ClickCease Konni 멀웨어 경보: 러시아어로 된 위협 발견하기

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

Konni 멀웨어 경보: 러시아어로 된 위협 발견하기

와자핫 라자

2023년 12월 5일 TuxCare 전문가 팀

끊임없이 진화하는 사이버 보안 환경에서 최근 발견된 새로운 피싱 공격에 대해 알아봤습니다. 코니 멀웨어. 이 사이버 공격은 러시아어로 된 Microsoft Word 문서 멀웨어 전달 를 무기로 사용하여 손상된 Windows 시스템에서 중요한 정보를 수집하도록 설계된 강력한 멀웨어 변종을 전달합니다.

 

Konni 멀웨어 범인 식별하기


Konni 위협 행위자의 소행으로 추정되는 이 캠페인은 북한 클러스터인 Kimsuky(APT43으로도 알려져 있음)와 놀라울 정도로 유사합니다. 포티넷 포티가드랩의 카라 린 연구원은
최근 분석에서 이 공격이 원격 액세스 트로이목마(RAT)에 의존한다고 밝혔습니다. 이 트로이 목마는 정보를 추출하고 손상된 장치에서 명령을 실행할 수 있는 기능을 가지고 있습니다.


Konni 트로이 목마 분석


Konni는 다음과 같은 전략적 표적 공격으로 유명합니다.
러시아어 사이버 공격는 스피어 피싱 이메일과 악성 문서를 사이버 공격의 진입점으로 사용합니다. 최근 문서 기반 멀웨어 공격에 의해 문서화된 최근 문서 기반 멀웨어 공격은 WinRAR 취약점(CVE-2023-38831)와 같은 취약점을 악용하고, 감염된 시스템에서 데이터를 수집하기 위해 난독화된 Visual Basic 스크립트를 사용하여 Konni RAT와 Windows 배치 스크립트를 배포합니다.


작동 방식


주요 목표
코니의 사이버 보안 위협 데이터 유출과 스파이 활동을 포함합니다. 이러한 목표를 달성하기 위해 위협 행위자는 다양한 멀웨어와 툴을 배포하고 탐지 및 어트리뷰션을 회피하기 위해 지속적으로 전술을 조정합니다. ThreatMon은 코니가 다음과 같은 방법을 활용하여 민첩하게 접근한다고 지적합니다. WinRAR 취약점 및 난독화된 스크립트를 활용하여 시스템에 침투하고 손상시키는 등 접근 방식이 민첩하다고 지적합니다.


공격 순서 풀기


포티넷은 최근 "특수 군사 작전 진행 상황에 대한 서방의 평가"에 대한 기사로 가장한 러시아어로 작성된 매크로가 포함된 워드 문서를 자세히 관찰했습니다. 이 매크로가 활성화되면 VBA(Visual Basic for Application) 매크로가 임시 배치 스크립트를 시작하여 시스템 검사 및 UAC(사용자 계정 제어) 우회를 수행합니다. 이 시퀀스는 궁극적으로 DLL 파일의 배포, 정보 수집 및 유출 기능의 임베딩을 용이하게 합니다.


페이로드 역학


페이로드 자체에 UAC 바이패스가 통합되어 있으며 명령 및 제어(C2) 서버와 암호화된 통신을 설정합니다. 이 정교한
사이버 위협 인텔리전스 위협 행위자가 권한 있는 명령을 실행할 수 있게 하여 손상된 시스템의 무결성에 심각한 위험을 초래합니다.


국제적 복잡성


코니가 북한의 위협 행위자 중 유일한 것은 아닙니다.
러시아어를 사용하는 사이버 범죄 집단 은 코니뿐만이 아닙니다. 카스퍼스키랩, 마이크로소프트, 센티넬원의 공동 연구에 따르면 다음과 같은 사실이 밝혀졌습니다. 스카크루프트(일명 APT37) 가 국내 무역 회사와 미사일 엔지니어링 회사도 표적으로 삼았다는 사실이 밝혀졌습니다. 이 같은 사실은 러시아 국영 통신사 로스텔레콤의 사이버 보안 부서인 Solar가 최근 러시아의 주요 인프라에 대한 공격의 대부분을 중국과 북한을 중심으로 한 아시아 지역의 위협 행위자들이 배후에 있다고 공개한 데 이어 나온 것입니다.


러시아 사이버 보안에서 얻은 인사이트


솔라가 최근 공개한 내용은 러시아 연방 내에서 북한 라자루스 그룹이 제기하는 지속적인 위협을 강조합니다. 11월 초 기준,
라자루스 해커 는 여전히 수많은 러시아 시스템에 대한 접근 권한을 유지하고 있으며, 이는 러시아의 사이버 보안 인프라가 직면한 지속적인 과제를 강조합니다.


결론

 

진화하는 멀웨어 배포 전술 코니와 같은 위협 행위자들의 진화하는 멀웨어 배포 전술은 지속적인 경계와 선제적인 사이버 보안 조치를 필요로 합니다. 디지털 환경이 계속 발전함에 따라 정교한 사이버 스파이 캠페인으로 인한 위험을 완화하기 위해서는 사이버 보안 전문가와 조직 간 사이버 스파이 캠페인.

강력한 사이버 보안 관행 유지 강력한 사이버 보안 관행을 포함한 강력한 보안 관행 유지 멀웨어 탐지 및 예방 조치를 포함한 강력한 보안 관행을 유지하는 것은 코니 캠페인과 같이 진화하는 위협으로부터 보호하고 디지털 에코시스템의 복원력과 무결성을 보장하는 데 필수적입니다.

정보를 얻고 보안을 유지하세요.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스ISP.PAGE.

요약
Konni 멀웨어 경보: 러시아어로 된 위협 발견하기
기사 이름
Konni 멀웨어 경보: 러시아어로 된 위협 발견하기
설명
러시아어로 작성된 문서를 통해 Konni 멀웨어 위협에 대한 최신 정보를 확인하세요. 지금 시스템을 보호하고 데이터를 안전하게 보호하는 방법을 알아보세요!
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기