■ 김수키(Kimsuky)와 연계된 코니(Konni) APT 조직 활발 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 지난 23일 금요일 오후, 마치 한국내 비트코인 거래소 해킹 공지처럼 사칭한 스피어 피싱(Spear Phishing) 공격이 발견되어, 휴일 기간 스마트기기 안전에 각별한 주의가 요망됩니다. ESRC에서는 여러 공격벡터와 각종 지표를 종합한 결과, 기존 '코니(Konni)' 그룹을 이번 공격 배후로 지목했으며, 이른바 '김수키(Kimsuky)' 조직과 직간접 연계 가능성에 무게를 두고 있습니다. 이와 관련된 내용은 아래 최근 포스팅을 참고해 주시면 좋겠습니다. ▶ 코니(Konni) APT 조직, 러시아 문서로 위장한 공격 등장 (2019. 08. 19)▶ [스페셜 리포..

악성코드 분석 리포트 2019. 8. 24. 17:42

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 지난 08월 16일(금) 러시아어 파일명을 쓰는 악성파일이 보안 모니터링 과정 중에 발견되었습니다. 그러나 해당 악성문서는 한국어 기반으로 제작되었습니다. ESRC는 공격벡터와 코드기법 등을 종합적으로 분석한 결과 코니(Konni) 시리즈로 분석을 완료하였습니다. 코니 시리즈는 수년간 꾸준히 발견되는 위협 캠페인 중에 하나이며, 06월 10일 【[스페셜 리포트] APT 캠페인 'Konni' & 'Kimsuky' 조직의 공통점 발견】 리포트를 공개한 바 있습니다. ■ 러시아 문서로 위장한 APT 공격 분석 파일명 작성자 최종 수정자 최종 수정일 MD5 О ситуации на Корейском полуострове и перспективах..

악성코드 분석 리포트 2019. 8. 19. 16:10

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 지난 01월 02일 【암호화폐 내용의 Konni APT 캠페인과 '오퍼레이션 헌터 아도니스'】 보고서를 공개한 바 있는데, 최근 이들의 사이버 위협 활동이 또 다시 감지되고 있습니다. File Name 요청주신 정책 관련 자료.doc (BlueSky) MD5 0eb6090397c74327cd4d47819f724953 C2 filer1.1apps[.]com File Name 젠트리온 지갑 관련자료.doc (BlueSky) MD5 2bfbf8ce47585aa86b1ab90ff109fd57 C2 filer2.1apps[.]com 한국어를 구사하는 대표적인 APT 위협 그룹 중에 하나인 'Konni' 조직은 아직도 베일에 쌓여있습니다. 최근 변..

악성코드 분석 리포트 2019. 5. 16. 01:38

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 일명 캠페인 Konni 이름으로 널리 알려져 있는 위협 벡터는 지난 2014년도부터 주로 북한관련 내용을 담은 루어(Lure) 데이터를 활용해 사이버 공격에 활용되고 있습니다. ESRC에서는 지난 10월 '작전명 해피 바이러스(Operation Happy Virus)'를 공개한 바 있고, '작전명 디코이 플레인(Decoy Plane)' 위협 인텔리전스 리포트가 2018년 12월에 쓰렛인사이드(Threat Inside)에 등록되었습니다. 공격자들은 지난 2018년 말, 정책 자료 또는 특정 암호화폐 지갑 관련 자료로 위장해 유포된 사례가 발견되었습니다. ESRC에서는 이번 공격의 연장선을 '작전명..

악성코드 분석 리포트 2019. 1. 2. 16:53

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. ESRC에서는 2018년 10월 18일 새로운 'KONNI' 캠페인의 활동을 발견했습니다. 'KONNI' 시리즈는 지난 2014년부터 주로 북한관련 내용을 담고 있는 미끼 파일로 유혹하고 있으며, 한국 언론매체를 통해 알려진 기사를 활용하고 있기도 합니다. 해당 위협 그룹은 주로 스피어 피싱(Spear Phishing) 공격을 통해 문서 파일 형태로 위장한 EXE, SCR 실행파일 형식이나 실제 문서파일(DOC 등) 취약점을 활용하기도 합니다. 이번에 새롭게 발견된 최신 'KONNI' 변종은 기존과 유사하게 EXE 악성코드 내부에 2개의 리소스 모듈을 숨기고 있으며, 악성파일 개발에 다음과 같..

악성코드 분석 리포트 2018. 10. 18. 17:25