코니(Konni) 위협 세계관의 확장 분석 리포트
Contents
◈ 주요 요약 (Executive Summary)
- 김수키(Kimsuky) 클러스터로 알려진 코니(Konni) 위협 캠페인 확장 분석
- 합법적 클라우드와 FTP 서비스를 단계별 감염 체인 기법으로 동원
- 한국뿐 아니라 러시아 정부 기관 등 다양한 공격 시도 사례 존재
- 해외 무료 웹 호스팅 및 도메인 서비스를 남용해 공격 거점으로 활용
- EDR 기반 능동적 위협 헌팅 및 단말 이상행위 조기 탐지 효과 기대
1. 개요 (Overview)
○ 김수키(Kimsuky) 그룹과 연계 가능성이 높은 일명 '코니(Konni)' 캠페인에 대한 위협 활성도가 점차 증가 추세입니다. 「Genians Security Center(GSC)」는 'AutoIt을 활용한 방어 회피 전술의 코니 APT 캠페인 분석' 보고서를 통해 오토잇을 통한 APT 공격 전략을 기술한 바 있습니다. 코니 그룹은 다양한 전술과 기술, 절차(TTPs)를 사용하고 있습니다.
○ GSC는 잇따라 포착된 다수의 코니 위협 징후에 주목했고, 한국뿐만 아니라 해외에서 보고된 여러 유형과의 상관관계 연구도 수행 중입니다. 위협 행위자는 목적에 부합된 특정한 단말 초기 침투 과정 중 백신S/W 탐지 우회가 주요 목표 중 하나입니다. 이를 위해 다양한 전략과 도구를 접목하거나 신규 방식을 언제든지 도입할 수 있습니다.
○ 이번에 …
- 김수키(Kimsuky) 클러스터로 알려진 코니(Konni) 위협 캠페인 확장 분석
- 합법적 클라우드와 FTP 서비스를 단계별 감염 체인 기법으로 동원
- 한국뿐 아니라 러시아 정부 기관 등 다양한 공격 시도 사례 존재
- 해외 무료 웹 호스팅 및 도메인 서비스를 남용해 공격 거점으로 활용
- EDR 기반 능동적 위협 헌팅 및 단말 이상행위 조기 탐지 효과 기대
1. 개요 (Overview)
○ 김수키(Kimsuky) 그룹과 연계 가능성이 높은 일명 '코니(Konni)' 캠페인에 대한 위협 활성도가 점차 증가 추세입니다. 「Genians Security Center(GSC)」는 'AutoIt을 활용한 방어 회피 전술의 코니 APT 캠페인 분석' 보고서를 통해 오토잇을 통한 APT 공격 전략을 기술한 바 있습니다. 코니 그룹은 다양한 전술과 기술, 절차(TTPs)를 사용하고 있습니다.
○ GSC는 잇따라 포착된 다수의 코니 위협 징후에 주목했고, 한국뿐만 아니라 해외에서 보고된 여러 유형과의 상관관계 연구도 수행 중입니다. 위협 행위자는 목적에 부합된 특정한 단말 초기 침투 과정 중 백신S/W 탐지 우회가 주요 목표 중 하나입니다. 이를 위해 다양한 전략과 도구를 접목하거나 신규 방식을 언제든지 도입할 수 있습니다.
○ 이번에 …
IoC
0018e7e7613bd92b9dc23b9d4db59fa8
00e6e9ed4666623860686c123ed334f0
0993cf18121be84f5b1511318df80f44
159.100.13.216
185.176.43.108
192.186.3.160
1b3af9f3d4c279b618656178f22b89db
1bb62f16635e0bcaf7b4ac2c27ceac71
216.107.137.73
21d12dc7f08752293847af6ed19df0e3
28942e7704b629c63afefe23d38068f5
2afb9ccd85ffcef656eefc18150741ab
315b01f826d9f2b20665a8cee732cc49
34.198.205.50
36db685fd4dd778306c985b61f29292c
406e4f5b327742f64791674f86f79d64
4638e7c17057fef4613af1f0f6821702
47d66179d1437e4b7e4ad863a3fc25b2
54.86.50.139
66fba06e965f9a6ea192db7f452ea9b6
67.211.213.224
6793c3d6438553222f5e8ed2ee8c3ebf
681d210f7931197775cac0ff31fb1ff5
705c8d431b4b8fa834491ff6975a0532
70b84f854b86d2ee6349ed348ef824ac
728feadb5c096238ac9e2192ede0f13126136ab5eec7da9d0e76f88468f029d9
7671fc2dce5d3f84f984f052adf35f9a
78b3290a93de62116e083eb7c9b93b22
79.133.56.173
7b27586c4b332c5e87784c8d3e45a523
81fe4485d9537e02e0f827de6d3001b1
87bfdd6dd3c8722ad97a92b3ad706ed2
8b7fdb80ea30a675d776ee3c6a2b5062
8ec9a6ff22c497375b53344cafeb2292
914eb1b37d5679931fc9c2b5f3a2bbcd
9b1ca0408e33c43970b87c4c380b134f
9c968c668d4de1ef90f914a7cbb74f23
9de46ffec09c07f1e55f94fe4b4b820f
a0d332a95e2f42a7f26dd452c63938a4
b1504090e9a70ae80190302e524589f2
b49480bb06d30a6ac414313da8be170f
b58eb8a3797d3a52aba30d91d207b688
b896c2b2ae51f7100a342c73f5062896
bf91038ca0711f737e203cc9f4f9e434
ca2bc501ea4b94b9d6cf220a09b2812f
cf5f18032667bfb4c7373191e7fb1fbf
dae0efd29230feab95f46ee20030a425
f1b542971711bf229d02f5e385225a8d
http://159.100.13.216
http://185.176.43.108
http://192.186.3.160
http://216.107.137.73
http://34.198.205.50
http://3756298.c1.biz
http://4895750.c1.biz
http://54.86.50.139
http://67.211.213.224
http://79.133.56.173
http://79.133.56.173:5555
http://837593.c1.biz
http://968796.c1.biz
http://atwebpages.com
http://duplikyservjc.cloud
http://duplikyservjc.cloud/dn.php?name=%
http://ftp.byethost6.com
http://getenjoyment.net
http://gg1593.c1.biz
http://gg1593.c1.biz/
http://gjdow.atwebpages.com
http://gjdow.atwebpages.com/dn.php?name=%
http://glonalcnielmxc.mywebcommunity.org
http://h378576.atwebpages.com
http://h378576.atwebpages.com/dn.php?name=%
http://ka174f.scienceontheweb.net
http://kmdqj1.c1.biz
http://medianewsonline.com
http://molklib.online
http://molklib.online/
http://myartsonline.com
http://mygamesonline.org
http://mypressonline.com
http://mywebcommunity.org
http://onlinewebshop.net
http://pelham-holles.com
http://ranujos.online
http://rq7592.c1.biz
http://rq7592.c1.biz/dn.php?name=%computer
http://scienceontheweb.net
http://sportsontheweb.net
http://takemetoyouheart.c1.biz
http://thictu.sportsontheweb.net
http://thictu.sportsontheweb.net/eci/dn.php?name=%computer_
http://victory-2020.atwebpages.com
http://victory-2024.mywebcommunity.org
http://wimcwpo.online
http://wimcwpo.online/dn.php?name=%
http://word2022.c1.biz
http://ykcchu.c1.biz
00e6e9ed4666623860686c123ed334f0
0993cf18121be84f5b1511318df80f44
159.100.13.216
185.176.43.108
192.186.3.160
1b3af9f3d4c279b618656178f22b89db
1bb62f16635e0bcaf7b4ac2c27ceac71
216.107.137.73
21d12dc7f08752293847af6ed19df0e3
28942e7704b629c63afefe23d38068f5
2afb9ccd85ffcef656eefc18150741ab
315b01f826d9f2b20665a8cee732cc49
34.198.205.50
36db685fd4dd778306c985b61f29292c
406e4f5b327742f64791674f86f79d64
4638e7c17057fef4613af1f0f6821702
47d66179d1437e4b7e4ad863a3fc25b2
54.86.50.139
66fba06e965f9a6ea192db7f452ea9b6
67.211.213.224
6793c3d6438553222f5e8ed2ee8c3ebf
681d210f7931197775cac0ff31fb1ff5
705c8d431b4b8fa834491ff6975a0532
70b84f854b86d2ee6349ed348ef824ac
728feadb5c096238ac9e2192ede0f13126136ab5eec7da9d0e76f88468f029d9
7671fc2dce5d3f84f984f052adf35f9a
78b3290a93de62116e083eb7c9b93b22
79.133.56.173
7b27586c4b332c5e87784c8d3e45a523
81fe4485d9537e02e0f827de6d3001b1
87bfdd6dd3c8722ad97a92b3ad706ed2
8b7fdb80ea30a675d776ee3c6a2b5062
8ec9a6ff22c497375b53344cafeb2292
914eb1b37d5679931fc9c2b5f3a2bbcd
9b1ca0408e33c43970b87c4c380b134f
9c968c668d4de1ef90f914a7cbb74f23
9de46ffec09c07f1e55f94fe4b4b820f
a0d332a95e2f42a7f26dd452c63938a4
b1504090e9a70ae80190302e524589f2
b49480bb06d30a6ac414313da8be170f
b58eb8a3797d3a52aba30d91d207b688
b896c2b2ae51f7100a342c73f5062896
bf91038ca0711f737e203cc9f4f9e434
ca2bc501ea4b94b9d6cf220a09b2812f
cf5f18032667bfb4c7373191e7fb1fbf
dae0efd29230feab95f46ee20030a425
f1b542971711bf229d02f5e385225a8d
http://159.100.13.216
http://185.176.43.108
http://192.186.3.160
http://216.107.137.73
http://34.198.205.50
http://3756298.c1.biz
http://4895750.c1.biz
http://54.86.50.139
http://67.211.213.224
http://79.133.56.173
http://79.133.56.173:5555
http://837593.c1.biz
http://968796.c1.biz
http://atwebpages.com
http://duplikyservjc.cloud
http://duplikyservjc.cloud/dn.php?name=%
http://ftp.byethost6.com
http://getenjoyment.net
http://gg1593.c1.biz
http://gg1593.c1.biz/
http://gjdow.atwebpages.com
http://gjdow.atwebpages.com/dn.php?name=%
http://glonalcnielmxc.mywebcommunity.org
http://h378576.atwebpages.com
http://h378576.atwebpages.com/dn.php?name=%
http://ka174f.scienceontheweb.net
http://kmdqj1.c1.biz
http://medianewsonline.com
http://molklib.online
http://molklib.online/
http://myartsonline.com
http://mygamesonline.org
http://mypressonline.com
http://mywebcommunity.org
http://onlinewebshop.net
http://pelham-holles.com
http://ranujos.online
http://rq7592.c1.biz
http://rq7592.c1.biz/dn.php?name=%computer
http://scienceontheweb.net
http://sportsontheweb.net
http://takemetoyouheart.c1.biz
http://thictu.sportsontheweb.net
http://thictu.sportsontheweb.net/eci/dn.php?name=%computer_
http://victory-2020.atwebpages.com
http://victory-2024.mywebcommunity.org
http://wimcwpo.online
http://wimcwpo.online/dn.php?name=%
http://word2022.c1.biz
http://ykcchu.c1.biz