2024년 11월 14일

.scr 파일 조심하세요… KONNI RAT 멀웨어 활동 감지

문서파일을 열면 해당 컴퓨터에 악성코드가 실행되는 원격접속 트로이 목마 멀웨어 ’KONNI RAT’의 최근 활동이 시작된 것으로 나타나 주의가 요망된다. 특히 북한 미사일 개발 역량을 언급한 뉴스기사를 문서로 사용해 첨부한 것으로 것으로 알려졌다.

시스코 인텔리전스 그룹 탈로스(Talos)는 지난 3년간 여러 캠페인을 통해 배포되어 왔던 ’KONNI RAT(원격 접속 트로이 목마)’의 최근 활동이 발견됐다고 밝혔다. 지난 3년간 악성 문서 공격 기법으로 사용해 온 KONNI 캠페인은 사용자가 .scr 파일의 문서를 열면 해당 컴퓨터에서 악성 코드가 실행된다.

2014 년 9 월 캠페인에서는 미얀마 사원의 이미지를 미끼로 가짜 실행 파일을 사용했다. 올해 4 월 발견된 두 건의 공격은 KONNI 원격 액세스 트로이 목마를 삭제하려는 대상에게 피싱 문서를 사용해 칩입자가 손상된 시스템에 추가 악성 코드를 유포할 수 있었다. 이 밖에도 북한에 관련된 문서로 유인하는 활동이 있었으며, 이번건 역시 북한 미사일 발사 및 미사일 기술 논의에 연관된 것처럼 가장했다.

KONNI 신규 캠페인: “북한이 전략적 군사력을 자축하며 미사일 개발 역량을 선전”한다는 내용으로 피싱
탈로스는 계속 진화하는 KONNI 멀웨어의 최신 버전으로 북한 미사일 개발 역량을 언급한 캠페인을 발견했다. 이번 캠페인에 사용된 악성코드는 2017년 초 배포된 것과 유사한 기능을 가지고 있다.

7월 3일 한국 연합뉴스 기사를 복사/붙여넣기 해 정상적인 형태로 가장했다. 북한이 미사일 발사 실험을 실시한 7월 3일에 게재되었고, 다음날인 7월 4일, 악성코드가 컴파일 되었다. 또한 이전에 북한을 자주 언급했던 KONNI 배포 캠페인과도 일관성을 보이고 있다. 사용자가 문서를 확인하면 다음과 같은 오피스(Office) 문서가 표시된다.

멀웨어 KONNI 신규 캠페인 (이미지. 시스코-탈로스)
멀웨어 KONNI 신규 캠페인 (이미지. 시스코-탈로스)

이 공격은 다음 도메인에 호스팅된 신규 CnC 인프라를 사용, 웹 페이지에 대한 HTTP 포스트 요청이 도메인 자체에서 /weget/download.php, /weget/uploadtm.php 또는 /weget/upload.php로 호스팅되면 KONNI의 CnC 트래픽이 발생한다. 공격자는 아래와 같이 합법적인 등산 동호회 웹사이트로 가장했다. 이 캠페인의 일부로 배포된 KONNI 악성코드는 올해 탈로스가 확인한 이전 버전과 유사하다. KONNI와 연계된 위협 행위자는 보통 북한과 관련된 악성 문서를 사용하며 이 캠페인 역시 예외는 아니었다.

시스코는 ”KONNI 멀웨어 업데이트 버전이 계속 발견되고 있어 주의가 요구되고, 특히 이러한 이슈와 관련이 높은 조직의 경우 유인성 악성문서를 통한 감염을 막기 위한 더욱 철저한 보호 조치가 이루어져야 한다.”고 말했다.

오승모 기자 oseam@icnweb.co.kr

아이씨엔매거진
IO-Link Wireless
오승모 기자
오승모 기자http://icnweb.kr
기술로 이야기를 만드는 "테크 스토리텔러". 아이씨엔 미래기술센터 수석연구위원이며, 아이씨엔매거진 편집장을 맡고 있습니다. 디지털 전환을 위한 데이터에 기반한 혁신 기술들을 국내 엔지니어들에게 쉽게 전파하는데 노력하는 중입니다.
  • AW2025
  • Mobile World Live
  • 파스텍 배너 900
  • hilscher
ASI

Join our Newsletter

Get the latest newsletters on industry innovations.

AW2025
MWC
오토모션
embeddedworld 2025
semicon 2025
Hannover messe

Related articles

센스톤, 60억 투자 유치로 OT/PLC 산업보안 분야 글로벌 시장 달린다

센스톤이 KDB산업은행, ES인베스터, 대덕자산운영으로부터 60억원 투자를 유치하며, OT 보안 분야 글로벌 시장 공략에 박차를 가하고 있다

삼성전자, ‘생성형 AI와 함께하는 보안’ 전략 논의

삼성전자가 삼성전자 서울 R&D캠퍼스에서 ‘제8회 삼성 보안 기술 포럼’을 개최했다

소니, 브라비아 프로페셔널 디스플레이에 팀뷰어 원격 액세스 기술 적용

이번 전략적 기술 적용은 레스토랑, 쇼핑몰, 공항 등 다양한 비즈니스 환경에서 사용하는 커머셜 디스플레이의 유지보수 및 장애 대응 역량 개선을 목적으로 한다

기자의 추가 기사

IIoT

파스텍 배너 300
오토모션
K-BATTERY SHOW 2024

추천 기사

mobility