 새롭게 발견된 Emotet 샘플은 "Wi-Fi 스프레더" 모듈을 활용하여 Wi-Fi 네트워크를 스캔한 다음 연결된 장치 감염을 시도합니다.

이 사이버 보안 회사는 Wi-Fi 확산기의 타임스탬프가 16년 2018월 XNUMX일로 지난 달 처음 감지될 때까지 거의 XNUMX년 동안 확산 동작이 "눈에 띄지 않게" 실행되었음을 나타냅니다.

이 개발은 원래 피해자와 물리적으로 가까운 네트워크가 이제 감염되기 쉽기 때문에 Emotet의 기능이 확대되었음을 나타냅니다.

Emotet의 Wi-Fi 스프레더 모듈은 어떻게 작동합니까?

이 악성코드의 업데이트된 버전은 이미 손상된 호스트를 활용하여 근처의 모든 Wi-Fi 네트워크를 나열하는 방식으로 작동합니다. 이를 위해 wlanAPI 인터페이스를 사용하여 SSID, 신호 강도, 인증 방법(WPA, WPA2 또는 WEP) 및 암호 보안에 사용되는 암호화 모드를 추출합니다.

이렇게 각 네트워크에 대한 정보를 얻으면 웜은 두 개의 내부 암호 목록 중 하나에서 얻은 암호를 사용하여 무차별 대입 공격을 수행하여 네트워크에 연결을 시도합니다. 연결에 실패하면 목록의 다음 암호로 이동합니다. 이 암호 목록이 어떻게 구성되었는지는 즉시 명확하지 않습니다.

그러나 작업이 성공하면 맬웨어는 새로 액세스한 네트워크에서 손상된 시스템을 연결하고 숨겨지지 않은 모든 공유를 열거하기 시작합니다. 그런 다음 두 번째 무차별 대입 공격을 수행하여 네트워크 리소스에 연결된 모든 사용자의 사용자 이름과 암호를 추측합니다.

무차별 공격에 성공한 후 웜은 새로 감염된 원격 시스템에 "service.exe"라고 하는 악성 페이로드를 설치하여 다음 단계로 이동합니다. 동작을 숨기기 위해 페이로드는 Windows Defender System Service(WinDefService)로 설치됩니다.

명령 및 제어(C2) 서버와 통신하는 것 외에도 이 서비스는 드롭퍼 역할을 하고 감염된 호스트에서 Emotet 바이너리를 실행합니다.

Emotet이 하나의 Wi-Fi 네트워크에서 다른 Wi-Fi 네트워크로 이동할 수 있다는 사실은 회사가 무단 액세스를 방지하기 위해 강력한 암호로 네트워크를 보호해야 하는 부담을 줍니다. 임시 폴더 및 사용자 프로필 응용 프로그램 데이터 폴더에서 실행되는 프로세스를 능동적으로 모니터링하여 맬웨어를 탐지할 수도 있습니다.

Emotet: 뱅킹 트로이 목마에서 멀웨어 로더까지

2014년에 처음 발견된 Emotet은 원래 뱅킹 트로이 목마에서 배포 방법에 따라 다운로더, 정보 도용자 및 스팸봇 역할을 할 수 있는 "Swiss Army knife"로 변형되었습니다.

수년에 걸쳐 랜섬웨어에 대한 효과적인 전달 메커니즘이기도 했습니다. Lake City의 IT 네트워크가 마비되었습니다. 지난 XNUMX월 한 직원이 실수로 Emotet 트로이목마를 다운로드한 수상한 이메일을 열어 TrickBot 트로이목마와 Ryuk 랜섬웨어를 다운로드한 후였습니다.

Emotet 기반 캠페인은 2019년 여름 내내 거의 사라졌지만 XNUMX월 컴백 "주로 금융을 주제로 한 현지 언어 미끼 및 브랜드가 있는 지리적으로 타겟팅된 이메일을 통해 악성 문서 첨부 파일 또는 유사한 문서에 대한 링크를 사용하여 사용자가 매크로를 활성화할 때 Emotet을 설치했습니다."

Binary Defense 연구원은 "Emotet에서 사용하는 이 새로 발견된 로더 유형을 통해 Emotet의 기능에 새로운 위협 벡터가 도입되었습니다."라고 결론지었습니다. "네트워크가 안전하지 않은 암호를 사용하는 경우 Emotet은 이 로더 유형을 사용하여 가까운 무선 네트워크를 통해 확산될 수 있습니다."