“`html
1. Short Summary
The article discusses the increasing threat activity associated with the Kimsuky group, particularly focusing on the Konni campaign. It highlights the use of legitimate cloud and FTP services in a step-by-step infection chain, with various attack attempts targeting not only South Korea but also Russian government agencies. The article emphasizes the potential effectiveness of EDR-based active threat hunting and early detection of abnormal endpoint behavior.
2. Keypoints
- Analysis of the expanding Konni threat campaign associated with the Kimsuky cluster.
- Utilization of legitimate cloud and FTP services in a step-by-step infection chain technique.
- Existence of various attack attempts targeting not only South Korea but also Russian government agencies.
- Abuse of overseas free web hosting and domain services as attack bases.
- Expectation of effective early detection of abnormal endpoint behavior through EDR-based active threat hunting.
3. MITRE ATT&CK TTPs – created by AI
- Execution – T1203: Exploitation for Client Execution
- Procedures:
- Using malicious documents to exploit vulnerabilities in applications.
- Procedures:
- Command and Control – T1071: Application Layer Protocol
- Procedures:
- Using HTTP/S for command and control communications.
- Procedures:
- Persistence – T1053: Scheduled Task/Job
- Procedures:
- Creating scheduled tasks to maintain persistence on the system.
- Procedures:
4. Full Post Content Translation
◈ 주요 요약 (Executive Summary)
- 김수키(Kimsuky) 클러스터로 알려진 코니(Konni) 위협 캠페인 확장 분석
- 합법적 클라우드와 FTP 서비스를 단계별 감염 체인 기법으로 동원
- 한국뿐 아니라 러시아 정부 기관 등 다양한 공격 시도 사례 존재
- 해외 무료 웹 호스팅 및 도메인 서비스를 남용해 공격 거점으로 활용
- EDR 기반 능동적 위협 헌팅 및 단말 이상행위 조기 탐지 효과 기대
1. 개요 (Overview)
○ 김수키(Kimsuky) 그룹과 연계 가능성이 높은 일명 ‘코니(Konni)’ 캠페인에 대한 위협 활성도가 점차 증가 추세입니다. 「Genians Security Center(GSC)」는 ‘AutoIt을 활용한 방어 회피 전술의 코니 APT 캠페인 분석’ 보고서를 통해 오토잇을 통한 APT 공격 전략을 기술한 바 있습니다. 코니 그룹은 다양한 전술과 기술, 절차(TTPs)를 사용하고 있습니다.
○ GSC는 잇따라 포착된 다수의 코니 위협 징후에 주목했고, 한국뿐만 아니라 해외에서 보고된 여러 유형과의 상관관계 연구도 수행 중입니다. 위협 행위자는 목적에 부합된 특정한 단말 초기 침투 과정 중 백신S/W 탐지 우회가 주요 목표 중 하나입니다. 이를 위해 다양한 전략과 도구를 접목하거나 신규 방식을 언제든지 도입할 수 있습니다.
○ 이번에 살펴볼 사례는 합법적 클라우드 서비스와 FTP 등의 단계별 감염 체인 기법이 동원됐습니다. 따라서, 최종 페이로드(Payload) 채증 및 분석이 제한적입니다. 한편, 지난 5월 21일 미국에 본사를 둔 보안업체 시큐로닉스(Securonix)는 ‘ANALYSIS AND DETECTION OF CLOUD#REVERSER: AN ATTACK INVOLVING THREAT ACTORS COMPROMISING SYSTEMS USING A SOPHISTICATED CLOUD-BASED MALWARE’ 제목의 위협 분석 보고서를 발간한 바 있습니다. 시큐로닉스의 협력과 지원은 이번 위협을 조사하는데 많은 도움이 됐습니다.
○ 한편, 8월 22일 한국 보안업체 S2W는 ‘Threat Tracking: Analysis of puNK-003’s Lilith RAT ported to AutoIt Script’ 보고서를 통해 코니 위협과 유사 사례에 대한 다각적 분석 사례를 발표한 바 있습니다.
○ 아울러 한국내 주요 민관 사이버 협력 체계인 「한국인터넷진흥원(KISA) 위협 인텔리전스 네트워크」와 긴밀히 소통해, 본 사례를 연구하고 대응하는데 있어 다양한 정보공유 및 협력이 진행됐습니다.
2. 배경 (Background)
○ 루멘(Lumen)은 2022년 1월 공식 블로그를 통해 새로운 코니 캠페인이 러시아 연방 외무부(MID)를 표적으로 한 ‘New Konni Campaign Kicks Off The New Year By Targeting Russian Ministry Of Foreign Affairs’ 보고서를 공개한 바 있습니다. 이 글에는 새해 인사내용의 화면보호기(scr)형 악성파일이 포함돼 있습니다.
○ 2022년 8월에 발견된 공격은 ‘평양은 돈바스에 대한 접근권을 놓고 모스크바와 대화 중(Pyongyang in talks with Moscow on access to Donbass)’이라는 내용을 담은 ppt 미끼 문서와 ppam 확장자의 악성 파일이 사용됐습니다.
○ 덧붙여 2023년 11월에 발견된 경찰 수사관 사칭건과 2024년 2월 진행된 세무법인 사칭 공격은 본 사건을 조사하는데 중요한 연결고리 중 하나입니다. 이들 모두 스피어 피싱 기반 공격을 통해 악성파일을 전송했습니다.
[그림 1] 실제 스피어 피싱 공격 사례들
○ 물론, 위에서 언급한 사례 외에도 다수의 공격이 존재하지만, 대표적 내용만 선별했습니다. 당시 공격 중 ppam 파일 유형을 제외하고, 모두 실행 파일 유형입니다. 각 zip 압축 파일 내부에는 서로 다른 exe 및 scr 확장자의 파일이 포함돼 있습니다. 압축 내부 악성 파일이 실행되면 각각 하기와 같은 추가 모듈을 통해 C2 서버와 연결이 시도됩니다.
2021년 러시아 연방 외무부 도용 |
2022년 러시아 연방 외무부 도용 |
2023년 경찰 수사관 사칭 |
2024년 세무법인 실장 사칭 |
dll | vbs | jse, ps1 | vbs |
h378576.atwebpages[.]com/dn.php?name=% computer_name% &prefix=tt |
gg1593.c1[.]biz/ dn.php?name=% computer_name% &prefix=tt |
gjdow.atwebpages[.]com/dn.php?name=% computer_name% &prefix=tt |
thictu.sportsontheweb[.]net/eci/dn.php?name=%computer_ name%&prefix=tt |
[표 1] 사례별 코니 C2 명령 유사성 비교
○ 두 사례 모두 실행파일을 통해 악성 모듈을 설치하고, 내부 명령을 통해 C2 서버로 접속하는 과정을 거칩니다.
○ 그리고 ‘컴퓨터명[host name]’으로 피해자를 구분하는데, 동일한 파라미터 값이 사용됐습니다. C2 주소는 서로 다르지만, ‘Biz.nf’ 또는 ‘WebFreeHosting’ 서비스를 통해 생성된 도메인 주소입니다. 대부분 이런 무료 도메인 및 호스팅 서비스가 악성 서버 구축에 지속 악용 중입니다.
atwebpages[.]com | getenjoyment[.]net |
medianewsonline[.]com | myartsonline[.]com |
mygamesonline[.]org | mypressonline[.]com |
mywebcommunity[.]org | onlinewebshop[.]net |
scienceontheweb[.]net | sportsontheweb[.]net |
[표 2] WebFreeHosting 대표 도메인
○ 2017년 시스코 탈로스의 ‘KONNI: A Malware Under The Radar For Years’ 보고서에 따르면, 코니 캠페인의 역사는 2014년까지 거슬러 올라갑니다. 그리고 약 10년이 지난 지금까지도 그 활동은 현재 진행형 입니다.
○ 과거 대표 사례들 중 일부만 정리하면 하기와 같고, 2019년 전후로는 hwp나 doc 등의 문서 기반 공격이 한국에서 다수 포착됐습니다.
VT 1st Submission |
File Name | C2 | MD5 |
2017-09-04 16:12:38 UTC |
RMNCH proposal in DPRK.doc | ftp.byethost6[.]com | a0d332a95e2f42a7f26dd452c63938a4 |
2019-10-01 06:55:31 UTC |
마켓팅플랜.hwp | pelham-holles[.]com | 70b84f854b86d2ee6349ed348ef824ac |
2021-07-29 11:01:09 UTC |
economics relations.doc | takemetoyouheart.c1[.]biz | 9b1ca0408e33c43970b87c4c380b134f |
2021-11-19 02:32:30 UTC |
ПРОГРАММА ДЛЯ РЕГИСТРАЦИИ ПРИВИТЫХ В ФЕДЕРАЛЬНОМ РЕГИСТРЕ ВАКЦИНИРОВАННЫХ.exe | victory-2020.atwebpages[.]com | 8b7fdb80ea30a675d776ee3c6a2b5062 |
2022-06-21 08:18:37 UTC |
Паспорт.doc | 968796.c1[.]biz | 66fba06e965f9a6ea192db7f452ea9b6 |
2022-09-04 22:43:00 UTC |
보상명부.xlam | rq7592.c1[.]biz | cf5f18032667bfb4c7373191e7fb1fbf |
2023-09-18 06:15:33 UTC |
текст выступления.doc | kmdqj1.c1[.]biz | 681d210f7931197775cac0ff31fb1ff5 |
2023-10-10 07:20:27 UTC |
SpravkiBKsetup_ver._2.5.msi | ykcchu.c1[.]biz | 0018e7e7613bd92b9dc23b9d4db59fa8 |
2024-01-11 12:03:44 UTC |
StatRKZU.msi | victory-2024.mywebcommunity[.]org | b896c2b2ae51f7100a342c73f5062896 |
[표 3] 주요 코니 캠페인 지표
○ 2021년부터 2024년까지 러시아를 대상으로 한 공격도 잇따라 발견됩니다. 러시아어 파일명의 문서형태 뿐만 아니라, 실행 파일 형태도 있습니다. 공격 대상은 주로 대북분야 및 정치·외교·안보 전문가를 포함해 외화벌이 목적으로 추정되는 가상자산 거래 관계자들도 포함돼 있습니다. 2024년 2월 독일의 사이버 보안기업 DCSO에서 ‘To Russia With Love: Assessing a KONNI-Backdoored Suspected Russian Consular Software Installer’ 제목으로 자세한 내용을 소개한 바 있습니다.
○ 그전 내용에 덧붙여서 ‘Паспорт.doc’ 문서의 경우 러시아어 파일명을 영어로 번역하면 ‘Passport.doc’가 됩니다. 이는 ‘여권’이라는 표현으로 2022년 북한 지역에서 구글 바이러스 토탈(VT) 서비스에 업로드 됐습니다. 이는 위협 행위자가 탐지 테스트로 등록했거나, 북한 내에 있던 미상 인물이 표적에 노출됐을 가능성도 배제할 수 없습니다.
[그림 2] 북한(DPRK) 지역에서 바이러스 토탈에 처음 등록된 화면
○ 참고로 미끼로 사용된 문서파일의 내용을 살펴보면, 당시 한·미관계 상황 및 중국 리커창 총리와 미국 테슬라 일론 머스크의 회담, 미·중 무역협상 등 ‘여권’과는 다소 무관한 내용을 담고 있습니다.
3. 공격 시나리오 (Attack Scenario)
○ 앞서 소개한 여러 사례처럼 코니 캠페인은 스피어 피싱을 핵심 공격 전술로 구사합니다. 따라서 이메일에 첨부(링크)된 파일
Full Report: https://www.genians.co.kr/blog/threat_intelligence/konni_universe