안녕하세요? 이스트시큐리티 시큐리티 대응센터(이하 ESRC)입니다. 지난 09월 22일 코니(Konni) 그룹의 새로운 위협활동이 포착되었습니다. ESRC는 이번 공격에 사용된 악성파일이 기존에 보고되었던 코니(Konni) 시리즈와 동일한 것으로 분류하였습니다. 지난 달 19일 보고한 바 있는 【코니(Konni) APT 조직, 러시아 문서로 위장한 공격 등장】 사례와 매우 유사합니다. ■ 러시아어로 작성된 악성문서 공격 지속 공격에 사용된 벡터는 스피어 피싱(Spear Phishing) 방법이 사용되었을 것으로 추정되며, 한국에서 보고되었습니다. 첨부파일로 사용되었을 것으로 의심되는 악성파일은 러시아어로 'Россия – КНДР – РК – торгово-экономические связи – инве..

악성코드 분석 리포트 2019. 9. 27. 09:45

■ 김수키(Kimsuky)와 연계된 코니(Konni) APT 조직 활발 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 지난 23일 금요일 오후, 마치 한국내 비트코인 거래소 해킹 공지처럼 사칭한 스피어 피싱(Spear Phishing) 공격이 발견되어, 휴일 기간 스마트기기 안전에 각별한 주의가 요망됩니다. ESRC에서는 여러 공격벡터와 각종 지표를 종합한 결과, 기존 '코니(Konni)' 그룹을 이번 공격 배후로 지목했으며, 이른바 '김수키(Kimsuky)' 조직과 직간접 연계 가능성에 무게를 두고 있습니다. 이와 관련된 내용은 아래 최근 포스팅을 참고해 주시면 좋겠습니다. ▶ 코니(Konni) APT 조직, 러시아 문서로 위장한 공격 등장 (2019. 08. 19)▶ [스페셜 리포..

악성코드 분석 리포트 2019. 8. 24. 17:42

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 지난 08월 16일(금) 러시아어 파일명을 쓰는 악성파일이 보안 모니터링 과정 중에 발견되었습니다. 그러나 해당 악성문서는 한국어 기반으로 제작되었습니다. ESRC는 공격벡터와 코드기법 등을 종합적으로 분석한 결과 코니(Konni) 시리즈로 분석을 완료하였습니다. 코니 시리즈는 수년간 꾸준히 발견되는 위협 캠페인 중에 하나이며, 06월 10일 【[스페셜 리포트] APT 캠페인 'Konni' & 'Kimsuky' 조직의 공통점 발견】 리포트를 공개한 바 있습니다. ■ 러시아 문서로 위장한 APT 공격 분석 파일명 작성자 최종 수정자 최종 수정일 MD5 О ситуации на Корейском полуострове и перспективах..

악성코드 분석 리포트 2019. 8. 19. 16:10

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 과거부터 한국과 해외 등을 상대로 은밀히 활동중인 APT(지능형 지속 위협) 공격조직 일명 '코니(Konni)'의 배후를 추적하는 과정에서 '탈륨(Thallium)/김수키(Kimsuky)'와 연관된 몇가지 의심스러운 정황들을 관찰했습니다. 김수키 조직은 특정 정부의 지원을 받고 있으며, 최근까지 코니 조직과는 별다른 연결고리가 공식적으로 보고된 바 없습니다. 그러나 ESRC는 코니 캠페인에 연루된 몇몇 위협 흔적들을 심층 분석하는 과정에서 단순 우연으로 보기 어려운 단서를 포착했고, 이를 통해 코니와 김수키 조직이 특별한 관계일 가능성이 높다는 결론에 도달했습니다. 본 스페셜 리포트는 베일에 싸여 있던 코니 조직의 배후와 실체를 연구한 ..

악성코드 분석 리포트 2019. 6. 10. 16:11

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 지난 01월 02일 【암호화폐 내용의 Konni APT 캠페인과 '오퍼레이션 헌터 아도니스'】 보고서를 공개한 바 있는데, 최근 이들의 사이버 위협 활동이 또 다시 감지되고 있습니다. File Name 요청주신 정책 관련 자료.doc (BlueSky) MD5 0eb6090397c74327cd4d47819f724953 C2 filer1.1apps[.]com File Name 젠트리온 지갑 관련자료.doc (BlueSky) MD5 2bfbf8ce47585aa86b1ab90ff109fd57 C2 filer2.1apps[.]com 한국어를 구사하는 대표적인 APT 위협 그룹 중에 하나인 'Konni' 조직은 아직도 베일에 쌓여있습니다. 최근 변..

악성코드 분석 리포트 2019. 5. 16. 01:38

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 일명 캠페인 Konni 이름으로 널리 알려져 있는 위협 벡터는 지난 2014년도부터 주로 북한관련 내용을 담은 루어(Lure) 데이터를 활용해 사이버 공격에 활용되고 있습니다. ESRC에서는 지난 10월 '작전명 해피 바이러스(Operation Happy Virus)'를 공개한 바 있고, '작전명 디코이 플레인(Decoy Plane)' 위협 인텔리전스 리포트가 2018년 12월에 쓰렛인사이드(Threat Inside)에 등록되었습니다. 공격자들은 지난 2018년 말, 정책 자료 또는 특정 암호화폐 지갑 관련 자료로 위장해 유포된 사례가 발견되었습니다. ESRC에서는 이번 공격의 연장선을 '작전명..

악성코드 분석 리포트 2019. 1. 2. 16:53

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. ESRC에서는 2018년 10월 18일 새로운 'KONNI' 캠페인의 활동을 발견했습니다. 'KONNI' 시리즈는 지난 2014년부터 주로 북한관련 내용을 담고 있는 미끼 파일로 유혹하고 있으며, 한국 언론매체를 통해 알려진 기사를 활용하고 있기도 합니다. 해당 위협 그룹은 주로 스피어 피싱(Spear Phishing) 공격을 통해 문서 파일 형태로 위장한 EXE, SCR 실행파일 형식이나 실제 문서파일(DOC 등) 취약점을 활용하기도 합니다. 이번에 새롭게 발견된 최신 'KONNI' 변종은 기존과 유사하게 EXE 악성코드 내부에 2개의 리소스 모듈을 숨기고 있으며, 악성파일 개발에 다음과 같..

악성코드 분석 리포트 2018. 10. 18. 17:25