이모텟 봇넷, 179개국 13만개 장치 감염시켜

 

2021년 초 등장해 맹비난을 받은 후 잠시 사라졌던 한 때 악명높은 봇넷 이모텟이 다시 컴백했다. 시큐리티어페어 등 보안매체의 보도에 따르면 이모텟은 지난해 11월 컴백 이후 빠르게 성장했으며 현재 약 179개국에서 13만개 장치를 감염시켰다.

2014년에 처음 발견된 이모텟은 처음에는 뱅킹 트로이목마로 확산되었지만 트릭봇 및 큐봇과 같은 악성코드와 콘티, Prolock, Ryuk 및 Egregor 랜섬웨어를 포함하여 거대한 봇넷에 구축되었다. 2021년 11월, 여러 사이버 보안업체(Cryptolaemus, GData 및 Advanced Intel)의 연구원은 공격자가 트릭봇 악성코드를 사용하여 감염된 장치에 Emote 로더를 삽입하고 이모텟 봇넷의 활동을 재구성하고 있다고 발표했다.

또한 연구원들은 새로운 이모텟에 다음과 같이 몇 가지 기능이 있다고 지적했다.

탐지 및 분석을 회피하는 것 외에도 네트워크 트래픽을 암호화하고 프로세스 목록을 자체 모듈로 분리할 수 있다
네트워크 트래픽 보호 및 인증을 위해 RSA 암호화를 대체하는 ECC(Elliptic Curve cryptography) 체계를 채택한다
새 버전은 C2 연결을 설정한 후에만 프로세스 목록 모듈을 배포한다
더 나은 시스템 분석을 위해 더 많은 정보 수집 기능을 추가했다

한 편, 이전버전과 유사하게 이모텟의 C2 인프라 대부분은 미국과 독일에 있으며 프랑스, 브라질, 태국, 싱가포르, 인도네시아, 캐나다, 영국 및 인도가 그 뒤를 잇고 있다. 분석가들은 상위에 랭크된 국가일수록 더 오래되고 취약한 윈도우 기기가 있다고 분석했다.

[출처 : 中보안매체 / 3.14.]