청호PENTEST - Professional Penetration Testing Company

Select Language
조회 수 : 29
2020.01.20 (06:02:01)
코니, 김수키와 유사성 발견된 공격 그룹...매크로 및 악성파일 구조 비슷해
악성코드에 감염되면 사용자 PC 주요 정보 업로드 및 원격제어가 가능한 RAT 감염 등 2차 피해


 대표적인 APT(지능형 지속위협) 공격 조직 중 하나인 ‘코니(Konni)’의 스피어 피싱(Spear Phishing) 공격 시도가 2020년 들어 새롭게 포착되어 각별한 주의가 필요하다고 보안 전문 기업 이스트시큐리티(대표 정상원)가 밝혔다. 새롭게 발견된 APT 공격은 이메일에 악성 DOC 문서 파일을 첨부하는 방식을 사용한 것으로 추정되며, 스피어 피싱에 활용된 악성 문서 2종은 1월 14일과 15일에 작성된 최신 위협 사례로 분석됐다.

▲ 2020년 동경 패럴림픽과 북한 2020년 정책 관련 내용의 러시아어로 위장한 문서화면[자료=이스트시큐리티]


공 격에 활용된 악성 DOC 문서 파일 2종은 파일을 저장한 사람의 이름이 ‘Georgy Toloraya’로 동일하며, 내부 코드 페이지가 한국어 기반으로 제작된 것이 특징이다. 또한, 문서 파일은 러시아어로 작성되어 있으며, 북한의 2020년 정책과 일본의 2020년 패럴림픽 관련 내용을 담고 있다.

▲동일한 이름으로 저장된 문서 속성 화면[자료=이스트시큐리티]


특 히, 일본 2020년 패럴림픽 관련 문서의 파일명은 실존하는 자선 단체인 ‘Kinzler Foundation’을 사칭한 ‘Kinzler Foundation for 2020 Tokyo Paralympic games.doc’로, 메일 수신자가 신뢰하고 문서를 열어보도록 유도하고 있다.

공격에 활용된 악성 매크로 코드는 과거 코니가 활용했던 매크로와 거의 유사하게 만들어졌으며, 악성 문서 파일 구조 역시 매우 흡사한 것으로 드러났다. 아울러 공격자는 보안 탐지와 분석 등을 회피하기 위해 커스텀 Base64 코드 방식을 적용했는데, 이 역시 작년 9월 코니 그룹의 러시아-북한-한국 무역, 경제 관계 투자 문서로 수행된 수법과 정확히 일치한다.

만약, 이메일을 수신한 사용자가 첨부된 러시아어 내용의 문서나 일본 패럴림픽 관련 내용에 속아 ‘콘텐츠 사용’ 버튼을 클릭하게 되면, 내부에 포함된 악의적 VBA 코드가 활성화되면서 정상적인 문서 내용을 보여줌과 동시에 악성코드가 은밀히 실행된다. 악성코드에 감염되면 공격자가 임의로 지정한 FTP 서버로 사용자 PC 시스템의 주요 정보를 업로드하고, 공격자의 추가 명령에 따라 원격제어가 가능한 RAT 감염 등 2차 피해로 이어질 수 있다.

이스트시큐리 티 보안 대응 전문 조직 ESRC의 문종현 이사는 “2019년 코니(Konni)와 김수키(Kimsuky) 조직 간의 공통점이 발견된 사례가 있었던 만큼 두 조직에 대한 지속적인 연구가 필요하다”면서, “특히, 북한 관련 주제를 활용한 코니 조직의 APT 공격이 꾸준히 이어져 왔으며 2020년 새해에도 코니 조직의 활동이 새롭게 포착돼 ESRC에서는 집중 모니터링을 강화하고 변종에 대한 대응을 철저히 진행하고 있다”고 말했다.

현재 ESRC에서는 보고된 변종 악성 DOC 문서 파일에 의한 악성 코드 감염 피해 방지를 위해, 자사의 백신 알약(ALYac) 긴급 업데이트를 진행했다. 현재 알약에서는 관련 문서 파일을 탐지명 ‘Trojan.Downloader.W97M.Gen’으로 차단 치료 가능하다. ESRC는 이번 공격에 대한 추가 분석이 완료되면, 관련 내용을 자사의 위협 대응 솔루션 ‘쓰렛 인사이드(Threat Inside)’와 알약 공식 블로그를 통해 제공할 예정이다.
번호 제목 닉네임 조회 등록일
8339 ‘통일외교안보특보 발표 문서’ 사칭 스피어피싱 공격... 김수키 추정
[레벨:30]관리자
29 2020-01-20
8338 배송대행 업체 산타빌리지 해킹... 해커, 개인정보 볼모로 협박중
[레벨:30]관리자
24 2020-01-20
8337 얼굴인식 AI를 속이는 AI? 기만 공격 가능하다
[레벨:30]관리자
37 2020-01-20
Selected 코니 APT 공격 출현... 2020년 동경 패럴림픽 문서 위장했다
[레벨:30]관리자
29 2020-01-20
8335 MS IE 제로데이 취약점 악용한 타깃 공격 발생
[레벨:30]관리자
31 2020-01-20
8334 청와대 행사 견적서 사칭 변종 공격 발견... 北 추정 ‘김수키’ 조직이 또?
[레벨:30]관리자
20 2020-01-20
8333 2019년 4분기, ‘소디노키비’ 랜섬웨어 최다 유포...‘넴티’ 랜섬웨어도 급증
[레벨:30]관리자
41 2020-01-10
8332 마이크로소프트, 북한 해커들의 공격용 도메인 무력화시켜
[레벨:30]관리자
31 2020-01-10
8331 이메일 시스템 업그레이드? 사용자 계정 노린 피싱 메일 유포
[레벨:30]관리자
41 2020-01-10
8330 공정위, 조사공문 사칭한 해킹메일 피해 주의 당부
[레벨:30]관리자
34 2020-01-10
8329 공정거래위원회 사칭한 ‘악성메일’ 유포중
[레벨:30]관리자
44 2019-12-31
8328 유명 라우터들 취약점 악용해 디도스 공격하는 Mozi P2P 봇넷…주의
[레벨:30]관리자
52 2019-12-30
8327 최근 국내외 제조업체 등 기업 대상 해킹 공격 지속…주의
[레벨:30]관리자
42 2019-12-30
8326 2019년 화려하게 부활한 랜섬웨어 총정리
[레벨:30]관리자
36 2019-12-30
8325 시트릭스 제품군 보안 취약점 발견
[레벨:30]관리자
48 2019-12-30
8324 중국의 APT20, 2년 동안 10여개 국에서 스파이 활동 벌여
[레벨:30]관리자
59 2019-12-26
8323 안드로이드용 트위터 앱에서 취약점 발견
[레벨:30]관리자
39 2019-12-26
8322 “2020년, 위협 인텔리전스 기반으로 실시간 위협 대응 능력 키워야”
[레벨:30]관리자
56 2019-12-23
8321 KEB하나은행 보안메일 사칭한 피싱 메일 유포중
[레벨:30]관리자
87 2019-12-23
8320 한 단계 더 발전한 메이즈 랜섬웨어, 이젠 데이터 공개까지
[레벨:30]관리자
44 2019-12-23
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X