한국어 구사 Konni 조직, 블루 스카이 작전 'Amadey' 러시아 봇넷 활용
Contents
한국어 구사 Konni 조직, 블루 스카이 작전 'Amadey' 러시아 봇넷 활용
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다.
지난 01월 02일 【암호화폐 내용의 Konni APT 캠페인과 '오퍼레이션 헌터 아도니스'】 보고서를 공개한 바 있는데, 최근 이들의 사이버 위협 활동이 또 다시 감지되고 있습니다.
|
|
File Name
|
|
요청주신 정책 관련 자료.doc (BlueSky)
|
|
MD5
|
|
0eb6090397c74327cd4d47819f724953
|C2||filer1.1apps[.]com|
|
|
File Name
|
|
젠트리온 지갑 관련자료.doc (BlueSky)
|
|
MD5
|
|
2bfbf8ce47585aa86b1ab90ff109fd57
|
|
C2
|
|
filer2.1apps[.]com
한국어를 구사하는 대표적인 APT 위협 그룹 중에 하나인 'Konni' 조직은 아직도 베일에 쌓여있습니다.
최근 변종이 연속적으로 발견되고 있는데, 헌터 아도니스에서 공개된 바 있는 'BlueSky' 계정이 동일하게 사용되고 있는 점이 주목됩니다.
ESRC는 하나의 계정에서 지속적인 APT 공격 정황이 포착됨에 따라 이번 사이버 작전을 '오퍼레이션 블루 스카이(Operation Blue Sky)'로 명명했습니다.
이번 위협은 악성 워드(DOC) 문서로 부터 시작되며, 이들은 주로 스피어 피싱을 통한 공격벡터를 활용합니다.
■ 04월 달에 돌아온 Konni
2019년 04월 29일에 제작된 악성 문서 파일은 실행 시 다음과 같이 보안 경고 메시지와 함께 매크로 실행을 유도하게 만듭니다.
[그림 1] 매크로 실행을 유도하기 위한 안내 메시지 화면
여기서 흥미로운 점은 본문 화면이 'TA505조직, 또다시 엑셀 문서로 위장한 악성 이메일 유포해' 분석 자료에서도 유사하게 …
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다.
지난 01월 02일 【암호화폐 내용의 Konni APT 캠페인과 '오퍼레이션 헌터 아도니스'】 보고서를 공개한 바 있는데, 최근 이들의 사이버 위협 활동이 또 다시 감지되고 있습니다.
|
|
File Name
|
|
요청주신 정책 관련 자료.doc (BlueSky)
|
|
MD5
|
|
0eb6090397c74327cd4d47819f724953
|C2||filer1.1apps[.]com|
|
|
File Name
|
|
젠트리온 지갑 관련자료.doc (BlueSky)
|
|
MD5
|
|
2bfbf8ce47585aa86b1ab90ff109fd57
|
|
C2
|
|
filer2.1apps[.]com
한국어를 구사하는 대표적인 APT 위협 그룹 중에 하나인 'Konni' 조직은 아직도 베일에 쌓여있습니다.
최근 변종이 연속적으로 발견되고 있는데, 헌터 아도니스에서 공개된 바 있는 'BlueSky' 계정이 동일하게 사용되고 있는 점이 주목됩니다.
ESRC는 하나의 계정에서 지속적인 APT 공격 정황이 포착됨에 따라 이번 사이버 작전을 '오퍼레이션 블루 스카이(Operation Blue Sky)'로 명명했습니다.
이번 위협은 악성 워드(DOC) 문서로 부터 시작되며, 이들은 주로 스피어 피싱을 통한 공격벡터를 활용합니다.
■ 04월 달에 돌아온 Konni
2019년 04월 29일에 제작된 악성 문서 파일은 실행 시 다음과 같이 보안 경고 메시지와 함께 매크로 실행을 유도하게 만듭니다.
[그림 1] 매크로 실행을 유도하기 위한 안내 메시지 화면
여기서 흥미로운 점은 본문 화면이 'TA505조직, 또다시 엑셀 문서로 위장한 악성 이메일 유포해' 분석 자료에서도 유사하게 …
IoC
0eb6090397c74327cd4d47819f724953
2bfbf8ce47585aa86b1ab90ff109fd57
81.90.188.76
http://1apps.com
http://alabamaok0515.1apps.com
http://alabamaok0515.1apps.com/1.txt
http://charley-online.com/back/2019/index.php
http://fighiting1013.org/2/
http://fighiting1013.org/2/sp.exe
http://filer1.1apps.com|
http://filer2.1apps.com
http://mail.naver-download.com/file/pay/typeword13.doc
http://tgbabcrfv.1apps.com/
2bfbf8ce47585aa86b1ab90ff109fd57
81.90.188.76
http://1apps.com
http://alabamaok0515.1apps.com
http://alabamaok0515.1apps.com/1.txt
http://charley-online.com/back/2019/index.php
http://fighiting1013.org/2/
http://fighiting1013.org/2/sp.exe
http://filer1.1apps.com|
http://filer2.1apps.com
http://mail.naver-download.com/file/pay/typeword13.doc
http://tgbabcrfv.1apps.com/