금융 정보 탈취 악성코드 '이모텟'이 몇 달 간의 비활성화 시기를 거치고 다시 유포되기 시작했다는 분석이 나왔다.
미국 지디넷은 글로벌 스팸 관련 활동을 추적하는 조직 스팸하우스의 보안 연구원인 라시드 바트의 분석을 인용해 17일 이같이 보도했다.
바트 연구원에 따르면 이모텟은 이날부터 새로운 스팸 메일을 통해 유포되기 시작했다. 이메일에 악성 링크 또는 악성 파일이 포함된 형태다. 유포된 악성 이메일들은 폴란드어·독일어 사용자를 노렸다.
이모텟은 지난 2014년 유럽에서 처음 발견됐다. 이모텟에 감염된 기기는 네트워크(봇넷)로 연결된다. 이모텟은 감염된 기기들에서 로컬 앱의 비밀번호를 탈취하고, 이후 또다른 이메일 공격을 위해 이메일 스레드를 도용하는 등의 공격을 수행한다.
이모텟 제작자는 이 봇넷을 서비스형 맬웨어(MaaS)로 운영, 다른 범죄 조직이 감염된 기기에 접속할 수 있게 하면서 또다른 변종 악성코드도 유포할 수 있게 한 것으로 알려져 있다.
지난해 4월 보안 관제 기업 SK인포섹의 보안 전문가 그룹 '이큐스트'에 따르면 이모텟으로 인해 국내 중견기업 몇 곳이 피해를 입기도 했다. 거래처 발신자로 위장해 악성 문서를 첨부한 메일을 보내고, 최초 감염된 PC를 통해 내부 PC와 주요 시스템에서 정보를 빼갔다.
이 악성코드의 명령제어(C2) 서버는 지난 5월 말 다운됐다. 이후 지난달 말 다시 활성화됐다.
분석에 따르면 이모텟의 배후에 있는 해커 '밀리버그'는 C2 서버가 활성화됐음에도 바로 이메일 공격을 수행하지 않았다. 바트 연구원은 이 공격자가 이모텟을 직접 뿌리는 대신, 몇 주 간 이모텟 '측면 이동'·'계정 탈취' 모듈의 바이너리를 제공하기만 했다고 설명했다.
이 기간 동안 비활성화했던 봇넷과의 통신을 재정비하고, 대대적인 공격을 수행하기 전 봇넷 규모를 최대한 확대하기 위해 로컬 네트워크에 스팸 이메일을 전송한 것으로 분석됐다.
해커가 이모텟의 C2 서버를 비활성화한 이유에 대해서는 밝혀진 바가 없다. 다만 미국 지디넷은 봇넷이 몇 달 간 비활성화하는 것은 그리 드문 일이 아니라고 부연했다.
관련기사
- "올해 악성메일 공격 건수, 전년比 두 배"2019.09.17
- 중국의 반격…"미국이 해킹 공격 진원지"2019.09.17
- "1월초 통일부 기자단 공격한 해커그룹, 아직도 활동중"2019.09.17
- "해외 구매 송장 메일로 위장한 악성코드 주의"2019.09.17
악성코드 '드라이덱스'가 일례다. 드라이덱스 관련 봇넷을 운영하는 해커는 휴가를 이유로 매년 12월 중순부터 한 달 가량 운영을 중단한다. 이모텟과 같이 인프라 재정비 기간을 갖는 일부 봇넷도 존재한다.
지난 2월 멘로시큐리티는 자사 블로그를 통해 1월부터 이모텟을 이용한 공격이 급증하고 있다며, 지난해에 이어 올해도 가장 강력한 은행 트로이목마가 될 것이라고 전망했다.