러시아를 노린 캠페인에 사용된 Konni RAT의 새로운 변종 발견

 

 

New variant of Konni RAT used in a campaign that targeted Russia

 

Malwarebytes Labs의 보안 연구원이 Konni RAT을 통해 러시아를 노리는 현재 진행 중인 악성코드 캠페인을 발견했습니다.

 

Konni RAT은 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격에 악용되었습니다. 이 RAT은 지속적으로 진화하여 탐지를 피할 수 있었고, 타깃 시스템에서 임의 코드를 실행하고 데이터를 훔칠 수 있었습니다. Konni RAT는 Thallium, APT37로 알려진 북한 관련 공격자의 작업으로 추측됩니다.

 

Malwarebytes의 전문가들은 러시아어로 작성된 무기화된 문서 2건을 발견했습니다. 하나는 러시아와 한국 간의 무역 및 경제 문제를 미끼로 사용했으며, 다른 하나는 러시아와 몽골 정부 간 위원회의 회의를 미끼로 사용했습니다.

 

매크로를 활성화하면 감염 체인이 실행되며, 심하게 난독화된 Konni RAT의 새로운 변종을 배포하기 시작합니다.

 

Malwarebytes는 아래와 같이 분석했습니다.

 

“Konni APT가 사용하는 악성 문서는 단순하지만 영리한 동일한 매크로를 사용합니다. 이는 Shell 함수를 사용해 한 줄짜리 CMD 명령을 실행합니다. 이 한 줄짜리 명령은 현재 활성된 문서를 입력으로 가져오고, findstr을 사용하여 "^var" 문자열을 찾은 다음 "var"로 시작하는 줄의 내용을 y.js에 기록합니다. 마지막으로 Wscript Shell 함수를 호출하여 자바스크립트 파일(y.js)을 실행합니다.”

 

“공격자는 문서의 끝에서 악성 자바스크립트를 숨기려 시도했으며, 그들의 주요 의도를 숨기고 안티 바이러스 제품에 탐지되지 않도록 이를 매크로에 직접 넣지 않았습니다.”

 

 

<이미지 출처 : https://blog.malwarebytes.com/threat-intelligence/2021/08/new-variant-of-konni-malware-used-in-campaign-targetting-russia/>

 

  

연구원들은 이 캠페인과 과거 북한 관련 APT 그룹의 캠페인 사이에서 아래와 같은 여러 차이점을 발견했습니다.

 

- 다른 매크로 사용: 이전 캠페인에서는 텍스트 박스를 사용하여 데이터를 저장한 반면, 새 캠페인에서는 콘텐츠가 문서 콘텐츠 내에서 base64로 인코딩됨

- 새 캠페인에서는 배치 및 PowerShell 파일을 실행하는 데 자바스크립트 파일 사용

- 새 캠페인은 Powershell 및 URLMON API 호출을 사용하여 cab 파일을 다운로드하는 반면, 이전 캠페인에서는 certutil을 사용함

- 새 캠페인은 피해자의 OS를 기반으로 UAC 우회 기술 2가지를 사용했지만, 이전 캠페인에서는 토큰 사칭 기술만 사용함

- 새 캠페인에서 심하게 난독화된 Konni RAT의 새로운 변종을 개발했으며, 구성이 암호화되어 더 이상 base64로 인코딩되지 않음. 또한 유출에 FTP를 사용하지 않음

 

전문가들은 일본, 네팔, 몽골, 베트남 등 다른 나라에서도 감염 사례를 발견했습니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플에 대해 ’Trojan.Downloader.DOC.Gen’으로 탐지 중입니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/121625/apt/konni-rat-target-russia.html

https://blog.malwarebytes.com/threat-intelligence/2021/08/new-variant-of-konni-malware-used-in-campaign-targetting-russia/