포세이돈 작전: 구글 광고 리다이렉션 메커니즘을 악용한 스피어 피싱 공격
Contents
◈ 주요 결과 (Key Findings)
- 광고 URL로 위장한 스피어 피싱 캠페인을 통해 보안 필터링 및 사용자 경계 우회
- 보안이 취약한 WordPress 웹사이트가 악성파일 유포 및 C2 인프라로 악용
- 'Poseidon'은 Konni APT가 내부적으로 명명·운영한 공격 작전 단위로 식별
- PDF로 위장된 AutoIt 스크립트 실행을 통해 EndRAT 악성코드 로드
- 엔드포인트 행위 기반 탐지를 제공하는 EDR 대응이 필수적인 것으로 평가
1. 개요 (Overview)
지니언스 시큐리티 센터(Genians Security Center)는 코니(Konni) APT의 포세이돈 작전(Operation Poseidon)에 대한 심층 분석을 수행하였습니다.
그 결과, 해당 위협 행위자는 한국 내 대북 인권단체와 금융기관을 사칭한 사회공학적 전술을 반복적으로 활용하며, 특정 대상을 겨냥한 고도의 표적화된 공격 활동을 지속적으로 전개하고 있는 것으로 식별되었습니다.
[그림 1-1] 포세이돈 작전 타임라인
Google은 2007년 인터넷 광고 기술 기업인 DoubleClick 인수 계획을 발표했으며, 2008년 3월 약 31억 달러 규모로 인수를 완료했습니다. 이후 DoubleClick의 광고 클릭 추적 및 리다이렉션 기술은 Google Ads와 Google Marketing Platform(GMP)에 통합되어, 광고 트래픽 전달과 성과 측정을 위한 핵심 인프라로 활용되고 있습니다.
이번 공격은 이러한 Google 광고 생태계에서 사용되는 광고 클릭 …
- 광고 URL로 위장한 스피어 피싱 캠페인을 통해 보안 필터링 및 사용자 경계 우회
- 보안이 취약한 WordPress 웹사이트가 악성파일 유포 및 C2 인프라로 악용
- 'Poseidon'은 Konni APT가 내부적으로 명명·운영한 공격 작전 단위로 식별
- PDF로 위장된 AutoIt 스크립트 실행을 통해 EndRAT 악성코드 로드
- 엔드포인트 행위 기반 탐지를 제공하는 EDR 대응이 필수적인 것으로 평가
1. 개요 (Overview)
지니언스 시큐리티 센터(Genians Security Center)는 코니(Konni) APT의 포세이돈 작전(Operation Poseidon)에 대한 심층 분석을 수행하였습니다.
그 결과, 해당 위협 행위자는 한국 내 대북 인권단체와 금융기관을 사칭한 사회공학적 전술을 반복적으로 활용하며, 특정 대상을 겨냥한 고도의 표적화된 공격 활동을 지속적으로 전개하고 있는 것으로 식별되었습니다.
[그림 1-1] 포세이돈 작전 타임라인
Google은 2007년 인터넷 광고 기술 기업인 DoubleClick 인수 계획을 발표했으며, 2008년 3월 약 31억 달러 규모로 인수를 완료했습니다. 이후 DoubleClick의 광고 클릭 추적 및 리다이렉션 기술은 Google Ads와 Google Marketing Platform(GMP)에 통합되어, 광고 트래픽 전달과 성과 측정을 위한 핵심 인프라로 활용되고 있습니다.
이번 공격은 이러한 Google 광고 생태계에서 사용되는 광고 클릭 …
IoC
http://77.246.101.72
http://ad.doubleclick.net
http://서버kppe.pl
http://tatukikai.jp
http://compromised-example.com/wp-admin/malware.zip
http://aceeyl.com
http://ad.doubleclick.net/searchads/link/click?ds_dest_url
http://nationalinterestparty.com
http://주소jlrandsons.co.uk
http://appoitment.dotoit.media
http://genuinashop.com
http://igamingroundtable.com
http://77.246.108.96
http://kppe.pl
http://anupamaivf.com
http://althouqroastery.com
http://sparkwebsolutions.space
http://vintashmarket.com
http://도메인mkt.naver.com
http://도메인ad.doubleclick.net
http://pomozzi.com
http://109.234.36.135
http://kyowaind.co.jp
http://encryptuganda.org
http://mkt.naver.com/p1/atrb?channel_id=naver_pcstockbottom&campaign_id=2503-shopping-001&target
http://jlrandsons.co.uk
http://creativepackout.co
http://optique-leclercq.be
http://144.124.247.97
109.234.36.135
77.246.101.72
77.246.108.96
144.124.247.97
0777781dedd57f8016b7c627411bdf2c
639b5489d2fb79bcb715905a046d4a54
a9a52e2f2afe28778a8537f955ee1310
ad6273981cb53917cb8bda8e2f2e31a8
d4b06cb4ed834c295d0848b90a109f09
6a4c3256ff063f67d3251d6dd8229931
d6aa7e9ff0528425146e64d9472ffdbd
f5842320e04c2c97d1f69cebfd47df3d
94935397dce29684f384e57f85beeb0a
8b8fa6c4298d83d78e11b52f22a79100
a58ef1e53920a6e528dc31001f302c7b
303c5e4842613f7b9ee408e5c6721c00
908d074f69c0bf203ed225557b7827ec
0171338d904381bbf3d1a909a48f4e92
http://ad.doubleclick.net
http://서버kppe.pl
http://tatukikai.jp
http://compromised-example.com/wp-admin/malware.zip
http://aceeyl.com
http://ad.doubleclick.net/searchads/link/click?ds_dest_url
http://nationalinterestparty.com
http://주소jlrandsons.co.uk
http://appoitment.dotoit.media
http://genuinashop.com
http://igamingroundtable.com
http://77.246.108.96
http://kppe.pl
http://anupamaivf.com
http://althouqroastery.com
http://sparkwebsolutions.space
http://vintashmarket.com
http://도메인mkt.naver.com
http://도메인ad.doubleclick.net
http://pomozzi.com
http://109.234.36.135
http://kyowaind.co.jp
http://encryptuganda.org
http://mkt.naver.com/p1/atrb?channel_id=naver_pcstockbottom&campaign_id=2503-shopping-001&target
http://jlrandsons.co.uk
http://creativepackout.co
http://optique-leclercq.be
http://144.124.247.97
109.234.36.135
77.246.101.72
77.246.108.96
144.124.247.97
0777781dedd57f8016b7c627411bdf2c
639b5489d2fb79bcb715905a046d4a54
a9a52e2f2afe28778a8537f955ee1310
ad6273981cb53917cb8bda8e2f2e31a8
d4b06cb4ed834c295d0848b90a109f09
6a4c3256ff063f67d3251d6dd8229931
d6aa7e9ff0528425146e64d9472ffdbd
f5842320e04c2c97d1f69cebfd47df3d
94935397dce29684f384e57f85beeb0a
8b8fa6c4298d83d78e11b52f22a79100
a58ef1e53920a6e528dc31001f302c7b
303c5e4842613f7b9ee408e5c6721c00
908d074f69c0bf203ed225557b7827ec
0171338d904381bbf3d1a909a48f4e92