통일 및 북한인권 분야 표적 Konni APT 캠페인
Contents
GSC-R230902-Rev-3.2
Distribution TLP : WHITE
위협 분석 보고서
통일 및 북한인권 분야 표적 Konni APT 캠페인
2023. 09. 26
엔드포인트보안연구개발실
Genians Security Center (GSC)
집필 : 문종현 센터장, 박경령 책임, 유 현 전임, 송관용 연구원
※ 본 보고서의 내용은 지니언스(주)와 사전 협의없이 무단전재 및 복사를 금합니다.
Threat Intelligence Report
- 목차 (CONTENTS) 1. 개요 (Overview)........................................................................... 2
1.1. 배경 (Background)........................................................................... 2
1.2. 위협 식별 (Threat Hunting)............................................................... 2
1.3. 공격 흐름도 (Attack Flow)................................................................. 3
1.4. Genian EDR 기반 가시성 확보 (Endpoint Visibility).............................. 4
2. 공격 시나리오 (Attack Scenario).................................................... 5
2.1. 스피어 피싱 (Spear Phishing)............................................................. 5
3. 위협 분석 (Threat Analysis)........................................................... 8
3.1. 북한인권민간단체협의회 공지 사칭.......................................................8
3.2. 통일부조직개편 설명자료 사칭........................................................... 14
4. 정적 코드 분석 (Static Code Analysis).......................................... 18
4.1. ZIP 압축 파일에 포함된 VBS 파일 분석................................................ 18
4.2. ZIP 압축 파일에 포함된 BAT 파일 분석................................................ 29
5. 유사도 분석 (Similarity Analysis).................................................. 33
5.1. Konni APT 캠페인별 코드 비교..........................................................33
5.2. 최신 유사 Konni 캠페인 사례 비교..................................................... 36
5.3. 위협 케이스별 연관 관계................................................................... 40
6. 결론 및 대응방법 (Conclusion)..................................................... 41
6.1. Genian EDR 제품을 통한 효과적인 위협 탐지...................................... 41
6.2. 단말의 이상행위 …
Distribution TLP : WHITE
위협 분석 보고서
통일 및 북한인권 분야 표적 Konni APT 캠페인
2023. 09. 26
엔드포인트보안연구개발실
Genians Security Center (GSC)
집필 : 문종현 센터장, 박경령 책임, 유 현 전임, 송관용 연구원
※ 본 보고서의 내용은 지니언스(주)와 사전 협의없이 무단전재 및 복사를 금합니다.
Threat Intelligence Report
- 목차 (CONTENTS) 1. 개요 (Overview)........................................................................... 2
1.1. 배경 (Background)........................................................................... 2
1.2. 위협 식별 (Threat Hunting)............................................................... 2
1.3. 공격 흐름도 (Attack Flow)................................................................. 3
1.4. Genian EDR 기반 가시성 확보 (Endpoint Visibility).............................. 4
2. 공격 시나리오 (Attack Scenario).................................................... 5
2.1. 스피어 피싱 (Spear Phishing)............................................................. 5
3. 위협 분석 (Threat Analysis)........................................................... 8
3.1. 북한인권민간단체협의회 공지 사칭.......................................................8
3.2. 통일부조직개편 설명자료 사칭........................................................... 14
4. 정적 코드 분석 (Static Code Analysis).......................................... 18
4.1. ZIP 압축 파일에 포함된 VBS 파일 분석................................................ 18
4.2. ZIP 압축 파일에 포함된 BAT 파일 분석................................................ 29
5. 유사도 분석 (Similarity Analysis).................................................. 33
5.1. Konni APT 캠페인별 코드 비교..........................................................33
5.2. 최신 유사 Konni 캠페인 사례 비교..................................................... 36
5.3. 위협 케이스별 연관 관계................................................................... 40
6. 결론 및 대응방법 (Conclusion)..................................................... 41
6.1. Genian EDR 제품을 통한 효과적인 위협 탐지...................................... 41
6.2. 단말의 이상행위 …
IoC
112.222.52.98
116.122.157.24
121.254.129.93
1516d5382ac2af37d47ba1ccbc22146a2fc08fcd
168bcc063501d191d82aaa3a32741a12
172.86.123.0
26f69f8917f6890f26ec5b10611df092
37726543ff0bf6067ffa06e3dec8823d
45aca657889ac60f1ee129c5c8442cdb
5.8.71.81
6b944c9dc4b760fffb56adf4fecf6764
7336068f2c5ed3ed154b6c8b1d72726a
740f4dcb8d64c0bc7bb6998648a48767
75375c22c72f1beb76bea39c22a1ed68
75ca52afafe3fe6c053da9f1db90590a
892bd45372876d29e883e114981e311b
90468e4bdf61cf146030515ed3e15d81
b86c38ae5c24c55831d7f8ca3cbeb814
bc3fb948dc956f79dbc7aac06442d6ef
d7d48592bc21b37c02891e0e036bf26c
db31a36e1684c568fa3529d60a59ba29
e9f7e2eaf7f299d0ae4a4625eda8c5be45ebb96f
f52e3524e842d3df01088914692b283e
ff4067b4865c9b49da2f28ac12ca5c1a
http://anrun.kr
http://anrun.kr/movie/contents.php
http://anrun.kr/movie/contents.php?fifo=%COMPUTERNAME%
http://daum-store.com
http://ddmccic.or.kr
http://m.co.kr
http://m2comm.co.kr
http://nate-download.com
http://naver-file.com
http://naver-storage.com
116.122.157.24
121.254.129.93
1516d5382ac2af37d47ba1ccbc22146a2fc08fcd
168bcc063501d191d82aaa3a32741a12
172.86.123.0
26f69f8917f6890f26ec5b10611df092
37726543ff0bf6067ffa06e3dec8823d
45aca657889ac60f1ee129c5c8442cdb
5.8.71.81
6b944c9dc4b760fffb56adf4fecf6764
7336068f2c5ed3ed154b6c8b1d72726a
740f4dcb8d64c0bc7bb6998648a48767
75375c22c72f1beb76bea39c22a1ed68
75ca52afafe3fe6c053da9f1db90590a
892bd45372876d29e883e114981e311b
90468e4bdf61cf146030515ed3e15d81
b86c38ae5c24c55831d7f8ca3cbeb814
bc3fb948dc956f79dbc7aac06442d6ef
d7d48592bc21b37c02891e0e036bf26c
db31a36e1684c568fa3529d60a59ba29
e9f7e2eaf7f299d0ae4a4625eda8c5be45ebb96f
f52e3524e842d3df01088914692b283e
ff4067b4865c9b49da2f28ac12ca5c1a
http://anrun.kr
http://anrun.kr/movie/contents.php
http://anrun.kr/movie/contents.php?fifo=%COMPUTERNAME%
http://daum-store.com
http://ddmccic.or.kr
http://m.co.kr
http://m2comm.co.kr
http://nate-download.com
http://naver-file.com
http://naver-storage.com