핵심요약
시스코 탈로스는 얼마전지난3년간일부캠페인을통해배포된KONNI RAT(원격접속트로이목마)에대해포스팅했습니다. 이번에는7월4일에신규캠페인이배포된것을확인했습니다. 이캠페인에사용된악성코드는2017년초에배포된것과유사한기능을가지고있으며다음과같은변경사항이있었습니다.
· 정상문서파일로가장한신규악성문서는7월3일한국에서발행된연합뉴스기사를복사/붙여넣기한것입니다.
· 드로퍼에는KONNI의64비트버전이포함되어있습니다.
· 새로운해커의CnC 인프라는등산동호회웹사이트로구성되어있습니다.
북한은7월3일에미사일발사실험을했습니다. 이캠페인은북한의미사일발사와그후이어진미사일기술에대한토론과직접연관된것으로보입니다. 또한, 이전에북한을자주언급했던KONNI 배포캠페인과도일관성을보이고있습니다.
"북한이전략적군사력을자축하며미사일개발역량을선전"한다는캠페인
시스코 탈로스는SHA-256 해시값으로'33f828ad462c414b149f14f16615ce25bd078630eee36ad953950e0da2e2cc90'로표현되는 실행 파일을 찾았으며, 이 파일을 열 경우 다음과 같은Office 문서가 표시되는 것을 확인했습니다.
문서의내용은7월3일한국에서발행한연합뉴스기사를복사/붙여넣기한것입니다.이문서를표시한후, 악성실행파일이서로다른KONNI 2개를단말에드롭합니다.
C:\Users\Users\AppData\Local\MFAData\event\eventlog.dll(64비트)
C:\Users\Users\AppData\Local\MFAData\event\errorevent.dll(32비트)
Windows 64비트버전에서는두파일이모두드롭되며Windows 32비트버전에서는errorevent.dll 32비트버전만드롭됩니다. 이전캠페인과달리, 이두가지는ASPack으로패킹되었습니다. 두경우모두rundll32.exe를통해드롭된악성코드가즉시실행되면서하단의레지스트리키중하나를생성합니다. 이를통해악성코드를계속유지하며보안침해가이루어진시스템이재부팅되면악성코드를즉시실행할수있도록합니다.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RTHDVCPE
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RTHDVCP
이공격은다음도메인에호스팅된신규CnC(Command & Control) 인프라를사용합니다.
· Member-daumchk[.]netai[.]net
웹페이지에대한HTTP 포스트요청이도메인자체에서/weget/download.php, /weget/uploadtm.php 또는/weget/upload.php로호스팅되면KONNI의CnC 트래픽이발생합니다.
공격자는합법적인등산동호회웹사이트를가장했습니다.
아래는해당웹사이트의스크린샷입니다.
그러나웹사이트에실제텍스트는포함되어있지않으며CMS(콘텐츠관리시스템)의기본텍스트만들어있습니다.
또한, 웹사이트의연락처섹션에는미국주소가나와있지만주소아래의지도는한국에해당하며대한민국서울의위치를가리킵니다.
결론
이캠페인의일부로배포된KONNI 악성코드는올해우리가확인한이전버전과유사합니다. 공격자는64비트버전을추가했으며분석이복잡하도록패커를사용했습니다. 이캠페인은최근의사건과직접적인연관이있으며가장'최신'버전입니다. 악성코드는7월4일에컴파일되었으며악성문서는7월3일에게시되었습니다.
KONNI와연계된위협행위자는보통북한과관련된악성문서를사용하며이캠페인도예외는아니었습니다. 그러나제3자로부터가져온악성문서는설득력있어보이는데반해CnC 서버에서호스팅되는웹사이트의콘텐츠는정상적으로보이지않습니다. 텍스트내용이웹사이트메뉴와일치하지않으며연락처페이지에는미국의주소와맞지않은한국지도가나와있습니다.
그런데도이위협행위자는여전히활발하게악성코드의업데이트버전을계속개발하고있습니다. 이악성문서의콘텐츠에관계가있거나이전공격캠페인에언급된조직은이번캠페인은물론이후의캠페인에대한적절한보호가이루어지도록지속적으로확인해야합니다.
커버리지
고객이이위협을탐지및차단할수있는또다른방법이아래에나와있습니다.
AMP(Advanced Malware Protection)는이러한공격자가이용하는악성코드의실행을막는데매우효과적입니다.
CWS또는WSA웹검사는악성웹사이트에접근할수없도록액세스를차단하고이러한공격에사용된악성코드를탐지합니다.
Email Security는위협행위자가캠페인의일부로전송하는악성이메일을차단할수있습니다.
IPS및NGFW의네트워크보안보호기능은최신시그니처를사용하여위협행위자가벌이는악의적인네트워크활동을탐지합니다.
AMP Threat Grid는모든Cisco Security 제품에서악성이진을식별하고보호기능을구축할수있도록지원합니다.
Cisco의SIG(보안인터넷게이트웨이)인Umbrella는사용자가기업네트워크내/외부어디에있든악성도메인, IP 및URL로연결되지않도록합니다.
IOC
파일해시
· 드로퍼: 33f828ad462c414b149f14f16615ce25bd078630eee36ad953950e0da2e2cc90
· 32비트이진: 290b1e2415f88fc3dd1d53db3ba90c4a760cf645526c8240af650751b1652b8a
· 64비트이진: 8aef427aba54581f9c3dc923d8464a92b2d4e83cdf0fd6ace00e8035ee2936ad
네트워크
· Member-daumchk[.]netai[.]net
이번 포스팅은 시스코 탈로스 팀에서 작성한 New KONNI Campaign References North Korean Missile Capabilities를 바탕으로 준비되었습니다.
