암호화폐 내용의 Konni APT 캠페인과 '오퍼레이션 헌터 아도니스'
Contents
암호화폐 내용의 Konni APT 캠페인과 '오퍼레이션 헌터 아도니스'
안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다.
일명 캠페인 Konni 이름으로 널리 알려져 있는 위협 벡터는 지난 2014년도부터 주로 북한관련 내용을 담은 루어(Lure) 데이터를 활용해 사이버 공격에 활용되고 있습니다.
ESRC에서는 지난 10월 '작전명 해피 바이러스(Operation Happy Virus)'를 공개한 바 있고, '작전명 디코이 플레인(Decoy Plane)' 위협 인텔리전스 리포트가 2018년 12월에 쓰렛인사이드(Threat Inside)에 등록되었습니다.
공격자들은 지난 2018년 말, 정책 자료 또는 특정 암호화폐 지갑 관련 자료로 위장해 유포된 사례가 발견되었습니다.
ESRC에서는 이번 공격의 연장선을 '작전명 헌터 아도니스(Operation Hunter Adonis)'로 명명해 지속적인 추적을 수행하고 있습니다.
■ KONNI 조직 암호화폐 관련 내용으로 활동?
기존에는 북한 관련 내용이 다수를 차지했지만, 위협조직이 암호화폐 관련 내용도 활용하고 있다는 것에 주목됩니다.
발견된 악성 문서 파일의 이름은 '젠트리온 지갑 관련자료.doc' 이며, 문서 파일이 실행되면 다음과 같이 매크로 (콘텐츠 사용) 실행을 유도하게 됩니다.
[그림 1] 악성 문서 파일 실행 화면
만약, 보안 경고를 무시하고 [콘텐츠 사용] 버튼을 클릭해 악성 매크로 코드가 실행되면 특정 명령제어(C&C) 서버와 통신을 시도하게 됩니다.
DOC 문서 파일 …
안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다.
일명 캠페인 Konni 이름으로 널리 알려져 있는 위협 벡터는 지난 2014년도부터 주로 북한관련 내용을 담은 루어(Lure) 데이터를 활용해 사이버 공격에 활용되고 있습니다.
ESRC에서는 지난 10월 '작전명 해피 바이러스(Operation Happy Virus)'를 공개한 바 있고, '작전명 디코이 플레인(Decoy Plane)' 위협 인텔리전스 리포트가 2018년 12월에 쓰렛인사이드(Threat Inside)에 등록되었습니다.
공격자들은 지난 2018년 말, 정책 자료 또는 특정 암호화폐 지갑 관련 자료로 위장해 유포된 사례가 발견되었습니다.
ESRC에서는 이번 공격의 연장선을 '작전명 헌터 아도니스(Operation Hunter Adonis)'로 명명해 지속적인 추적을 수행하고 있습니다.
■ KONNI 조직 암호화폐 관련 내용으로 활동?
기존에는 북한 관련 내용이 다수를 차지했지만, 위협조직이 암호화폐 관련 내용도 활용하고 있다는 것에 주목됩니다.
발견된 악성 문서 파일의 이름은 '젠트리온 지갑 관련자료.doc' 이며, 문서 파일이 실행되면 다음과 같이 매크로 (콘텐츠 사용) 실행을 유도하게 됩니다.
[그림 1] 악성 문서 파일 실행 화면
만약, 보안 경고를 무시하고 [콘텐츠 사용] 버튼을 클릭해 악성 매크로 코드가 실행되면 특정 명령제어(C&C) 서버와 통신을 시도하게 됩니다.
DOC 문서 파일 …
IoC
103.249.31.159
http://filer2.1apps.com/2.txt
http://filer2.1apps.com/3.txt
http://read.pudn.com/downloads62/sourcecode/hack/trojan/215589/SRC/Server/Server.cpp__.htm
http://filer2.1apps.com/2.txt
http://filer2.1apps.com/3.txt
http://read.pudn.com/downloads62/sourcecode/hack/trojan/215589/SRC/Server/Server.cpp__.htm