콘니 그룹 공격 탐지: 북한 해커, 러시아어 악성 워드 문서로 RAT 멀웨어 확산

수비수들은 공격자들이 악성 소프트웨어를 배포하기 위해 러시아어로 된 Microsoft Word 문서를 무기화하는 피싱 공격을 새로운 피싱 공격을 관찰하고 있습니다. 이 공격 캠페인을 주도하는 해커들은 Konni라는 이름의 북한 그룹에 속하며, 이는 사이버 스파이 클러스터와 유사성을 공유합니다. Kimsuky APT. 

Konni 그룹 공격 탐지

북한의 Konni APT 그룹이 RAT 악성 소프트웨어 배포와 데이터 탈출을 목표로 길게 이어지는 공격 캠페인은 사이버 위협 영역에서 계속해서 소란을 일으키는 피싱 공격의 증가하는 위험성을 수비수들에게 상기시킵니다. SOC Prime 플랫폼은 위협 보상 저자 Zaw Min Htun이 개발한 새로운 시그마 규칙 세트를 제공하여 최신 Konni 캠페인을 탐지합니다. 모든 탐지 알고리즘은 여러 기술 전반에 걸쳐 사용할 수 있도록 수십 개의 SIEM, EDR, XDR 및 데이터 레이크 기술과 호환되며 MITRE ATT&CK® 프레임워크에:

레지스트리 설정 감지를 통한 Konni 캠페인 활동의 회피 가능성 (registry_event 통해)

레지스트리 키를 통한 Konni의 캠페인 악성 소프트웨어 실행 흐름 가능성 (process_creation 통해)

이 시그마 규칙은 레지스트리 수정 기술 (T1112)과 함께 방어 회피 전술을 다루고 있습니다. 

관련 URL 식별을 통한 의심스러운 Konni의 C2 연결 시도 감지 (proxy 통해)

이 감지는 대응 통신 계층 프로토콜 (T1071) 기술과 웹 프로토콜 (T1071.001) 하위 기술과 함께 명령 및 제어 전술을 다룹니다.

사이버 방어 기술 세트를 가속화하려는 탐지 엔지니어 및 위협 헌터는 SOC Prime의 위협 보상 프로그램에 언제든지 가입하여 동료와 전문 지식을 공유할 수 있습니다. Konni APT 그룹과 관련된 공격을 앞서가도록 돕기 위해, CTI 및 실용적인 메타데이터가 증가된 관련 시그마 규칙 전체 컬렉션에 의존하세요. Konni 관련 공격에 대한 SOC 콘텐츠 목록으로 깊이 탐색하려면  탐지 탐색 을 클릭하세요. 

탐지 탐색

북한 Konni APT 그룹 공격 분석

FortiGuard Labs는 새로운 피싱 캠페인을 발견했습니다. 북한의 위협 행위자인 Konni에게 귀속된 이 새로운 피싱 캠페인은 해로운 러시아어 Word 문서를 활용하여 영향을 받은 시스템에 악성 소프트웨어를 퍼뜨립니다. Konni APT 그룹은 데이터 탈출을 목표로한 정교한 사이버 스파이 캠페인으로 악명이 높습니다. 공격자들은 다양한 악성 소프트웨어 샘플과 도구를 활용하며, 끊임없이 그들의 전술을 발전시켜 탐지를 회피하여 수비수들에게 점차 어려움을 제시합니다. 

Konni 그룹은 WinRAR 취약점 (CVE-2023-38831)을 악용하고 Visual Basic 스크립트를 난독화하여 Konni RAT 와 손상된 기기에서 민감한 데이터를 훔치기 위한 Windows 배치 스크립트를 퍼뜨리는 것으로 관찰되었습니다. 장기간 활동 중인 이 캠페인은 민감한 데이터를 추출하고 해당 기기에서 명령을 실행할 수 있는 RAT 악성 소프트웨어를 활용합니다. 해커들은 초기 접근을 얻고 페이로드를 전달하며 피해자의 네트워크 내에서 영속성을 확립하기 위해 여러 방법을 적용합니다.

최신 캠페인에서 Konni는 배치 스크립트와 DLL 파일을 통해 해로운 Word 문서에 포함된 고급 도구셋을 활용합니다. 페이로드는 사용자 계정 제어(UAC) 우회 및 C2 서버와의 암호화된 통신을 포함하여 공격자에게 권한 있는 명령을 실행할 수 있는 승인을 제공합니다. 

북한 APT 그룹에 기인한 공격이 증가함에 따라 전 세계 조직은 철저한 사이버 보안 실천과 사전 위협 탐지 조치를 필요로 하게 됩니다. 이를 통해 Uncoder AI를 활용함으로써, 탐지 엔지니어링을 위한 업계 최초의 IDE에서 보안 엔지니어들은 더욱 빠르고 스마트하게 견고한 탐지 코드를 작성할 수 있으며, 초단위 성능으로 이를 65개의 보안 언어 형식으로 번역할 수 있습니다.