안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 정부차원의 사이버 위협 조직을 분류하는데는 많은 자료 수집과 오랜기간의 연구조사가 필요하며, 위협 행위자가 활용한 거점 인프라와 각종 지표기반의 근거 데이터 확보가 우선시 되어야 합니다. ESRC 연구원들은 코니(Konni) 조직과 탈륨(Thallium, aka Kimsuky) 조직의 연관관계를 여러 차례 기술한 바 있고, 최근에는 탈륨 조직명으로 통합분류한 '탈륨 조직, 북한경제분야 활동 러시아 연구원 상대로 정교한 사이버 공격 수행 (2021. 02. 01)' 내용도 공개한 바 있습니다. ▷ [스페셜 리포트] 탈륨(김수키)과 코니 APT 그룹의 연관관계 분석 Part3 (2020. 11. 22) ▷ 코니(Konni) APT 조직, 안드로이..

악성코드 분석 리포트 2021. 2. 3. 17:44

안녕하세요? 이스트시큐리티입니다. 오늘은 정보보호의 최전방, 이스트시큐리티 시큐리티대응센터(ESRC)를 이끄는 문종현 센터장(이사)과 한 언론매체의 인터뷰 내용을 소개해 드리겠습니다. 국가 사이버안보 분야에서 20년 넘게 연구해 온 문종현 센터장은 인터뷰를 통해 세계가 디지털화되면서 편의성은 높아지는 반면 위험성도 함께 높아지고 있다고 말했습니다. 문 센터장은 현재 ▲KISA 사이버위협 인텔리전스 소속위원 ▲국가정보원 NCSC 침해사고대응 전문가그룹 자문위원 ▲국방부 사이버작전사령부 자문위원 ▲경찰청 사이버안전국/보안국 자문위원 ▲과기정통부 사이버보안전문단 등으로 활발히 활동하고 있으며, 대한민국 사회 전반의 사이버 보안 강화에 기여한 공로를 인정받아 정보보호 유공 국무총리 표창 수상 등 다수의 정부 표..

알약人 이야기 2020. 6. 12. 10:57

안녕하세요.이스트시큐리티 ESRC(시큐리티대응센터)입니다. ‘Konni’ 조직의 APT 공격 방식과 매우 유사한 특징을 가진 문서 파일이 포착되었습니다. * 코니(Konni) APT 조직 2014년부터 지금까지 꾸준히 활동을 하고 있는 특정 정부의 지원을 받는 APT 조직으로, 스피어피싱 공격 방식을 사용하며 주로 북한과 관련된 내용이나 현재 사회적으로 화두가 되고 있는 이슈들로 사용자들의 메일 열람 / 첨부파일 실행을 유도합니다. 2019년 6월, 이스트시큐리티는 코니(Konni)조직을 추적하는 과정 중 김수키(Kimsuky)조직과 관련된 몇가지 의심스러운 정황들을 포착하였으며, 코니와 김수키 조직이 특별한 관계에 있을 것으로 추측하고 있습니다. 이번에 발견된 공격은 스탠포드(Stanford) 대학교 ..

악성코드 분석 리포트 2020. 5. 27. 08:45

안녕하세요. ESRC(시큐리티 대응센터)입니다. 마스크는 코로나19 바이러스의 가장 효과적인 예방책 중 한 가지로 알려져 있습니다. 최근 전 세계적으로 마스크에 대한 관심과 수요가 크게 증가한 상황에서 관련 문서 내용으로 위장한 악성 문서가 발견되었습니다. 이 악성 문서를 사용자가 열어볼 경우, 사용자 PC에 악성코드 설치 및 주요 정보가 탈취될 수 있기 때문에 각별한 주의가 필요합니다. ESRC에서는 지난 21일 특정 정부 후원을 받는 것으로 추정되는 대표적인 APT 공격 그룹 중 하나인 코니(Konni) 조직의 공격을 확인했습니다. 코니(Konni) 조직은 최근 몇 년간 꾸준히 국내를 타깃으로 APT 공격을 수행하는 조직으로 ESRC에서는 이미 몇 차례 Konni 조직의 APT 공격을 확인하고 경고한..

악성코드 분석 리포트 2020. 4. 22. 16:46

안녕하세요.이스트시큐리티 ESRC 입니다. '북한 중앙위원회 전원회의', '2020년 동경 패럴림픽' 관련 문서로 위장한 코니(Konni) APT 그룹 스피어피싱 공격이 포착되었습니다. * 코니(Konni) APT 조직 2014년도부터 지금까지 꾸준히 활동을 하고있는 APT 조직으로, 스피어피싱 공격방식을 사용하며, 주로 북한과 관련된 내용이나 현재 사회적으로 화두가 되고 있는 이슈들로 사용자들의 클릭을 유도합니다. 2019년 6월, 이스트시큐리티는 코니(Konni)조직을 추적하는 과정 중 김수키(Kimsuky)조직과 관련된 몇가지 의심스러운 정황들을 포착하였으며, 코니와 김수키 조직이 특별한 관계에 있을 것이라고 추측중에 있습니다. 이번에 발견된 2개의 악성문서는 각각 1월 14일과 15일에 제작된 것..

악성코드 분석 리포트 2020. 1. 16. 16:47

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 12월 12일, 알약(ALYac)에 탑재되어 있는 ETI 위협정보 수집기능을 통해 '코니(Konni)' 조직으로 분류된 신규 APT 위협정보가 식별됐습니다. 초기 공격 링크에 'error-hanmail[.]net' 도메인이 사용되었으며, 다시 'mallesr[.]com' C2 주소로 이어집니다. 탐지된 침해지표(IoC)를 분석한 결과, 광주 성형외과 운영관계자 간 법적소송 문건을 담고 있는 악성 한글(HWP)문서가 공격벡터에 활용되었습니다. ESRC는 그동안 코니 조직이 사용했던 위협패턴과 전술 정황을 고려해 '스피어 피싱(Spear Phishing)'을 통해 악성 문서가 전달되었을 것이라 추정하고 있습니다. 이번 공격에 사용된..

악성코드 분석 리포트 2019. 12. 12. 15:10

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 일명 '코니(Konni)' 조직으로 명명된 APT 공격그룹이 최근 HWP 한글문서 취약점을 적극적으로 활용하기 시작했습니다. 정부 후원을 받는 것으로 추정되는 '코니(Konni)' 그룹은 '김수키(Kimsuky)' 조직과의 연관성이 높으며, 최근 암호화폐 거래관련 미끼 파일을 이용하고 있습니다. ESRC에서 두 조직간의 연결고리가 이어지고 있다는 점에 주목하고 있으며, 이번 APT 작전을 '오퍼레이션 코인 플랜(Operation Coin Plan)'으로 명명하고 지속적인 분석을 진행 중입니다. ■ 코니(Konni) 조직, HWP 취약점 활용 새롭게 발견된 악성 문서파일은 2019년 10월 01일 제작되었고, '마켓팅플랜.hwp' 이름으로 ..

악성코드 분석 리포트 2019. 10. 1. 19:15

안녕하세요? 이스트시큐리티 시큐리티 대응센터(이하 ESRC)입니다. 지난 09월 22일 코니(Konni) 그룹의 새로운 위협활동이 포착되었습니다. ESRC는 이번 공격에 사용된 악성파일이 기존에 보고되었던 코니(Konni) 시리즈와 동일한 것으로 분류하였습니다. 지난 달 19일 보고한 바 있는 【코니(Konni) APT 조직, 러시아 문서로 위장한 공격 등장】 사례와 매우 유사합니다. ■ 러시아어로 작성된 악성문서 공격 지속 공격에 사용된 벡터는 스피어 피싱(Spear Phishing) 방법이 사용되었을 것으로 추정되며, 한국에서 보고되었습니다. 첨부파일로 사용되었을 것으로 의심되는 악성파일은 러시아어로 'Россия – КНДР – РК – торгово-экономические связи – инве..

악성코드 분석 리포트 2019. 9. 27. 09:45