북한의 미사일 개발 역량을 언급하는 신규 KONNI 캠페인

핵심 요약

 

최근 Talos 블로그에 포스팅 한바 있던 KONNI RAT(원격접속 트로이 목마- 관련 블로그 내용 확인)에 대한 신규 캠페인이 지난 7 4일 새로운 형태로 배포된 것으로 확인됐습니다. 이번에 KONNI 캠페인에 사용된 악성코드는 2017년 초에 배포된 것과 유사한 기능을 가지고 있으며 다음과 같은 몇가지의 변경 사항이 있음이 파악됐습니다.

 

·     정상 문서 파일로 가장한 악성 문서는 7 3 한국에서 발행된 연합 뉴스 기사를 복사/붙여 넣기한 것으로 파악됨 

·     드로퍼에는 KONNI 64비트 버전이 포함됨

·     새로운 해커의 CnC 인프라는 등산 동호회 웹사이트로 구성됨

 

지난 7 3일에 북한은 또다시 미사일 발사 실험을 했습니다. 흥미롭게도 이 KONNI 캠페인은 북한의 미사일 발사와 그 후 이어진 미사일 기술에 대한 토론과 직접 연관된 것으로 보입니다. 또한, 이전에 북한을 자주 언급했던 KONNI 배포 캠페인과도 일관성을 보이고 있습니다.

 

"북한이 전략적 군사력을 자축하며 미사일 개발 역량을 선전"한다는 캠페인

 

시스코 탈로스는 SHA-256 해시 값으로 '33f828ad462c414b149f14f16615ce25bd078630eee36ad953950e0da2e2cc90' 표현되는 실행 파일을 찾았으며이 파일을 열 경우 다음과 같은 Office 문서가 표시되는 것을 확인했습니다.

 

 

문서의 내용은 7 3 한국에서 발행한 연합 뉴스 기사를 복사/붙여넣기한 것입니다 문서를 표시한 악성 실행 파일이 서로 다른 KONNI 2개를 단말에 드롭합니다.

 

 C:\Users\Users\AppData\Local\MFAData\event\eventlog.dll(64비트)

C:\Users\Users\AppData\Local\MFAData\event\errorevent.dll(32비트)

 

Windows 64비트 버전에서는  파일이 모두 드롭되며 Windows 32비트 버전에서는 errorevent.dll 32비트 버전만 드롭됩니다이전 캠페인과 달리  가지는 ASPack으로 패킹되었습니다 경우 모두 rundll32.exe 통해 드롭된 악성코드가 즉시 실행되면서 하단의 레지스트리   하나를 생성합니다이를 통해 악성코드를 계속 유지하며 보안 침해가 이루어진 시스템이 재부팅되면 악성코드를 즉시 실행할  있도록 합니다.

 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RTHDVCPE

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RTHDVCP

 

  공격은 다음 도메인에 호스팅된 신규 CnC(Command & Control) 인프라를 사용합니다.

·     Member-daumchk[.]netai[.]net

 

 페이지에 대한 HTTP 포스트 요청이 도메인 자체에서 /weget/download.php, /weget/uploadtm.php 또는 /weget/upload.php 호스팅되면 KONNI CnC 트래픽이 발생합니다.

 

공격자는 합법적인 등산 동호회 웹사이트를 가장했습니다.

아래는 해당 웹사이트의 스크린샷입니다.

 

 

그러나 웹사이트에 실제 텍스트는 포함되어 있지 않으며 CMS(콘텐츠 관리 시스템) 기본 텍스트만 들어 있습니다.

또한웹사이트의 연락처 섹션에는 미국 주소가 나와 있지만 주소 아래의 지도는 한국에 해당하며 대한민국 서울의 위치를 가리킵니다.

 

 

결론

 

 캠페인의 일부로 배포된 KONNI 악성코드는 올해 시스코 탈로스가 확인한 이전 버전과 유사합니다공격자는 64비트 버전을 추가했으며 분석이 복잡하도록 패커를 사용했습니다 캠페인은 최근의 사건과 직접적인 연관이 있으며 가장 '최신버전입니다악성코드는 7 4일에 컴파일 되었으며 악성 문서는 7 3일에 게시되었습니다

 

KONNI 연계된 위협 행위자는 보통 북한과 관련된 악성 문서를 사용하며  캠페인도 예외는 아니었습니다그러나 3자로부터 가져온 악성 문서는 설득력 있어 보이는  반해 CnC 서버에서 호스팅되는 웹사이트의 콘텐츠는 정상적으로 보이지 않습니다텍스트 내용이 웹사이트 메뉴와 일치하지 않으며 연락처 페이지에는 미국의 주소와 맞지 않은 한국 지도가 나와 있습니다

 

그런데도  위협 행위자는 여전히 활발하게 악성코드의 업데이트 버전을 계속 개발하고 있습니다 악성 문서의 콘텐츠에 관계가 있거나 이전 공격 캠페인에 언급된 조직은 이번 캠페인은 물론 이후의 캠페인에 대한 적절한 보호가 이루어지도록 지속적으로 확인해야 합니다.

 

시스코 솔루션

 

고객이 이러한 새로운 위협을 탐지  차단할  있는 방법으로 아래의 시스코의 보안 솔루션이 있습니다.  


AMP(Advanced Malware Protection) 이러한 공격자가 이용하는 악성코드의 실행을 막는  매우 효과적입니다.

 

CWS 또는 WSA  검사는 악성 웹사이트에 접근할  없도록 액세스를 차단하고 이러한 공격에 사용된 악성코드를 탐지합니다.

 

Email Security 위협 행위자가 캠페인의 일부로 전송하는 악성 이메일을 차단할  있습니다.

 

IPS  NGFW 네트워크 보안 보호 기능은 최신 시그니처를 사용하여 위협 행위자의 악의적인 네트워크 활동을 탐지합니다.

 

AMP Threat Grid 모든 Cisco Security 제품에서 악성 이진을 식별하고 보호 기능을 구축할  있도록 지원합니다.

 

Cisco SIG(보안 인터넷 게이트웨이) Umbrella 사용자가 기업 네트워크 /외부 어디에 있든 악성 도메인, IP  URL 연결되지 않도록 합니다.


IOC

 

파일 해시

 

·     드로퍼: 33f828ad462c414b149f14f16615ce25bd078630eee36ad953950e0da2e2cc90

·     32비트 이진: 290b1e2415f88fc3dd1d53db3ba90c4a760cf645526c8240af650751b1652b8a

·     64비트 이진: 8aef427aba54581f9c3dc923d8464a92b2d4e83cdf0fd6ace00e8035ee2936ad

 

 네트워크

 

·     Member-daumchk[.]netai[.]net

 

이번 포스팅은 시스코 탈로스 팀에서 작성한 New KONNI Campaign References North Korean Missile Capabilities 바탕으로 준비되었습니다.


저작자 표시 비영리 동일 조건 변경 허락
신고
크리에이티브 커먼즈 라이선스
Creative Commons License