Konni의 최신 AsyncRAT 공격: LNK 파일을 활용한 감염 기법
Contents
Contact
위협 인텔리전스
Konni의 최신 AsyncRAT 공격: LNK 파일을 활용한 감염 기법
엔키화이트햇
2025. 3. 12.
Content
요약
1. 개요
2. 악성코드 분석
3. 추가 악성코드 확보 및 분석
4. 대응 방안
5. 마치며
6. 부록
7. 참고
요약
바이러스 토탈 헌팅 기능으로 공격자들이 초기 단계 악성코드로 많이 활용하는 LNK 파일을 확보하여 분석한 결과 일부 파일에서 북한 배후 해킹 그룹인 Konni와의 연관성을 확인했습니다.
공격자는 C&C 서버뿐만 아니라 Dropbox, Google Drive를 악용하여 악성코드를 배포합니다.
최종 실행되는 악성코드는 AsyncRAT로, 과거 Konni 그룹이 사용한 AsyncRAT는 C&C 서버 정보(ip, port)가 하드코딩되어 있지만, 이번에 확인된 AsyncRAT는 실행 인자로 ip와 port가 전달되는 방식으로 변경된 것을 확인했습니다.
분석 과정에서 확인된 C&C 서버는 작년부터 공격 인프라로 활용된 정황이 포착됐습니다.
1. 개요
바이러스 토탈 헌팅 기능을 활용하여 수집된 LNK 파일을 분석하던 중, 일부 파일에서 북한 배후 해킹 그룹 Konni와의 연관성이 확인되었습니다. Konni는 Kimsuky와 유사한 전술을 사용하며, 여러 캠페인에서 Kimsuky와의 공통점이 다수 발견된 그룹입니다.
분석된 악성코드는 C&C 서버뿐만 아니라 정상 클라우드 서비스인 Dropbox와 Google Drive를 악용하여 추가 악성코드를 배포하며, 각 단계의 악성코드에 난독화가 적용되어 있는 것이 특징입니다. …
위협 인텔리전스
Konni의 최신 AsyncRAT 공격: LNK 파일을 활용한 감염 기법
엔키화이트햇
2025. 3. 12.
Content
요약
1. 개요
2. 악성코드 분석
3. 추가 악성코드 확보 및 분석
4. 대응 방안
5. 마치며
6. 부록
7. 참고
요약
바이러스 토탈 헌팅 기능으로 공격자들이 초기 단계 악성코드로 많이 활용하는 LNK 파일을 확보하여 분석한 결과 일부 파일에서 북한 배후 해킹 그룹인 Konni와의 연관성을 확인했습니다.
공격자는 C&C 서버뿐만 아니라 Dropbox, Google Drive를 악용하여 악성코드를 배포합니다.
최종 실행되는 악성코드는 AsyncRAT로, 과거 Konni 그룹이 사용한 AsyncRAT는 C&C 서버 정보(ip, port)가 하드코딩되어 있지만, 이번에 확인된 AsyncRAT는 실행 인자로 ip와 port가 전달되는 방식으로 변경된 것을 확인했습니다.
분석 과정에서 확인된 C&C 서버는 작년부터 공격 인프라로 활용된 정황이 포착됐습니다.
1. 개요
바이러스 토탈 헌팅 기능을 활용하여 수집된 LNK 파일을 분석하던 중, 일부 파일에서 북한 배후 해킹 그룹 Konni와의 연관성이 확인되었습니다. Konni는 Kimsuky와 유사한 전술을 사용하며, 여러 캠페인에서 Kimsuky와의 공통점이 다수 발견된 그룹입니다.
분석된 악성코드는 C&C 서버뿐만 아니라 정상 클라우드 서비스인 Dropbox와 Google Drive를 악용하여 추가 악성코드를 배포하며, 각 단계의 악성코드에 난독화가 적용되어 있는 것이 특징입니다. …
IoC
http://olsiop.shop
http://206.206.127.152:7032
http://74.50.94.175
http://206.206.127.152:9002
http://74.50.94.175:7628
http://206.206.127.152:7628
http://206.206.127.152:6105
http://duplikyservjc.cloud/dn.php?name=
http://74.50.94.175:9992
http://206.206.127.152
http://74.50.94.175:7032
http://159.100.13.216
http://acieodls.shop
http://206.206.127.152:6606
http://206.206.127.152:9027
http://duplikyservjc.cloud
http://74.50.94.47
74.50.94.47
74.50.94.175
159.100.13.216
206.206.127.152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://206.206.127.152:7032
http://74.50.94.175
http://206.206.127.152:9002
http://74.50.94.175:7628
http://206.206.127.152:7628
http://206.206.127.152:6105
http://duplikyservjc.cloud/dn.php?name=
http://74.50.94.175:9992
http://206.206.127.152
http://74.50.94.175:7032
http://159.100.13.216
http://acieodls.shop
http://206.206.127.152:6606
http://206.206.127.152:9027
http://duplikyservjc.cloud
http://74.50.94.47
74.50.94.47
74.50.94.175
159.100.13.216
206.206.127.152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