|
국제 협업으로 Emotet 봇넷 중단 침해사고분석팀 2021.01.28 |
|
|
Emotet 악성 코드를 사용하여 사이버 범죄자들이 구축한 오늘날 가장 위험한 봇넷의 인프라는 Europol과 Eurojust의 주도로 국제적 협력 조치에 따라 제거되었다.
네덜란드, 독일, 미국, 영국, 프랑스, 리투아니아, 캐나다 및 우크라이나의 법 집행 기관과 당국 간의 공동 노력으로 조사관은 봇넷의 서버를 제어하고 맬웨어의 작동을 방해할 수 있었다.
글로벌 조사에 따라 사법 당국과 법 집행 기관은 이번주 초에 서버를 제어한 후 봇넷의 전체 인프라를 내부에서 제거했다.
"EMOTET에서 사용한 인프라에는 전세계에 있는 수백대의 서버가 포함되어 있으며, 이들 모두 감염된 피해자의 컴퓨터를 관리하고, 새로운 컴퓨터로 확산하고, 다른 범죄 집단에 서비스를 제공하고, 궁극적으로 게시 중단 시도에 대해 네트워크를보다 탄력적으로 만들 수 있었습니다 . "라고 Europol은 설명한다.
"피해자의 감염된 컴퓨터는 법 집행기관이 통제하는 인프라로 리디렉션되었습니다. 이것은 사이버 범죄자의 활동을 효과적으로 방해하는 독특하고 새로운 접근 방식입니다." 라고 덧붙였다.
[그림1. Emotet 봇넷 인포그래픽]
Emotet 멀웨어는 2014년 금융 트로이 목마로 발견되었고 이후 2단계 악성 코드 페이로드를 배포하기 위해 TA542 위협 그룹(Mummy Spider)에 의해 봇넷으로 변화했다.
Emotet은 피해자의 손상된 컴퓨터에 QakBot 및 Trickbot(Ryuk 및 Conti 랜섬웨어를 모두 배포함) 트로이 목마 페이로드를 위치시킨다. 한 달동안의 잠적 이후, Emotet 봇넷은 12월 21일에 마이크로 소프트가 엄청난 양의 이메일, 거짓 응답, 암호화된 첨부파일등을 전달하는 캠페인을 발표하면서 다시 부활했다.
이 짧은 잠적 전에 Emotet은 10월 DHS-CISA 권고에 따르면 캠페인에서 잠재적인 표적으로 미국 주 및 지방 정부를 선택했다.
이외에 고도로 활동적인 TrickBot 봇넷은 2020년 10월 공동 운영 이후 부분적으로 일시중단되었다.
출처 https://www.bleepingcomputer.com/news/security/emotet-botnet-disrupted-after-global-takedown-operation/ https://securityaffairs.co/wordpress/113933/cyber-crime/emotet-global-takedown.html |
