220420_유명조달기업
북한 연계된 해킹 그룹, 러시아 외무부 공격
상태바
북한 연계된 해킹 그룹, 러시아 외무부 공격
  • 석주원 기자
  • 승인 2022.01.07 18:17
  • 댓글 0
이 기사를 공유합니다

새로운 버전의 코니 RAT 멀웨어 발견

사이버 보안 연구조직 클러스터25(Cluster25)는 북한과 연계된 코니(Konni) APT 그룹이 새로운 악성코드로 러시아 외무부를 공격 중인 작업을 발견했다고 밝혔다.

코니 APT 그룹은 신년 인사를 미끼로 스피어 피싱을 시도했으며, 악성 이메일에 첨부된 파일을 열면 다단계 연쇄 공격이 시작돼 최종적으로 새로운 버전의 코니 RAT(Remote Access Trojan)를 심는다고 설명했다.

코니 RAT는 2017년 시스코 탈로스 연구진에 의해 처음 발견된 악성코드로, 북한과 관련 있는 해킹 조직 탈륨과 APT37이 공격에 사용한 것으로 확인됐다. 코니 RAT에 감염된 시스템은 모든 정보를 수집해 공격자에게 전달하는 것으로 알려졌다.

새로운 버전 Konni RAT의 공격 프로세스
새로운 버전 Konni RAT의 공격 프로세스(출처: Cluster25 보고서)

러시아를 겨냥한 코니 RAT 공격은 지난해 8월에도 탐지됐는데, 당시에는 ▲러시아와 한반도 사이의 무역과 경제 문제 ▲러시아와 몽골 정부 간 위원회 회의를 주제로 한 두 개의 문서를 통해 전파됐다.

하지만 이번 공격에서는 ‘поздравление.zip’(러시아어로 ‘축하합니다'라는 뜻)이라는 .zip 파일이 사용됐으며, 인도네시아에 위치한 러시아 대사관을 목표로 삼았다. 이 메시지 공격은 발신자 계정을 *@mid.ru로 만들어 세르비아 주재 러시아 대사관에서 보낸 것처럼 속였다.

클러스터25 연구진은 “이 공격은 메일에 첨부된 zip 파일에서 시작된다. 이 파일의 압축을 해제하면 악의적인 ‘crnsvc.dll’이라는 이름의 코니 RAT 멀웨어가 윈도우 서비스에 설치된다”고 경고했다.

클러스터25 연구진은 지난해 8월에 발생한 코니 RAT 공격 이후 러시아 외무부를 겨냥한 APT 그룹의 활동을 감시해 왔으며, 이번 공격에 사용된 코니 RAT가 2021년 12월 20일 9시 2분 38초에 컴파일된 버전이라고 덧붙였다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.