> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
킴수키 연계 가능성 있는 ‘코니’, 러시아어 위장 공격
이스트시큐리티, 공격 배후 추적에 혼선 주기 위해 러시아어로 작성했을 가능성 제기
2019년 08월 19일 17:21:44 김선애 기자 iyamm@datanet.co.kr

[데이터넷] 러시아어로 작성된 악성문서가 사실은 한국어 기반 환경에서 작성됐을 정황이 발견됐다. 주 사용 언어를 바꿔 공격 배후 추적에 혼선을 주기 위한 시도인 것으로 추측된다.

이스트시큐리티 시큐리티 대응센터(ESRC)에 따르면 이 악성파일은 러시아어로 ‘한반도의 상황과 미국과 북한의 대화전망’이라는 제목의 MS 워드 문서로 유포됐다. 이 문서를 실행하면 러시아어로 작성된 화면이 흐리게 보이면서 보안경고 메시지가 나타난다. ESRC는 이용자에게 매크로를 실행하도록 유도하기 위해 문서의 본문을 흐리게 보이도록 만들었다고 설명했다. 이용자가 ‘콘텐츠 사용’ 버튼을 클릭하면 정상 문서 화면이 나타나며, 백그라운드에서 악성 매크로 코드가 실행된다.

악성문서는 러시아어로 작성돼 있지만, 문서 내부 코드페이지에는 한국어가 사용되고 있어 공격자가 한국어 기반 환경에서 문서를 작성했다고 유추할 수 있다. ESRC는 이 공격이 올해 초 부터 활동하고 있는 ‘코니(Konni)’ 시리즈로 분석하고 있으며, 이들은 킴수키 그룹과 연관성이 있을 것으로 보고 있다.

   

▲악성 파일을 실행시키면 문서가 흐리게 보이며 매크로 실행을 유도하는 팝업창이 뜬다. 이를 실행하면 정상적으로 보이는 문서가 열리며, 백그라운드에서 공격이 시작된다. 

한편 지난 6월 싱가포르에서 바이러스토탈로 업로드된 코니 변종이 발견된 바 있으며, C2 주소만 특정 보안업체 도메인으로 의도적으로 조작된 것이 확인됐다. ESRC는 테스트 목적으로 수정돼 업로드 됐을 가능성을 의심하며 위협 배후를 조사하는데 혼선을 야기할 수 있다고 지적했다.

ESRC 관계자는 “코니 캠페인이 킴수키 APT 그룹과 연관되는 단서를 지속적으로 발견하고 있다. 하나의 APT 공격 조직이 고도의 전략으로 상대방 C2 서버까지 은밀하게 침투해 위변조 작업했을 수도 있지만, 동일한 웹쉘이 사용됐을 가능성은 높지 않은 것으로 본다”며 “코니 시리즈 캠페인이 지속적으로 발견되고 있으며, 꾸준한 관찰과 대응이 필요하다”고 말했다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  이스트시큐리티, 킴수키, 코니, 러시아어, 악성문서
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr