킴수키 연계 가능성 있는 ‘코니’, 러시아어 위장 공격
상태바
킴수키 연계 가능성 있는 ‘코니’, 러시아어 위장 공격
  • 김선애 기자
  • 승인 2019.08.19 17:21
  • 댓글 0
이 기사를 공유합니다

이스트시큐리티, 공격 배후 추적에 혼선 주기 위해 러시아어로 작성했을 가능성 제기

[데이터넷] 러시아어로 작성된 악성문서가 사실은 한국어 기반 환경에서 작성됐을 정황이 발견됐다. 주 사용 언어를 바꿔 공격 배후 추적에 혼선을 주기 위한 시도인 것으로 추측된다.

이스트시큐리티 시큐리티 대응센터(ESRC)에 따르면 이 악성파일은 러시아어로 ‘한반도의 상황과 미국과 북한의 대화전망’이라는 제목의 MS 워드 문서로 유포됐다. 이 문서를 실행하면 러시아어로 작성된 화면이 흐리게 보이면서 보안경고 메시지가 나타난다. ESRC는 이용자에게 매크로를 실행하도록 유도하기 위해 문서의 본문을 흐리게 보이도록 만들었다고 설명했다. 이용자가 ‘콘텐츠 사용’ 버튼을 클릭하면 정상 문서 화면이 나타나며, 백그라운드에서 악성 매크로 코드가 실행된다.

악성문서는 러시아어로 작성돼 있지만, 문서 내부 코드페이지에는 한국어가 사용되고 있어 공격자가 한국어 기반 환경에서 문서를 작성했다고 유추할 수 있다. ESRC는 이 공격이 올해 초 부터 활동하고 있는 ‘코니(Konni)’ 시리즈로 분석하고 있으며, 이들은 킴수키 그룹과 연관성이 있을 것으로 보고 있다.

▲악성 파일을 실행시키면 문서가 흐리게 보이며 매크로 실행을 유도하는 팝업창이 뜬다. 이를 실행하면 정상적으로 보이는 문서가 열리며, 백그라운드에서 공격이 시작된다.

한편 지난 6월 싱가포르에서 바이러스토탈로 업로드된 코니 변종이 발견된 바 있으며, C2 주소만 특정 보안업체 도메인으로 의도적으로 조작된 것이 확인됐다. ESRC는 테스트 목적으로 수정돼 업로드 됐을 가능성을 의심하며 위협 배후를 조사하는데 혼선을 야기할 수 있다고 지적했다.

ESRC 관계자는 “코니 캠페인이 킴수키 APT 그룹과 연관되는 단서를 지속적으로 발견하고 있다. 하나의 APT 공격 조직이 고도의 전략으로 상대방 C2 서버까지 은밀하게 침투해 위변조 작업했을 수도 있지만, 동일한 웹쉘이 사용됐을 가능성은 높지 않은 것으로 본다”며 “코니 시리즈 캠페인이 지속적으로 발견되고 있으며, 꾸준한 관찰과 대응이 필요하다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.