[데이터넷] 국내 암호화폐 관련 공격을 이어온 사이버 범죄 조직 코니(KONNI)가 모바일 메신저, 암호화폐 관련 앱으로 위장한 안드로이드 악성코드를 유포한 정황이 발견됐다. 카스퍼스키랩의 ‘3분기 APT 동향 보고서’에 따르면 코니는 인권단체 및 대북 관련 인사, 정부조직을 노리는 윈도우 기반 공격을 벌여왔으며, 암호화폐 거래소와 사용자를 노리는 공격을 이어왔다.

이번 분기에 발견한 것은 안드로이드 환경에서 활동하는 것으로, 안드로이드 기기를 제어할 수 있는 기능을 갖췄으며 개인의 암호화폐를 탈취한다.

또한 이 보고서에서는 지난 7월 발생한 국내 보안업체의 코드사인 인증서 탈취 공격에 대해서도 분석했다. 보고서에 따르면 이 사고는 라자루스의 하위조직인 안다리엘(Andariel) APT 공격 조직이 웹로직 서버를 변조해 C2 인프라를 구축했으며, 국내 보안업체의 코드사인 인증서를 탈취해 정상 소프트웨어로 위장해 공격을 시도했다. 보고서에서는 한국의 CERT 조직이 빠르게 대응해 피해를 막을 수 있다고 설명했다.

안다리엘은 아폴로제우스(ApolloZeus)라는 새로운 백도어를 사용하고 있으며, 대규모 셀코드를 사용해 분석이 쉽지 않다. 카스퍼스키는 이들이 새로운 공격의 초기 준비 단계에 있다고 분석했다.

한편 이 보고서에서는 동남아시아 지역 은행을 노리는 블루노로프(BlueNoroff)에 대해서도 분석하고 있다. 블루노로프 역시 라자루스의 하위조직으로, 3분기 동안 미얀마 은행을 감염시켰다는 사실을 밝혀냈다. 공격자는 내부망 이동으로 은행 시스템 엔지니어 소유의 SWIFT 관련 호스트를 비롯한 중요 호스트에 접근한 것으로 보인다. 이 공격 역시 초기에 발견하고 조치해피해를 막을 수 있었다.

카스퍼스키 조사에서는 블루노로프가 보안 탐지를 회피하기 위해 파워쉘 스크립트를 지속적으로 변경하고 있다는 사실도 알아냈다. 이들은 명령줄 매개변수에 따라 패시브·액티브 백도어나 터널링 도구까지도 실행할 수 있는 매우 정교한 악성 소프트웨어를 사용하고 있다.

김선애 기자 다른기사 보기