암호화폐 기업 제휴 이슈로 가장한 코니(Konni) 해킹 위협 주의!
암호화폐 기업 제휴 이슈 내용으로 위장한 해킹 공격이 발견돼 사용자들의 각별한 주의가 필요합니다.
이번에 발견된 악성 파일은 '카뱅과 손잡은 코인원_비트 독주 체제 무너뜨릴까 [위클리 코인리뷰] - 이코노미스트' 파일명의 워드 문서 파일명으로 유포되었으며, 파일명과 파일 내용은 실제 9월 3일에 공개된 기사를 인용하였습니다.
‘TigerHunter’ 이름을 사용하는 사용자가 2022년 9월 25일 21시 53분(UTC)에 최종적으로 저장한 것으로 보여지며, '원격 템플릿 주입(Remote Template Injection)' 기술을 사용하여 공격자가 미리 설정해 놓은 원격 호스트에 연결하고, 레이아웃, 셋팅 및 매크로 등을 포함하는 문서 템플릿 파일인 dotm 파일을 사용자 시스템에 내려 받습니다.
[그림 1] Remote Template Injection 코드
사용자가 파일을 실행하면 word2022[.]c1.biz로 접속하여 template.dotm 파일을 다운로드 합니다. 해당 파일은 본문의 폰트 색깔을 흰색에서 검은색으로 변경하는 설정과 함께 사용자 정보를 유출하는 매크로가 포함되어 있습니다.
공격자는 본문 텍스트 색깔을 흰색으로 바꿔 보여줌으로써 사용자의 호기심을 유발하여 [콘텐츠 사용] 기능을 활성화 하도록 유도합니다.
[그림 2] 매크로 실행 유도 화면
사용자가 [콘텐츠 사용] 버튼을 눌러 매크로 실행을 허용한다면, 원격 템플릿 주입 기술을 통해 다운로드 된 DOTM 파일이 템플릿 문서에 적용되며 본문 텍스트 색깔이 검은색으로 변경됨과 동시에 악성 매크로 코드가 실행됩니다.
악성 매크로가 실행되면 감염PC의 OS 버전, 컴퓨터 이름, IP 정보(IPv4, IPv6) 정보가 C&C로 전송됩니다.
[그림 3] 매크로 실행 후 화면
ESRC는 여러 지표들을 분석한 결과, 이번 공격 배후에 북한 정찰총국이 배후에 있는 코니(Konni)조직의 소행으로 결론지었습니다.
실제 뉴스기사 내용을 인용하고 본문 텍스트 색깔을 변경하여 사용자 호기심을 유발하여 매크로 실행을 유도하는 방식은 이미 코니 조직이 오래전부터 즐겨 사용하는 공격 방식입니다. 또한 지난 6월에는 코니 조직이 제작한 악성코드가 발견되었는데, 해당 악성코드의 업로드 국가가 평양인 것이 확인되기도 하였습니다.
9월 26일부터 29일까지 한미 해군 연합 훈련이 진행중이며 북한이 해당 훈련에 대해 강도높은 비난을 이어가고 있는 만큼, 국방, 안보, 방산 등 분야의 기업, 기관 및 관련 전문가들은 사이버 보안에 각별한 주의가 필요합니다.
현재 알약에서는 해당 악성파일에 대해 Trojan.Downloader.DOC.Gen 로 탐지중에며, 추가 변종에 대해서도 지속적인 모니터링 중에 있습니다.
IoC
word2022[.]c1.biz