Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향FBI, Emotet에서 사용하는 이메일 주소 4백만개 공유
작성일 2021-04-28 조회 88

 

 

 

FBI가 Emotet을 견제하기 위해 Emotet이 악용하는 이메일 주소 400만개를 HaveIBeenPwned에 공유했다. 사용자는 HaveIBeenPwned가 운영하는 사이트에 들어가 자신의 이메일 주소를 입력하기만 하면 자신의 이메일 주소가 악용되고 있는지 확인할 수 있다.

 

 

 

[그림 1. HaveIBeenPwned에서 제공하는 사용자 이메일 주소 악용 여부 검색]

 

 

사법 당국은 4월 25일에 Emotet 악성 코드가 제거된 업데이트를 감염된 컴퓨터 시스템과 연결된 통신 회선을 이용하여 감염된 모든 시스템에게 전송할 수 있었다. 하지만 컴퓨터 시스템과 다르게 Emotet은 여전히 수 많은 이메일 주소를 악용하여 공격을 수행하고 있다. 표적에게 이메일 사칭을 이용한 스피어 피싱 공격을 수행하고 있는 것이다. 이에 따라 FBI는 Emotet에서 악용을 목적으로 사용되고 있는 이메일 주소 400만 개를 수집해왔고 현재 이를 HaveIBeenPwned 사에 공유한 것이다.

 

이와 같은 목적으로 NHTCU(National High Technical Crimes Unit)도 Emotet이 탈취한 430만 개의 이메일 주소를 HaveIBeenPwned에 공유했다. HaveIBeenPwned의 창시자 Troy Hunt는 자사 보유한 이메일 주소 중 39%가 이미 데이터 유출 사고의 일부로 사용되고 있다고 말했다.

 

이 이메일 주소는 여러 국가의 사용자들로부터 나온 것이다. 그들은 Emotet 혹은 그들의 웹 브라우저에 의해 수집 된 것들이다. HaveIBeenPwned는 사용자의 이메일 주소가 어떻게 Emotet에서 악용되는지 정확한 정보까지 공개하지 않는다. 하지만 네덜란드 경찰과 FBI에서 공유한 다량의 이메일 주소들에서 자신의 이메일 주소가 포함되어 있는지 검색하는 기능을 제공한다.

 

Emotet은 지난 10년동안 가장 유명한 봇넷 중 하나다. 전 세계적으로 수억 달러의 피해를 입히고 9개 월 만에 160만 대의 컴퓨터를 감염시켰다. 감염된 네트워크에선 QakBot 및 Trickbot 악성 코드를 유포하거나 Prolock, Egregor, Ryuk 및 Conti와 같은 랜섬 웨어를 배포하는데 사용되었다.

 

 

이모티콘 감염 과정

 

[그림 2. Emotet 공격 과정]

 

 

Emotet를 구성하는 3가지 요소들을 통제하기 위해 다양한 나라에서 노력을 아끼지 않고 있다. 지난 1월 27일엔 Emotet을 통제하기 위해 네덜란드와 독일 프랑스 등 유럽 국가들이 연합한 Europol이 Emotet을 통제하는 데 성공했다고 밝혔다.

 

 

출처 

https://www.bleepingcomputer.com/news/security/fbi-shares-4-million-email-addresses-used-by-emotet-with-have-i-been-pwned/

https://haveibeenpwned.com/

첨부파일 첨부파일이 없습니다.
태그 Emotet  HaveIBeenPwned