AutoIt 활용 방어 회피 전술의 코니 APT 캠페인 분석
Contents
◈ 주요 요약 (Executive Summary)
- 탈세 제보 신고에 따른 소명자료 제출 요청 안내로 사칭해 접근
- 자금출처와 국세청 세무조사 대상처럼 현혹, 불안감 증폭시켜 유인
- 바로가기(LNK) 유형의 악성파일로 단말 침투 및 내부 정찰 시도
- 오토잇(AutoIt) 정상 프로그램을 이용해 악성 스크립트 명령 호출
- 백신 프로그램 탐지를 회피하는 전략으로 활용… EDR 대응 가능
1. 개요 (Overview)
○ 【Genians Security Center(GSC)】의 조사에 따르면, 마치 금융소득 및 세무조사 관련 안내처럼 위장한 코니(Konni) 공격이 꾸준히 이어지고 있습니다. 주요 타깃은 대북분야 종사자이며, 비트코인 등 가상자산 개인 거래자도 일부 존재합니다.
○ 국내에 관련 사이버 위협이 기승을 부리자, 국세청은 홈페이지 공지사항을 통해 해킹메일 주의안내 를 게시했고, 6월 30일에 보도자료 추가 배포 등 피해 예방에 많은 노력을 기울이고 있습니다.
[그림 1] 국세청 공식 홈페이지 해킹메일 주의 안내 화면
○ 해당 공지사항에 따르면, 「국세청 세무조사 안내문」 등 국세청을 사칭한 해킹메일이 유포 중이며, 국세청에서는 어떠한 경우에도 '세무조사 출석요구'를 이메일로 보내지 않으므로 의심스러운 문구가 있는 경우 열람하지 말고 신고 후 삭제하도록 주의안내 중입니다.
○ 지니언스(Genians)와 안랩(Ahnlab) 등은 지난 해 이와 …
- 탈세 제보 신고에 따른 소명자료 제출 요청 안내로 사칭해 접근
- 자금출처와 국세청 세무조사 대상처럼 현혹, 불안감 증폭시켜 유인
- 바로가기(LNK) 유형의 악성파일로 단말 침투 및 내부 정찰 시도
- 오토잇(AutoIt) 정상 프로그램을 이용해 악성 스크립트 명령 호출
- 백신 프로그램 탐지를 회피하는 전략으로 활용… EDR 대응 가능
1. 개요 (Overview)
○ 【Genians Security Center(GSC)】의 조사에 따르면, 마치 금융소득 및 세무조사 관련 안내처럼 위장한 코니(Konni) 공격이 꾸준히 이어지고 있습니다. 주요 타깃은 대북분야 종사자이며, 비트코인 등 가상자산 개인 거래자도 일부 존재합니다.
○ 국내에 관련 사이버 위협이 기승을 부리자, 국세청은 홈페이지 공지사항을 통해 해킹메일 주의안내 를 게시했고, 6월 30일에 보도자료 추가 배포 등 피해 예방에 많은 노력을 기울이고 있습니다.
[그림 1] 국세청 공식 홈페이지 해킹메일 주의 안내 화면
○ 해당 공지사항에 따르면, 「국세청 세무조사 안내문」 등 국세청을 사칭한 해킹메일이 유포 중이며, 국세청에서는 어떠한 경우에도 '세무조사 출석요구'를 이메일로 보내지 않으므로 의심스러운 문구가 있는 경우 열람하지 말고 신고 후 삭제하도록 주의안내 중입니다.
○ 지니언스(Genians)와 안랩(Ahnlab) 등은 지난 해 이와 …
IoC
16eb2cceb920319eaddd5d7b85483cc4
61f65bd593ea0e52ac0dfdc6bc9cd73a
87dc4c8f67cffc8a9699328face923e2
95b8ceebbd6e983914a13c1cd774028a
3334d2605c0df26536058f73a43cb074
5613ba2032bc1528991b583e17bad59a
a3cb0eb10b9917b5c67758c079a759cf
a330b834cc2ec19c3e151f07fb4b877c
ae5e525801ec6066b7faa62e1e666270
b098959bc405e7e3148e9897e5b15b8c
fc20c9023dd7e21bf32a3507480873df
d5809e5f848f228634aa45ffe4a5ece0
01c2ac204e56fe4c0098a2d28b8e304a
3c81dc763a4f003ba6e33cd5b63068cd
4f865db4192afb5bbcdeb2e899ca97a4
7e4edf11343db68c1dace895e02cafd4
9d6c79c0b395cceb83662aa3f7ed0123
phasechangesolutions.com
search-education.com
nanocanas.com
jethropc.com
cavasa.com.co
cammirando.com
executivedaytona.com
professionaltutors.net
believeinsanta.com
samosol.com
93.183.93.185
185.231.154.22
62.113.118.157
5.161.182.109
5.78.68.117
5.75.181.118
94.103.87.212
61f65bd593ea0e52ac0dfdc6bc9cd73a
87dc4c8f67cffc8a9699328face923e2
95b8ceebbd6e983914a13c1cd774028a
3334d2605c0df26536058f73a43cb074
5613ba2032bc1528991b583e17bad59a
a3cb0eb10b9917b5c67758c079a759cf
a330b834cc2ec19c3e151f07fb4b877c
ae5e525801ec6066b7faa62e1e666270
b098959bc405e7e3148e9897e5b15b8c
fc20c9023dd7e21bf32a3507480873df
d5809e5f848f228634aa45ffe4a5ece0
01c2ac204e56fe4c0098a2d28b8e304a
3c81dc763a4f003ba6e33cd5b63068cd
4f865db4192afb5bbcdeb2e899ca97a4
7e4edf11343db68c1dace895e02cafd4
9d6c79c0b395cceb83662aa3f7ed0123
phasechangesolutions.com
search-education.com
nanocanas.com
jethropc.com
cavasa.com.co
cammirando.com
executivedaytona.com
professionaltutors.net
believeinsanta.com
samosol.com
93.183.93.185
185.231.154.22
62.113.118.157
5.161.182.109
5.78.68.117
5.75.181.118
94.103.87.212