북한 Konni 그룹의 문서형 악성코드 분석
Contents
북한 Konni 그룹 문서형 악성코드
2023.01
3년간 한국 대상으로 약 10여 건 악성파일 유포
비트코인, 대형사고 브리핑 등 민감한 소재를 통해 문서실행 유도
북한 Konni 그룹의
문서형 악성코드 분석
요약
1. 2017년부터 한국, 러시아 및 유럽 기업을 타깃으로 활동하는 북한 Konni 그룹
2. 한국 기업/기관 공격 시 한글파일(.hwp) 사용했으나
2022년부터 MS-Office 이용하여 공격
3. 비트코인 투자, 대형 인명피해사고, 병원 소송 답변서 등 민감한 소재로 클릭 유도
4. RTF 원격 템플릿 주입 공격 방식(Remote Template Injection) 사용
→ 실제 파일에는 악성코드 없으나 클릭 시 외부에 심어둔 악성 URL을 통해 감염
RTF는 업무에 자주 활용되는 포맷이므로 차단 어려움
행위기반 탐지 엔진으로 차단 필요
대응 방안
1. Privacy-i EDR과 같은 EDR 솔루션의 ‘행위기반 탐지엔진’으로 실행 차단
2. 비정상적인 프로세스 행위는 실시간으로 모니터링
3. 내부 데이터 보호를 위해 업무망 망분리 수행
4. 신뢰할 수 없는 메일의 첨부파일은 실행금지 :
메일 내용과 보내는이 계정에 연관성이 없거나 문법적으로 어색하고
신뢰할 수 없는 링크 또는 첨부파일 클릭을 유도하는 메일
5. 비 업무 사이트 및 신뢰할 수 없는 웹사이트 연결 차단
6. OS 및 소프트웨어 보안 업데이트를 항상 최신형상으로 유지
1
2023.01
북한 …
2023.01
3년간 한국 대상으로 약 10여 건 악성파일 유포
비트코인, 대형사고 브리핑 등 민감한 소재를 통해 문서실행 유도
북한 Konni 그룹의
문서형 악성코드 분석
요약
1. 2017년부터 한국, 러시아 및 유럽 기업을 타깃으로 활동하는 북한 Konni 그룹
2. 한국 기업/기관 공격 시 한글파일(.hwp) 사용했으나
2022년부터 MS-Office 이용하여 공격
3. 비트코인 투자, 대형 인명피해사고, 병원 소송 답변서 등 민감한 소재로 클릭 유도
4. RTF 원격 템플릿 주입 공격 방식(Remote Template Injection) 사용
→ 실제 파일에는 악성코드 없으나 클릭 시 외부에 심어둔 악성 URL을 통해 감염
RTF는 업무에 자주 활용되는 포맷이므로 차단 어려움
행위기반 탐지 엔진으로 차단 필요
대응 방안
1. Privacy-i EDR과 같은 EDR 솔루션의 ‘행위기반 탐지엔진’으로 실행 차단
2. 비정상적인 프로세스 행위는 실시간으로 모니터링
3. 내부 데이터 보호를 위해 업무망 망분리 수행
4. 신뢰할 수 없는 메일의 첨부파일은 실행금지 :
메일 내용과 보내는이 계정에 연관성이 없거나 문법적으로 어색하고
신뢰할 수 없는 링크 또는 첨부파일 클릭을 유도하는 메일
5. 비 업무 사이트 및 신뢰할 수 없는 웹사이트 연결 차단
6. OS 및 소프트웨어 보안 업데이트를 항상 최신형상으로 유지
1
2023.01
북한 …
IoC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://4895750.c1.biz/dn.php
http://4895750.c1.biz/up.php?name=
52df0021852e7286413c6c91cb76b53242e5916485d3855b9cf80c7e2351f7de
5a961d2f53fe1427138f7811d83f8b934e0d4b808aaadf39ed0c37ecd8944e63
9d8d51810bfafb4800a34daa40d0c00a0af8677544442a6c1bfb49b4168b8d65
9e916c4f58334aafcb033705e7fac6a217d8e2da131c8c1fd904edda7d026226
a703eebbd981a5ac68309949507622811781452b70c9f2cca613ff805b0654c6
c3e07a5cc50f57bc7d4c519966f8a82aea676278e432fe9fcd22db7811cc48af
d0068a7c62bafd0078829a0597fa5cca1637b28f7273ffc18f79504a9714f445
http://4895750.c1.biz/dn.php
http://4895750.c1.biz/up.php?name=