부가가치세 신고 파일로 위장한 문서형 악성코드 분석 (Konni APT 캠페인)
Contents
샌즈랩 위협분석팀은 부가가치세 신고 기간을 타깃으로 한 Konni APT 캠페인을 분석해 위협 시작점(공격 국가), 사용된 악성코드, 배포 경로, 유사 위협 파일 등 다양한 정보를 확인했습니다. 본 리포트를 읽어보시는 많은 분들이 향후 해당 캠페인과 유사한 공격에 효과적인 대응 체계를 구축하는 데 도움이 되기를 바랍니다. [목차] 1. 요약/배경 2. 악성코드 정보 3. 악성코드 동작 순서도 4. 상세 분석 5. 유사한 악성 파일 및 문서 6. 결론 7. IoC(Indicator of Compromise) 정보 1. 요약/배경 최근 부가가치세 신고 기간을 노려 배포되는 문서형 악성코드가 확인되었다. Konni와 연관된 악성코드로, 2014년부터 꾸준히 발견되는 유형의 공격이다. 부가가치세 신고는 기관 및 기업에게 매우 민감한 시기로, 공격자는 이를 악용해 수정신고 안내를 위장한 파일을 첨부하여 사용자가 이를 실행하도록 유도했다. * 부가가치세 신고는 분기별 15일에 진행
Konni 유형의 악성코드는 난독화 된 PowerShell 스크립트와 사용자의 실행을 유도하는 제목의 문서를 사용하여 탐지를 피하고, 피해자의 컴퓨터에서 정보를 수집한 후 추가 악성코드를 설치하는 방식을 사용한다. 분석에 사용된 링크(LNK) 파일은 사용자가 클릭하면 악성코드가 실행되는 방식으로 설계되었으며, 단계별 명령을 …
Konni 유형의 악성코드는 난독화 된 PowerShell 스크립트와 사용자의 실행을 유도하는 제목의 문서를 사용하여 탐지를 피하고, 피해자의 컴퓨터에서 정보를 수집한 후 추가 악성코드를 설치하는 방식을 사용한다. 분석에 사용된 링크(LNK) 파일은 사용자가 클릭하면 악성코드가 실행되는 방식으로 설계되었으며, 단계별 명령을 …
IoC
176.97.64.174
213.158.94.166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://sibbss.com/list.php
http://sibbss.com/post.php
https://radionaranjalstereo.com/wp-content/themes/ai-news/js/inc/get.php?ra=iew&zw=lk0100
213.158.94.166
670892dc616431a25b6dfcf4d0223bd0b8f974fc533b421aa569a9c175a27625
69f1458e75a5781335f2fb0d751a083791e9f7c3bf19fb7a6abfd04f80fda730
6d901221cb5162c190cce720726889ccb1f8435f5d71fb05614672497425e931
87e700c2707d58a18fbb9f0085b781794a5d4e302ab973cc20efde4f32f8d53f
8d9b5190aace52a1db1ac73a65ee9999c329157c8e88f61a772433323d6b7a4a
8f164ca160b458af126d70f356ad47b6b07be2395dd6b55c8f4e8abddde0eb02
9762d5c00cdc58e774676ab868a5928466664ba5dc1f063e14b11f302b777995
c0b1ee982cc6a2b805ec3a2fa8a59fd8d73da4474f810abc5e1e7a639d777bfa
d81713d1d8d462db8b6468b0a813e8a483c6c3cc5a58f005e0cc08d7786d3b8b
df26abadb207e3e264f1910c5119ce3388f75244a511e86710cfd48584d95696
e7a9da4f70299216d368b366a4544ff3b48fad057b3ec7758b6bc9c714ed0683
ef6bcf1657099879e990641d4c23d7fb670e510f85eb66cba4dcc297645a0202
f212e1414092d09ac103be3f2c48cb253db0b1862b1e20a0f787654dac7b9965
http://sibbss.com/list.php
http://sibbss.com/post.php
https://radionaranjalstereo.com/wp-content/themes/ai-news/js/inc/get.php?ra=iew&zw=lk0100