본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

코니(Konni) APT 조직, 모바일 스파이 활동을 통한 스마트 위협 증가

보안공지 2019-08-27

■ 김수키(Kimsuky)와 연계된 코니(Konni) APT 조직 활발


지난 23일 금요일 오후, 마치 한국내 비트코인 거래소 해킹 공지처럼 사칭한 스피어 피싱(Spear Phishing) 공격이 발견되어, 휴일 기간 스마트기기 안전에 각별한 주의가 요망됩니다.


ESRC에서는 여러 공격벡터와 각종 지표를 종합한 결과, 기존 '코니(Konni)' 그룹을 이번 공격 배후로 지목했으며, 이른바 '김수키(Kimsuky)' 조직과 직간접 연계 가능성에 무게를 두고 있습니다.


이와 관련된 내용은 아래 최근 포스팅을 참고해 주시면 좋겠습니다.





■ 당신의 안드로이드 스마트폰을 겨냥한 실존 위협



현재 많은 분들이 스마트폰을 이용해 이메일을 열람하고 있다는 측면에서 모바일 보안위협 노출의 가능성은 언제나 충분히 열려있습니다. 다만, 이번 공격은 안드로이드 기반 단말기를 대상으로 합니다.


먼저 실제 공격에 사용된 이메일을 살펴보면, 마치 암호화폐 거래소 회원들 대상 계정보호용 안드로이드 앱(APK) 설치유도 문구로 현혹합니다. 또, 육안상 공식 이메일 계정에서 발송된 것처럼 보낸이 정보가 교묘하게 조작되어 있습니다.


더불어 한국 포털사에서 제공하는 이메일의 대용량 클라우드 다운로드 아이콘과 실제 거래소 이미지 등을 적절히 결합해 나름 진짜처럼 보이도록 디자인에 신경썼지만, 일부 띄어쓰기 등이 다소 부자연스런 부분이 존재합니다.



[그림 1] 암호화폐 거래소 해킹공지 안내로 사칭한 이메일 화면



23일 오후 여러 사람들에게 해당 이메일이 발송된 것으로 보이고, 이에 따라 해당 비트코인 거래소의 공식 인터넷 카페에도 사칭 이메일 주의 공지사항이 등록되었습니다.


ESRC는 첨부파일로 존재했던 'BithumbProtect.apk' 파일을 분석하기 전에 공격에 사용된 위협흐름을 파악하는데 주력했고, 공격자가 해외거점에 구축한 1단계 명령제어(C2) 서버 구축 정황을 포착했습니다.


분석 당시 웹 서버의 디렉토리 리스팅이 가능해, 공격자가 만든 폴더들이 그대로 오픈되어 있었으며, 스피어 피싱 위협 미끼로 활용된 비트코인 거래소명 외에 한국의 대표 포털 회사이름의 경로도 추가 발견되었습니다.



[그림 2] 해커가 만든 1단계 C2 화면



각각의 폴더 하위에는 안드로이드 악성앱을 감염시키기 위해 만들어진 피싱사이트와 추가 악성앱(APK)이 존재합니다.


그리고 해당 악성앱은 2단계 C2 서버로 감염된 스마트폰 단말기 정보를 수집해 은밀히 탈취기능을 수행합니다.


더불어 포털회사 앱처럼 사칭한 경우엔 컴퓨터와 모바일의 웹 브라우저 환경을 체크해 컴퓨터로 접근할 경우 '모바일 환경에서만 설치가 가능합니다.' 메시지 창을 출력해 스마트 기기에서 접근하도록 유도합니다.


만약 안드로이드 디바이스에서 접근시 다음과 같이 유사 변종 악성앱이 다운로드됩니다.



[그림 3] 안드로이드 단말기에 악성앱이 다운로드 시도 중인 화면



■ 악성앱 기술 분석



 앱명 

 패키지명

 서명날짜 (KST)

 서명자

 아이콘 MD5

 BithumbProtect.apk

 app.project.appcheck

 2019/08/22 21:51:26

 John

 

 de68dffc8705c068bd475fb43dfcfdb9

 DaumProtect.apk

 app.project.appcheck

 2019/08/17 18:16:30

 Jhon

 

 adc530f0d0800e0992830c7ca8c7c198
 NaverProtect.apk app.project.appcheck 2019/08/17 18:16:30

 Jhon

 

 17994bddf6416ebec82030221261e6a5



각각의 APK 악성앱은 동일한 패키지명을 사용하고 있으며, 서명시작은 포털사 사칭앱이 08월 17일이고, 거래소 사칭앱이 22일입니다.


발행자의 경우 거래소 사칭앱이 'John'이고, 나머지는 'Jhon'으로 알파벳 위치만 일부 다릅니다. 공격자는 'John' 계정을 선호했던 것으로 보이고 초반에는 오타였을 것으로 추정됩니다.


3개의 악성앱 모두 거의 비슷한 기능을 소유하고 있어, 가장 최근에 제작된 거래소 사칭앱을 기준으로 내부 행위를 기술하면 다음과 같습니다.


우선 처음 설치되어 실행된 이후에는 아이콘을 숨겨 실행여부를 파악하기 힘들지만, 단말기 백그라운드에서 보이지 않게 악의적 행위를 지속적으로 수행합니다.


앱의 메인 로고에는 '정보보호관리체계인증(ISMS)' 표시가 존재합니다.





※ 주요 스파이 행위


- 스마트기기내 연락처 탈취

- 음성 녹취 및 실행앱 정보 수집

- 문자메시지(SMS) 탈취

- 클립보드 내용, 키로깅 정보 수집

- 각종 앱 및 디바이스 정보 수집

- 앱설치/제거 등 다양한 C2 명령 수행 (193.148.16[.]45) / 일본(JP)



대표적인 기능 몇가지만 살펴보면, 안드로이드 기반 스마트폰의 문자메시지 정보를 수집시도 합니다. 따라서 OTP 인증 문서나 사생활 정보가 무단 노출될 위험성이 높습니다.



[그림 4] 문자메시지(SMS) 수집 탈취 기능



단말기 주소록에 저장되어 있는 연락처가 탈취되어 또 다른 2차 공격이나 주변인 정보가 공격자에게 악용될 소지가 있습니다.



[그림 5] 연락처 정보 수집 기능 화면



특히, 음성녹취 시도는 매우 민감한 사생활 정보 중에 하나로, 도청 피해로 이어질 수 있어 매우 높은 위협요소로 분류할 수 있습니다.



[그림 6] 녹취 기능 화면



이외에도 단말기의 각종 정보와 추가 악성행위를 수행하게 됩니다. 이렇게 획득된 정보는 텍스트 파일로 저장되어 명령제어(C2) 서버로 전송되며, 각 목록은 다음과 같습니다.


더불어 해커의 원격명령과 의도에 따라 또 다른 위협이 추가될 가능성도 존재합니다.



- http://193.148.16[.]45/manager



 init.txt

 스파이앱 초기화 문구 (OK, My Spy)

 time.txt

 시작 시간

 user.txt

 단말기 유저 (IMEI, NUMBER, OSTYPE, OSAPI)

 account.txt

 계정 정보

 app.txt

 설치된 앱 목록

 contact.txt

 주소록 정보

 sms_all.txt

 문자메시지 목록

 sdcard.txt

 SD카드 폴더 파일 목록

 sms_new.txt

 신규 수신 문자메시지

 keylog.txt

 악성행위 키로깅 기록

 clipboard.txt 클립보드 정보
 record.mp4 음성녹취 기록



[그림 7] 수집 정보 기록파일 목록 및 C2 주소



 ■ 유사 위협 사례 비교분석



ESRC에서는 이와 유사한 기능을 가진 악성앱을 다수 확인하였는데, 매우 흥미로운 점이 목격되었습니다.


▶ 동일한 패키지 명과 서명자를 사용한 변종 존재


2019년 상반기에도 동일한 패키지명과 유사한 서명 발행자 계정이 포함된 변종들이 다수 식별되었는데, 이때는 한국의 카카오톡을 위장한 사례와 앱 이름이 없는 경우도 발견되었습니다.


자세한 비교자료는 하단에 기술된 테이블을 참고해 주시기 바랍니다.


▶ 명령제어(C2) 서버의 공통점과 흡사한 스타일의 도메인


다수의 변종 악성앱이 일본(JP)소재의 '193.148.16[.]45' IP주소와 통신을 수행하는데, 동일한 앱명과 패키지명을 쓰는 변종 중에 4월 경 서명된 것은 미국(US) 지역에 할당된 '37.72.175[.]223' IP주소를 사용한 바 있습니다.


또한, 악성앱이 은닉되어 있던 도메인이 일부 식별되었는데, 한국의 포털 사이트처럼 위장한 경우가 있었습니다.


흥미롭게도 '첨부-다운로드(attach-download)' 단어를 포함해 이메일에 동봉해 앱을 배포하는 웹 사이트처럼 위장했습니다.



- http://naver.attach-download[.]com/download/apk/KakaoTalk.apk (#01)

- http://attach-download[.]com/qksms/QKSMS.apk (#02)



이번에 새롭게 유포된 경우는 'manage-downloader[.]com' 도메인으로 변경이 되었고, 공격자가 최근에 구축한 것으로 확인되었습니다. 또한, 공격 거점에는 'moo.corkmusicstation[.]com' 서버가 함께 사용되었습니다.


ESRC는 이번 위협조직이 기존과 거의 같은 패턴으로 안드로이드 스마트폰 이용자 공격을 수행하고 있다는 점에서 동일 APT조직의 소행으로 믿고 있습니다.



 앱명 

 패키지명

 서명날짜(KST)

 서명자

 아이콘

 MD5

C2 

 DaumProtect.apk

 app.project.appcheck 2019/04/05 01:25:18 Daum 

 29506d03bf3f06df62089bed5af58906 37.72.175[.]223 

 KakaoTalk.apk
(#01)

 app.project.appcheck

 2019/03/31 20:14:07

 Jhon

 

 6c290d6ddbe317844a4dccdc2259c6c1

 193.148.16[.]45

 NaverProtect.apk

 app.project.appcheck

 2019/03/27 18:00:00

 Jhon

 

 9c025c3ff6ec04b7e67c9553ef4e2415

 193.148.16[.]45

 DaumProtect.apk

 app.project.appcheck

 2019/03/27 18:00:00 Jhon 

 8384803283c01a529eeaec8128e6a20a

 193.148.16[.]45 

 QKSMS.apk
(#02)

 com.moez.QKSMS

 2019/03/21 15:45:10 Jhon

 N/A

 d503c3d182a632ac2c009c30e70951f2

 193.148.16[.]45 

 CapMarket.apk com.xiongxh.cryptocoin 2019/02/28 17:10:32 Jhon 

 ff9f17fb1dd02186ba461586a1734212

 193.148.16[.]45 

 BithumbProtect_v1.0.5.apk app.project.appcheck N/A N/A 

 c1063cfa402e64882d41f88ada87c8d1

 manage.app-wallet[.]com
 (91.235.116[.]144)



특히, 'manage.app-wallet[.]com' C2 도메인을 등록한 내용을 확인해 보면, 등록자명은 'Annie Cho'이고 이메일 주소는 'bitcoin025@hanmail.net' 한국 한메일을 쓰고 있습니다.


APK 앱 외에 DEX 파일만 발견된 사례도 있는데, 동일한 흐름을 가지고 있으며, 명령제어(C2) IP주소가 193.148.16[.]45로 일치하고 있습니다.



 MD5 

 C2

 8969dc701a399d8a39c44bc99ea04f8c

 193.148.16[.]45

 aa1be190f84cbbb6d9381e467d8e5218

 193.148.16[.]45

 e0558f99a3de6619feff31d6e5e6dd39

 193.148.16[.]45



■ 코니(Konni) 공격자의 모바일 APT 공격 스코프



ESRC는 이번 안드로이드 모바일기기 대상 스피어 피싱을 면밀히 추적조사하면서, 흥미로운 단서를 포착했습니다.


공격이 발생된 위협 스코프를 중심으로 조사하던 중 교묘히 은닉되어 있던 이메일 발송 코드를 식별했고, 과거 김수키(Kimsuky) 캠페인에서 목격된 바 있는 메일러(Mailer)입니다.


그런데 여기서 그냥 지나치면 안되는 중요한 단서가 존재합니다. 바로 해당 이메일러 타이틀로 선언되어 있는 'victory'라는 단어입니다.



[그림 8] 공격자가 사용한 메일 발송 프로그램



지난 06월 10일  스페셜 리포트를 통해 처음으로 【코니(Konni)조직과 김수키(Kimsuky) 조직의 연관성】을 공개하면서 다음과 같은 화면을 보여드린 바 있습니다.


당시 포스팅에서 '김수키(Kimsuky)' 조직이 사용한 복수의 'b374k' 웹쉘 로그인 암호가 'victory'로 설정되어 있다는 것이었습니다. 물론, 이미 공개된 사례 이외에 추가 식별된 바 있고, 동일한 웹쉘과 암호가 목격되었습니다.


특정 정부후원을 받는 위협배후를 조사하는 과정에서 '조작된 거짓 표식(False Flag)' 등 모든 가능성을 열어두고 접근하는 것은 당연한 절차입니다.


만약, '코니(Konni)' 배후가 '김수키(Kimsuky)' 조직과 연계된 것이 아니라면, 상대방의 공격무기를 매우 적절하게 사용하고 있다고 볼 수 있습니다.


또한, 실제로 필드공격을 수행하고 있기 때문에 모의 테스트로 취급하기엔 해석에 여러모로 어려움이 뒤따릅니다.


ESRC는 두조직의 활동반경을 오랜기간 관찰하면서, 단순 우연이나 확률로 중첩되기 어려운 상황을 여러번 경험했고, 현재도 지속적인 연구를 수행하고 있습니다.



[그림 9] 김수키(Kimsuky) 조직이 사용한 웹쉘의 암호 'victory'



앞서 공개한 바 있는 악성앱의 C2 도메인 중 'manage.app-wallet.com' 사이트의 경우 마치 암호화폐 월렛(지갑)을 관리하는 내용처럼 보입니다.


이 도메인은 2018년 11월 22일 루마니아 지역 IP주소(91.235.116[.]144)로 생성되었으며, 등록자는 'Annie Cho' 이름이 표기되어 있고, 조직명은 'Coinwallet' 입니다.


그리고 등록자의 이메일 주소는 'bitcoin025@hanmail.net' 으로 포함되어 있고, 아이디는 '비트코인+숫자' 형태로 암호화폐 내용에 연결되어 있습니다.



[그림 10] 한메일로 등록된 악성앱 C2 주소



ESRC는 이러한 유형의 한메일 계정을 여러차례 식별했고, 작년 중순쯤에 '김수키(Kimsuky)' 캠페인 중 하나도 포함됩니다.


그것은 바로 2018년 06월 12일 싱가포르 북미정상회담이 진행되는 날에 언론사 특파원을 상대로 진행된 사건입니다.


이 당시 사용된 해킹메일은 마치 '6.12 미북정상회담 예상의제(외교부).pdf' 문서가 첨부된 것처럼 조작된 가짜 이메일을 정부기관에서 주고받는 것처럼 포워딩 조작 기법을 사용했습니다.


만약 수신한 언론사 기자가 첨부파일로 인식해 URL주소 링크를 클릭하게 되면 'myaccount.rnailr[.]com' 사이트로 연결이 이뤄지고, 마치 구글 로그인처럼 가장한 피싱사이트에 노출됩니다.


공격자는 'mail' 영어 단어처럼 보이게 하기 위해서 알파벳 'r' 소문자와 'n' 소문자를 결합해서 사용했고, 근래에도 이런 전술적 조작 방식을 사용 중이므로, 이메일이나 웹 사이트의 도메인을 유심히 살펴보는 보안습관이 필요합니다.



mail -> rnail <- 알파벳을 자세히 봐야 다른 점을 알 수 있습니다.



[그림 11] 해킹 이메일과 구글 피싱 화면



현재는 'rnailr[.]com' 도메인 등록자가 중국 관계자로 변경되어 있지만, 2018년 04월 18일 'Swoonchul Kwon' (권순철) 한글식 이름의 등록자가 존재했고, 등록 이메일이 'bitcoin014@hanmail.net' 주소를 사용하였습니다.


또한, 이 계정은 지난 06월까지도 새로운 도메인을 계속 등록하고 있습니다.



[그림 12] 권순철 영자이름과 비트코인 키워드를 포함한 이메일 등록자 화면



중요한 내용을 기술하기 위해 다시 앞의 상황으로 돌아가 설명을 이어가겠습니다.


만약, 이용자가 구글 피싱 사이트 속아 실제 암호를 입력하게 될 경우, 다음처럼 정상 PDF 문서를 보여주어 이용자로 하여금 암호가 유출된것을 인지하지 못하게 현혹성 화면을 출력합니다.


정상 PDF 문서의 파일명은 'strategy20180612.pdf' 이며, URL 경로는 피싱 사이트와 동일한 'myaccount.rnailr[.]com' 입니다.



[그림 13] 구글 피싱사이트에 등록된 정상 문서 화면



그런데 이 화면이 익숙하신 분이 계실지 모르겠습니다. 지난 2018년 06월 19일, 동일한 문서내용을 담은 실제 악성 HWP 문서파일에서 사용된 화면이기 때문입니다.


당시 포스팅은 【김수키(Kimsuky) APT조직, 미북 정상회담 전망 및 대비 문서로 공격】이라는 제목으로 간략히 공개된 바 있고, 아래와 같이 정상 PDF 문서파일이 아닌 EPS 기법의 악성 HWP 문서로 변경되었습니다.



 파일명 

 마지막 작성일

 마지막 작성자

 MD5

 미북 정상회담 전망 및 대비.hwp

 2018-05-30

 lsh

 ff9eff561fd793ddb9011cf7006d5f6c



악성 포스트스크립트(EPS) 코드가 작동하면, 쉘코드에 의해 아래와 같은 사이트로 접속해 추가로 인코딩된 파일을 다운로드하고 추가 디코딩 과정을 거칩니다.



- http://artndesign2.cafe24[.]com/skin_board/s_build_cafeblog/exp_include/img.png



[그림 14] 김수키(Kimsuky) Exploit 코드를 담고 있는 악성 문서 화면



2019년 02월 21일 【김수키(Kimsuky) 2차 북미정상회담 좌담회 사칭 APT 공격】 포스팅을 통해 '미북 정상회담 전망 및 대비.hwp' 악성 문서파일이 2014년 한수원 공격 코드와 일치한다는 것을 공개한 바 있습니다.



 


[그림 15] 2014년 한수원 공격 파일과 2018년 미북 정상회담 문서의 쉘코드 비교자료



한편, 'strategy20180612.pdf' 정상 문서파일은 '김수키(Kimsuky)' 관련 여러 한국내 APT 공격에서 연쇄적으로 발견이 되는데, 공격흐름과 파일명만 동일하고, 다른 내용들을 담고 있었습니다.



[그림 16] 'strategy20180612.pdf' 문서파일 속성 비교자료



이처럼 '코니(Konni)' 시리즈와 '김수키(Kimsuky)' 사례는 예전부터 다양한 부분에서 연관성이 지속 포착되고 있었지만, 보다 정밀한 검증과정을 거치고 있는 상태입니다.


한편, 이번 위협내용을 기술하는 과정에서 언급된 공격자 추정 개인 지표들을 정리하면 다음과 같습니다.


공격자는 한메일 서비스에 이메일 주소 'bitcoin001@hanmail.net' 부터 'bitcoin040@hanmail.net' 등을 만들어 놓고, 명령제어(C2) 서버용 도메인 구축에 활용했고, 'rninchurl@daum.net' 주소도 관찰되었습니다.


이 내용은 참고목적으로 표본 데이터 중 일부만 비교분석한 것으로, 컴퓨터에서 클릭 후, 다운로드하면 선명한 화질로 보실 수 있습니다.



[그림 17] 도메인 구축에 활용된 한메일 자료



더불어 APT 공격자들이 사용했던 C2 도메인들은 비슷한 유형을 띄기도 합니다.


2019년 05월 16일 보고했던 【한국어 구사 Konni 조직, 블루 스카이 작전 'Amadey' 러시아 봇넷 활용】 글에서는 'http://mail.naver-download[.]com' 도메인이 관찰된 바 있습니다.


위협조직이 실제 사용했던 도메인 패턴과 아이피 대역, 등록자 정보 등을 매칭시켜 정리하면 다음과 같습니다.

일부 러시아 이메일 사용자가 한국지역으로 등록된 경우도 존재합니다.



 도메인 주소

 아이피 주소 (국가)

 등록자 이름

 등록자 이메일 주소

 downloader-hanmail[.]net 

 188.241.39[.]220 (UK)

 N/A N/A
 download-daum[.]net 188.241.39[.]220 (UK) N/A N/A 

 downloader-naver[.]com

 188.241.39[.]220 (UK)

 N/A

 N/A 

 naver-download[.]com 188.241.39[.]220 (UK) N/A N/A
 filer-download[.]com 188.241.39[.]220 (UK) N/A N/A
 fighiting1013[.]org 188.241.39[.]220 (UK) N/A N/A
 karachi-pk[.]com 188.241.39[.]220 (UK) N/A N/A
 karachi-tan[.]com 62.133.58[.]60 (US) N/A N/A
 attachment-download[.]net 188.241.39[.]10 (UK)

 N/A

 N/A
 manage-downloader[.]com 188.241.39[.]10 (UK) N/A N/A
 interpuber[.]com 46.17.175[.]29 (US) Swoonchul Kwon bitcoin014@hanmail.net
 rnailb[.]com 188.241.58[.]60 (RO) Swoonchul Kwon bitcoin014@hanmail.net
 nuaver[.]com 188.241.58[.]60 (RO)

 Swoonchul Kwon

 bitcoin014@hanmail.net
 intercasher[.]com 156.67.222.226 (SG) Swoonchulkwon Kwon bitcoin014@hanmail.net
 rnailr[.]com 45.34.176[.]130 (US) Swoonchul Kwon bitcoin014@hanmail.net
 rnailo[.]com 154.194.120[.]14 (HK) Swoonchul Kwon bitcoin014@hanmail.net
 rnailn[.]com 103.227.176[.]19 (SG) Swoonchul Kwon

 bitcoin015@hanmail.net

 rnail-163[.]com 198.252.103[.]65 (US) Swoonchul Kwon

 bitcoin018@hanmail.net

 163-mail-vertify[.]com 198.252.102[.]89 (US) Annie Cho

 bitcoin016@hanmail.net

 mail-securiety[.]com N/A Annie Cho bitcoin016@hanmail.net
 app-wallet[.]com

 91.235.116[.]144 (RO)

 Annie Cho bitcoin025@hanmail.net
 rneail[.]com

 27.102.106[.]122 (KR)

 Annie Cho

 bitcoin018@hanmail.net 
 rnaeil[.]com

 188.241.58[.]61 (RO)

 Annie Cho

 bitcoin018@hanmail.net 
 rnailm[.]com 194.124.34[.]62 (JP)

 Annie Cho

 bitcoin025@hanmail.net 
 naerver[.]com

 27.102.106[.]122 (KR)

 Annie Cho

 bitcoin025@hanmail.net 
 rnaii[.]com 27.255.79[.]205 (KR) Dongil Song bitcoin024@hanmail.net
 grnaeil[.]com 160.202.162[.]78 (KR)

 Dongil Song 

 bitcoin024@hanmail.net 
 hanrnaii[.]net 27.102.115[.]16 (KR) Dongil Song 

 bitcoin024@hanmail.net 

 webrnail[.]net 185.224.138[.]172 (NL) Snoopy Nicolai 11baku2017@mail.ru
 webrnail[.]com 156.67.222[.]228 (SG) Blazimir Nicolai 11baku2017@mail.ru 
 attach-filedown[.]net

 91.235.116[.]227 (RO)

 Blazimir Gatov  11baku2017@mail.ru 
 change-pw[.]com N/A Seung Hak Hyun  rninchurl@daum.net 
 files-download[.]net

 91.235.116[.]232 (RO)

 Seung Hak Hyun

 rninchurl@daum.net
 down-error[.]com 27.255.77[.]111 (KR)  Seung Hak Hyun rninchurl@daum.net 

 rnail-inbox[.]com

 27.255.77[.]111 (KR) Start New 

 hsnewstart1013@gmail.com 

 seoulhobi[.]biz

 192.186.142[.]74 (UK)

 N/A snow8949@hotmail.com 
 nidhelpnaver[.]com 37.72.175[.]223 (US) Jane Jhone snow8949@hotmail.com



■ 결론



국내외 많은 위협 인텔리전스 분석가들은 수년 전부터 '코니(Konni)' APT 공격그룹에 대한 분석과 연구를 수행하고 있습니다.


이들이 최근들어 모바일 안드로이드 기반 위협활동을 증대하고 있다는 점에 각별한 주의가 필요합니다.


물론, 이들 조직뿐만 아니라 '라자루스(Lazarus)', '금성121(Geumseong121)' 등도 모바일 공격에 가담하고 있습니다.


ESRC는 '코니(Konni)' 조직이 공격대상으로 삼는 대상과 도구, 절차에 집중했고, 일부 조작된 사례와 비공식 정보 혼선이 발생하기도 했습니다.


지난 2013년 보안전문가 'David J Bianco'에 의해 소개된 일명 PoP '고통의 피라미드(The Pyramid of Pain)' 정의처럼 위협조직의 단계별 인디케이터와 전략전술(Tactics, Techniques and Procedures (TTPs)) 등을 파악하는데 많은 시간과 고통이 뒤따릅니다.



출처 : https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html



그렇다고 현재 발생한 하나의 APT 공격에 오랜시간 무작정 분석에 매달리고, 페이퍼 작성에만 올인할 수 없는 것도 현실입니다.


다양한 아티팩트(Artifacts)뿐만 아니라, 시의성에 적절한 신속한 분석 위협배후의 전략전술을 파악하고 대응하는데 도움이 될 것입니다.


이번 사례에서 '코니(Konni)'와 '김수키(Kimsuky)' 조직의 연계 가능성이 한단계 더 높아졌다는 점에 주목하고 지속적인 연관관계 관찰이 필요해 보입니다.


마지막으로 공격간 의도하지 않게 남겨진 각종 디지털 증거 및 단서를 통해 위협배후에 보다 근접할 수 있는 기회로 삼고, 공격성이 갈수록 증대되고 있다는 점에 각별한 주의가 요구됩니다.


특히, 컴퓨터 뿐만 아니라 스마트 디바이스 보안강화를 위해 신뢰하기 어려운 앱을 설치하거나 URL 링크를 함부로 클릭하지 않도록 하며, 모바일 보안제품도 생활화하는 노력이 필요합니다.


현재 알약M 모바일 백신제품에는 이와 유사한 악성앱 탐지 기능을 업데이트하였고, 유사변종 공격에 대비하고 있습니다.