ClickCease Konni RAT 멀웨어 공격: 러시아 정부 소프트웨어 백도어

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

Konni RAT 멀웨어 공격: 러시아 정부 소프트웨어 백도어

by 와자핫 라자

2024년 2월 6일 TuxCare 전문가 팀

최근 계시에서 최근 폭로에서 독일 사이버 보안 회사 DCSO가 발견한 Konni RAT 멀웨어 공격, 원격 액세스 트로이 목마가 배포되는 것을 발견했습니다. 공격자들은 러시아 외무부 영사부(MID)와 관련된 도구의 설치 프로그램을 교묘하게 악용했습니다. 'Statistika KZU'라는 이름의 이 도구는 백도어가 되어 있는 것으로 밝혀졌으며, 이로 인해 Konni RAT.

이 블로그에서는 다음과 같은 복잡한 내용을 자세히 살펴봅니다. Konni RAT 멀웨어 공격의 기원과 수법, 사이버 보안에 미치는 영향에 대해 자세히 살펴봅니다.

 

Konni RAT 멀웨어 공격의 출처 및 어트리뷰션


이 사이버 활동의 배후는 흔히 북한으로 알려진 조선민주주의인민공화국(DPRK)과 관련된 공격자들로 추적되었습니다. 놀랍게도 이러한 북한과 연계된 공격자들은 러시아, 특히 러시아 영사부를 표적으로 삼은 것으로 밝혀졌습니다. 오팔 진눈깨비, 오스뮴 또는 TA406으로도 알려진 코니 활동 클러스터는 러시아 기관을 대상으로 코니 RAT를 배포한 기록이 문서화되어 있습니다. 

이 위협 행위자는 적어도 다음과 같이 MID에 대한 공격과 관련이 있습니다. 2021년 10월. 이번 발견은 2023년 11월 포티넷 포티가드랩이 이전에 발견한 러시아어 Microsoft Word 문서가 손상된 Windows 호스트에서 민감한 정보를 수집할 수 있는 멀웨어를 배포하는 데 사용되었다는 사실에 이어 나온 것입니다.


러시아 정부 소프트웨어 백도어를 통해 배포된 Konni RAT 멀웨어


DCSO는 공격자들이 소프트웨어 설치 프로그램 내에 Konni RAT를 패키징하는 기술을 강조했습니다. 특히, 이 기법은 2023년 10월에도 동일한 목적으로 Spravki BK라는 이름의 백도어된 러시아 세금 신고 소프트웨어가 사용된 적이 있습니다. 

이 경우, 손상된 설치 프로그램은 Statistika KZU 멀웨어 도구와 연결되어 있었습니다. 특히, 이 도구는 보안 채널을 통해 해외 영사관에서 러시아 외무부 영사과로 연례 보고서 파일을 전송하는 데 사용되었습니다.


감염 순서


MSI 파일로 식별되는 트로이 목마 인스톨러는 실행 시 감염 시퀀스를 트리거합니다. 이 시퀀스는 명령 및 제어(C2) 서버와 연결하여 공격자의 추가 지시를 기다립니다. 공격자는
Konni RAT 기능(명령 실행, 파일 전송, 스파이 활동) 은 최소 2014년부터 운영되고 있습니다. 또한 이 기능은 다른 북한의 위협 행위자킴수키와 스카크루프트(APT37)를 포함한 다른 북한 위협 공격자들도 사용하는 것으로 알려져 있습니다.


출처, 동기 및 지정학적 의미


러시아 정부 소프트웨어 백도어의 출처
러시아 정부 소프트웨어 백도어 설치 프로그램의 출처는 공개되지 않았기 때문에 아직 명확하지 않습니다. 그러나 러시아를 대상으로 한 광범위한 스파이 활동의 역사를 통해 위협 행위자가 후속 공격을 위한 잠재적인 도구를 식별할 수 있었을 것이라는 의혹이 제기되고 있습니다.

북한의 러시아 표적 공격은 새로운 현상은 아니지만, 이번 사이버 위협의 시기는 주목할 만합니다. 양국의 지정학적 근접성이 높아지는 가운데 발생했기 때문입니다. 최근 북한 관영 매체의 보도에 따르면 블라디미르 푸틴 러시아 대통령이 김정은 위원장에게 러시아산 고급 자동차를 선물한 것으로 밝혀졌습니다. 

DCSO CyTec 연구 에 따르면 북한은 전략적 유대가 강화되고 있음에도 불구하고 러시아의 외교 정책 계획과 목표를 평가하고 검증하는 데 큰 관심을 보이고 있습니다. 이번에 발견된 Konni RAT 멀웨어 러시아 정부 소프트웨어 백도어 의 발견은 사이버 위협 공격자들이 민감한 시스템을 손상시키기 위해 사용하는 정교한 전술을 강조합니다.


결론

 

북한의 사이버 공격 은 계속해서 글로벌 사이버 보안 인프라에 심각한 위협을 가하고 있습니다. 백도어된 러시아 영사부 툴을 통해 배포된 Konni RAT의 발견은 사이버 위협의 진화하는 환경과 지정학적 복잡성을 강조합니다.

러시아 정부 소프트웨어를 사용하여 배포된 Konni RAT 멀웨어 는 정부 시스템을 노리는 사이버 위협이 점점 더 정교해지고 있음을 보여줍니다. 사이버 위협이 계속해서 국경을 넘나들고 있기 때문에 조직은 경계를 늦추지 않고 강력한 사이버 보안 조치 민감한 정보를 보호하고 비즈니스 연속성을 보장해야 합니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스사이버 보안 뉴스.

요약
Konni RAT 멀웨어 공격: 러시아 정부 소프트웨어 백도어
기사 이름
Konni RAT 멀웨어 공격: 러시아 정부 소프트웨어 백도어
설명
Konni RAT 멀웨어 공격에 대한 최신 정보를 알아보세요. 사이버 보안 백도어 침해에 대한 최신 정보를 얻고 보안 태세를 개선하세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

Linux 환경을 이해하도록
도와주세요!

오픈소스 현황에 대한 설문조사를 완료하면 최고 상금 500달러를 포함한 여러 가지 상품 중 하나를 받을 수 있습니다!

엔터프라이즈 Linux의 미래를 만들기 위해서는 여러분의 전문 지식이 필요합니다!