상세 컨텐츠

본문 제목

코로나 마스크 수요 관심을 노린 코니(Konni) 조직의 APT 공격 주의

악성코드 분석 리포트

by 알약(Alyac) 2020. 4. 22. 16:46

본문



안녕하세요. ESRC(시큐리티 대응센터)입니다.


마스크는 코로나19 바이러스의 가장 효과적인 예방책 중 한 가지로 알려져 있습니다. 최근 전 세계적으로 마스크에 대한 관심과 수요가 크게 증가한 상황에서 관련 문서 내용으로 위장한 악성 문서가 발견되었습니다. 


이 악성 문서를 사용자가 열어볼 경우, 사용자 PC에 악성코드 설치 및 주요 정보가 탈취될 수 있기 때문에 각별한 주의가 필요합니다.


ESRC에서는 지난 21일 특정 정부 후원을 받는 것으로 추정되는 대표적인 APT 공격 그룹 중 하나인 코니(Konni) 조직의 공격을 확인했습니다.


코니(Konni) 조직은 최근 몇 년간 꾸준히 국내를 타깃으로 APT 공격을 수행하는 조직으로 ESRC에서는 이미 몇 차례 Konni 조직의 APT 공격을 확인하고 경고한 바 있습니다.



[그림 1] 악성 DOC 문서 화면



이번에 발견된 악성 문서는 MS Word로 작성되었고 한국어 기반으로 제작되었으며 4월 21일에 생성된 것으로 추정됩니다. 사용된 공격 벡터와 코드 기법 등으로 코니(Konni) APT 조직의 공격과 동일하다는 것이 확인되었습니다.


코니(Konni) APT 조직은 2020년 들어서 지속적으로 공격을 시도 중입니다. 


실제로 2020년 초에도 러시아어로 작성된 북한의 2020년 정책, 일본 2020년 패럴림픽 관련 자선단체 문서를 사칭한 공격을 수행했으며, 최근 3월에도 'Keep an eye on North Korean Cyber'라는 악성 doc 문서를 활용한 공격을 진행하기도 했습니다.


이번에 발견된 악성 문서는 'guidance'라는 파일명을 사용하고 있으며, 만약 이메일을 수신한 사용자가 첨부된 악성 문서를 열람하면 문서 내용이 제대로 보이지 않습니다. 


문서 내용 확인을 위해 상단의 '콘텐츠 사용' 버튼을 클릭하도록 유도하고, 사용자가 '콘텐츠 사용'을 활성화할 경우 매크로 코드가 동작하며 추가 파일이 실행, C2 서버에서 추가 파일을 다운로드하여 최종 악성코드를 설치합니다. 


이때, 실제 word 문서가 실행되고 최근 전 세계적으로 크게 이슈가 되고 있는 코로나19 바이러스와 관련하여 수요와 관심이 급증하고 있는 마스크 관련 소개 내용을 보여주고 악성코드 감염 의심을 회피합니다.


이 과정에서 또한 공격자는 탐지와 분석을 회피하기 위해 커스텀 Base64 코드 방식을 적용합니다. 악성코드가 설치되는 과정과 탐지와 분석을 회피하기 위한 방식이 기존 Konni 조직과 동일합니다.


일단 악성코드에 감염될 경우, 공격자가 지정한 FTP로 감염된 PC의 시스템 정보 및 실행 중인 응용프로그램 및 관련 작업/프로세스 목록 정보가 업로드되며 또한 C2 서버를 통한 추가 공격도 발생할 수 있습니다.


Konni 조직은 2014년부터 국내 특정 조직을 타깃으로 사회공학적 기법을 활용한 다양한 APT 공격을 수행해왔습니다. 이들은 타깃이 관심을 가질만한 주제를 자주 공격에 활용하는 모습을 보여온 만큼, 각 기업과 기관에서는 이들의 움직임에 주목해야 합니다. 


알약에서는 해당 악성코드에 대해 'Trojan.Downloader.DOC.Gen, Trojan.Agent.245248K, Trojan.Agent.9216K'로 대응 중입니다. 이와 관련 IoC는 Threat Inside에서 확인하실 수 있습니다. 






관련글 더보기

댓글 영역