|
리투아니아의 국립 병원을 공격한 Emotet 랜섬웨어 침해사고분석팀 2020.12.31 |
|
|
리투아니아 국립 공중보건센터(NVSC)와 여러 지방자치단체의 내부 네트워크가 국가 기관을 대상으로 한 대규모 악성코드 캠페인에 의해 감염됐다. 악성코드가 포함된 문서를 열었을 때 바이러스가 내부 네트워크로 퍼져나갔다고 NVSC 관계자들은 말했다.
감염된 컴퓨터는 추가 파일을 다운로드한 후 가짜 이메일을 보내거나 다른 유형의 악의적인 활동을 하기 시작한다.
리투아니아 정부 관계자, 정부 부처 대표 등 이메일을 통해 Emotet 랜섬웨어의 공격을 받았다. 바이러스의 확산을 막기 위해 22일 NVSC e-mail 시스템이 잠정 폐쇄됐으며, NVSC 기술 전문가들은 현재 국가 사이버 보안 센터의 전문가들과 함께 Emotet 감염의 영향받는 시스템을 최소화하고 이메일을 복구하기 위해 힘쓰고 있다.
리투아니아 국가 사이버 보안 센터(NKSC)의 소장은 "Emotet 이메일이 비밀번호로 보호된 문서를 첨부 파일로 이용해 악성코드를 유포한 뒤, 이메일 본문에서 비밀번호를 공유했다"고 경고했다.
이로 인해 악성 전자 메일을 탐지하는 것을 방지하여 대상 사용자가 직접 첨부 파일을 열도록 하였다. 이러한 방법은 회사 등의 스팸 필터링을 우회할 수 있는 Emotet의 특징이며 Qbot, URSNIF 피싱 캠페인 등에서도 사용되었다.
NKSC는 SPF(Sender Policy Framework) 이메일 인증을 활성화하고 적절하게 구성할 수 있도록 잠재적 목표를 권장하는 권고 사항을 발표하였다.
한달 반의 휴식 후 Emotet 봇넷은 12월 21일 부활했고, 마이크로소프트는 대량의 이메일에 대한 유인책, 암호로 보호된 첨부 파일 등의 특징을 보이는 공격을 확인했다.
Microsoft Security Intelligence는 트위터를 통해 "새 이모텟 캠페인은 여전히 7개의 악성 도메인에 연결하여 이모텟 페이로드를 다운로드하는 악성 매크로가 포함된 문서를 사용한다"고 밝혔다.
출처 |
