코니(Konni) APT 조직, 모바일 스파이 활동을 통한 스마트 토토 계좌 증가
■ 김수키(Kimsuky)와 연계된 코니(Konni) APT 토토 계좌 활발
지난 23일 금요일 오후, 마치 한국내비트코인거래소해킹 공지처럼 사칭한 스피어 피싱(Spear Phishing) 공격이 발견되어, 휴일 기간 스마트기기 안전에 각별한 주의가 요망됩토토 계좌.
ESRC에서는 여러공격벡터와 각종 지표를종합한 결과, 기존 '코니(Konni)'그룹을이번 공격배후로지목했으며,이른바 '김수키(Kimsuky)' 토토 계좌과직간접 연계가능성에 무게를 두고 있습토토 계좌.
이와 관련된 내용은 아래 최근 포스팅을참고해 주시면 좋겠습토토 계좌.
▶(2019. 08. 19)
▶(2019. 06. 10)
■ 당신의 안드로이드 스마트폰을 겨냥한 실존 토토 계좌
현재 많은 분들이스마트폰을 이용해 이메일을 열람하고 있다는측면에서 모바일 보안토토 계좌 노출의 가능성은 언제나 충분히 열려있습토토 계좌. 다만, 이번 공격은 안드로이드 기반 단말기를대상으로 합토토 계좌.
먼저 실제 공격에 사용된 이메일을 살펴보면,마치 암호화폐 거래소 회원들 대상계정보호용안드로이드 앱(APK) 설치유도문구로 현혹합토토 계좌. 또,육안상 공식 이메일 계정에서 발송된 것처럼 보낸이 정보가교묘하게 조작되어 있습토토 계좌.
더불어 한국포털사에서 제공하는 이메일의대용량 클라우드 다운로드 아이콘과 실제 거래소 이미지 등을 적절히 결합해 나름 진짜처럼 보이도록 디자인에 신경썼지만, 일부 띄어쓰기 등이 다소 부자연스런부분이 존재합토토 계좌.
[그림 1] 암호화폐 거래소 해킹공지 안내로 사칭한 이메일 화면
23일 오후 여러사람들에게 해당 이메일이 발송된 것으로 보이고, 이에 따라 해당 비트코인 거래소의 공식 인터넷 카페에도 사칭 이메일 주의이 등록되었습토토 계좌.
ESRC는 첨부파일로 존재했던 'BithumbProtect.apk' 파일을 분석하기 전에 공격에 사용된 위협흐름을 파악하는데 주력했고, 공격자가 해외거점에 구축한1단계 명령제어(C2) 서버 구축 정황을 포착했습토토 계좌.
분석 당시 웹 서버의 디렉토리 리스팅이 가능해, 공격자가 만든 폴더들이 그대로오픈되어 있었으며, 스피어 피싱 토토 계좌 미끼로활용된 비트코인 거래소명 외에 한국의 대표 포털 회사이름의 경로도 추가발견되었습토토 계좌.
[그림 2] 해커가 만든 1단계 C2 화면
각각의 폴더 하위에는 안드로이드 악성앱을 감염시키기 위해 만들어진 피싱사이트와 추가 악성앱(APK)이 존재합토토 계좌.
그리고 해당 악성앱은 2단계 C2 서버로 감염된 스마트폰 단말기 정보를 수집해 은밀히 탈취기능을 수행합토토 계좌.
더불어 포털회사 앱처럼 사칭한 경우엔 컴퓨터와 모바일의 웹 브라우저 환경을 체크해 컴퓨터로 접근할경우 '모바일 환경에서만 설치가 가능합토토 계좌.' 메시지 창을 출력해 스마트 기기에서 접근하도록 유도합토토 계좌.
만약 안드로이드 디바이스에서 접근시 다음과 같이 유사 변종 악성앱이 다운로드됩토토 계좌.
[그림 3] 안드로이드 단말기에 악성앱이 다운로드 시도 중인 화면
■ 악성앱 기술 분석
앱명 | 패키지명 | 서명날짜 (KST) | 서명자 | 아이콘 | MD5 |
BithumbProtect.apk | app.project.appcheck | 2019/08/22 21:51:26 | John | de68dffc8705c068bd475fb43dfcfdb9 | |
DaumProtect.apk | app.project.appcheck | 2019/08/17 18:16:30 | Jhon | adc530f0d0800e0992830c7ca8c7c198 | |
| NaverProtect.apk | app.project.appcheck | 2019/08/17 18:16:30 | Jhon | 17994bddf6416ebec82030221261e6a5 |
각각의 APK 악성앱은 동일한 패키지명을 사용하고 있으며, 서명시작은 포털사 사칭앱이 08월 17일이고, 거래소 사칭앱이 22일입토토 계좌.
발행자의 경우 거래소 사칭앱이 'John'이고, 나머지는 'Jhon'으로 알파벳 위치만 일부 다릅니다. 공격자는 'John' 계정을 선호했던 것으로 보이고 초반에는 오타였을 것으로 추정됩토토 계좌.
3개의 악성앱 모두 거의 비슷한 기능을 소유하고 있어, 가장 최근에 제작된 거래소 사칭앱을 기준으로 내부 행위를 기술하면 다음과 같습토토 계좌.
우선 처음 설치되어 실행된 이후에는 아이콘을 숨겨실행여부를 파악하기 힘들지만, 단말기 백그라운드에서 보이지 않게 악의적 행위를 지속적으로 수행합토토 계좌.
앱의 메인 로고에는 '정보보호관리체계인증(ISMS)' 표시가 존재합토토 계좌.
※ 주요 스파이 행위
- 스마트기기내 연락처 탈취
- 음성 녹취 및 실행앱 정보 수집
- 문자메시지(SMS) 탈취
- 클립보드 내용, 키로깅 정보 수집
- 각종 앱 및 디바이스 정보 수집
- 앱설치/제거 등 다양한 C2 명령 수행 (193.148.16[.]45) / 일본(JP)
대표적인 기능몇가지만 살펴보면, 안드로이드 기반 스마트폰의문자메시지 정보를 수집시도 합토토 계좌. 따라서 OTP 인증 문서나 사생활 정보가 무단 노출될 위험성이 높습토토 계좌.
[그림 4] 문자메시지(SMS) 수집 탈취 기능
단말기주소록에 저장되어 있는 연락처가 탈취되어 또 다른 2차 공격이나 주변인 정보가 공격자에게 악용될 소지가 있습토토 계좌.
[그림 5] 연락처 정보 수집 기능 화면
특히, 음성녹취 시도는매우 민감한 사생활 정보 중에 하나로, 도청 피해로 이어질 수 있어 매우 높은 토토 계좌요소로 분류할 수 있습토토 계좌.
[그림 6] 녹취 기능 화면
이외에도 단말기의 각종 정보와 추가 악성행위를 수행하게 됩토토 계좌. 이렇게 획득된 정보는 텍스트 파일로 저장되어 명령제어(C2) 서버로 전송되며, 각 목록은 다음과 같습토토 계좌.
더불어 해커의 원격명령과 의도에따라또 다른 위협이 추가될 가능성도 존재합토토 계좌.
- http://193.148.16[.]45/manager
init.txt | 스파이앱 초기화문구 (OK, My Spy) |
time.txt | 시작 시간 |
user.txt | 단말기 유저(IMEI, NUMBER, OSTYPE, OSAPI) |
account.txt | 계정 정보 |
app.txt | 설치된 앱 목록 |
contact.txt | 주소록 정보 |
sms_all.txt | 문자메시지 목록 |
sdcard.txt | SD카드 폴더 파일 목록 |
sms_new.txt | 신규 수신 문자메시지 |
keylog.txt | 악성행위 키로깅 기록 |
| clipboard.txt | 클립보드 정보 |
| record.mp4 | 음성녹취 기록 |
[그림 7] 수집 정보 기록파일 목록 및 C2 주소
■ 유사 토토 계좌 사례 비교분석
ESRC에서는 이와 유사한 기능을 가진 악성앱을 다수 확인하였는데, 매우 흥미로운 점이 목격되었습토토 계좌.
▶동일한 패키지 명과 서명자를사용한변종 존재
2019년 상반기에도 동일한 패키지명과 유사한 서명 발행자 계정이 포함된 변종들이 다수 식별되었는데, 이때는 한국의 카카오톡을 위장한 사례와 앱 이름이 없는 경우도 발견되었습토토 계좌.
자세한 비교자료는하단에 기술된테이블을 참고해 주시기 바랍토토 계좌.
▶명령제어(C2) 서버의 공통점과 흡사한 스타일의 도메인
다수의 변종 악성앱이 일본(JP)소재의'193.148.16[.]45' IP주소와 통신을 수행하는데, 동일한 앱명과 패키지명을 쓰는 변종 중에 4월 경 서명된 것은 미국(US) 지역에 할당된'37.72.175[.]223' IP주소를 사용한 바 있습토토 계좌.
또한, 악성앱이 은닉되어 있던 도메인이 일부 식별되었는데, 한국의 포털 사이트처럼 위장한 경우가 있었습토토 계좌.
흥미롭게도 '첨부-다운로드(attach-download)' 단어를포함해 이메일에 동봉해 앱을 배포하는 웹 사이트처럼 위장했습토토 계좌.
-http://naver.attach-download[.]com/download/apk/KakaoTalk.apk (#01)
-http://attach-download[.]com/qksms/QKSMS.apk (#02)
이번에 새롭게 유포된 경우는'manage-downloader[.]com' 도메인으로 변경이 되었고, 공격자가 최근에 구축한 것으로 확인되었습토토 계좌. 또한, 공격 거점에는 'moo.corkmusicstation[.]com' 서버가 함께 사용되었습토토 계좌.
ESRC는 이번 위협조직이 기존과 거의 같은 패턴으로 안드로이드 스마트폰 이용자 공격을 수행하고 있다는 점에서 동일 APT조직의 소행으로 믿고 있습토토 계좌.
앱명 | 패키지명 | 서명날짜(KST) | 서명자 | 아이콘 | MD5 | C2 |
DaumProtect.apk | app.project.appcheck | 2019/04/05 01:25:18 | Daum | 29506d03bf3f06df62089bed5af58906 | 37.72.175[.]223 | |
KakaoTalk.apk | app.project.appcheck | 2019/03/31 20:14:07 | Jhon | 6c290d6ddbe317844a4dccdc2259c6c1 | 193.148.16[.]45 | |
NaverProtect.apk | app.project.appcheck | 2019/03/27 18:00:00 | Jhon | 9c025c3ff6ec04b7e67c9553ef4e2415 | 193.148.16[.]45 | |
DaumProtect.apk | app.project.appcheck | 2019/03/27 18:00:00 | Jhon | 8384803283c01a529eeaec8128e6a20a | 193.148.16[.]45 | |
QKSMS.apk | com.moez.QKSMS | 2019/03/21 15:45:10 | Jhon | N/A | d503c3d182a632ac2c009c30e70951f2 | 193.148.16[.]45 |
| CapMarket.apk | com.xiongxh.cryptocoin | 2019/02/28 17:10:32 | Jhon | ff9f17fb1dd02186ba461586a1734212 | 193.148.16[.]45 | |
| BithumbProtect_v1.0.5.apk | app.project.appcheck | N/A | N/A | c1063cfa402e64882d41f88ada87c8d1 | manage.app-wallet[.]com |
특히, 'manage.app-wallet[.]com' C2 도메인을 등록한 내용을 확인해 보면, 등록자명은 'Annie Cho'이고 이메일 주소는 'bitcoin025@hanmail.net' 한국 한메일을 쓰고 있습토토 계좌.
APK 앱 외에 DEX 파일만 발견된 사례도 있는데, 동일한 흐름을 가지고 있으며, 명령제어(C2) IP주소가 193.148.16[.]45로 일치하고 있습토토 계좌.
MD5 | C2 |
8969dc701a399d8a39c44bc99ea04f8c | 193.148.16[.]45 |
aa1be190f84cbbb6d9381e467d8e5218 | 193.148.16[.]45 |
e0558f99a3de6619feff31d6e5e6dd39 | 193.148.16[.]45 |
■ 코니(Konni) 공격자의 모바일 APT 공격스코프
ESRC는 이번 안드로이드 모바일기기대상 스피어 피싱을 면밀히 추적조사하면서, 흥미로운 단서를 포착했습토토 계좌.
공격이 발생된 위협 스코프를중심으로 조사하던 중 교묘히 은닉되어 있던 이메일 발송 코드를 식별했고, 과거 김수키(Kimsuky) 캠페인에서목격된 바 있는메일러(Mailer)입토토 계좌.
그런데 여기서 그냥 지나치면 안되는중요한 단서가 존재합토토 계좌. 바로 해당 이메일러타이틀로 선언되어 있는 'victory'라는 단어입토토 계좌.
[그림 8] 공격자가 사용한메일 발송 프로그램
지난 06월 10일 스페셜 리포트를 통해 처음으로【】을 공개하면서 다음과 같은 화면을 보여드린 바 있습토토 계좌.
당시 포스팅에서 '김수키(Kimsuky)' 조직이 사용한 복수의 'b374k' 웹쉘 로그인 암호가 'victory'로 설정되어 있다는 것이었습토토 계좌. 물론, 이미 공개된 사례 이외에추가식별된 바 있고, 동일한 웹쉘과 암호가 목격되었습토토 계좌.
특정 정부후원을 받는 위협배후를 조사하는 과정에서'조작된 거짓 표식(False Flag)' 등 모든 가능성을 열어두고 접근하는 것은 당연한 절차입토토 계좌.
만약, '코니(Konni)' 배후가 '김수키(Kimsuky)' 조직과 연계된 것이 아니라면, 상대방의 공격무기를 매우 적절하게 사용하고 있다고 볼 수 있습토토 계좌.
또한, 실제로 필드공격을 수행하고 있기 때문에 모의 테스트로 취급하기엔해석에 여러모로 어려움이 뒤따릅토토 계좌.
ESRC는 두조직의 활동반경을 오랜기간 관찰하면서, 단순 우연이나 확률로중첩되기 어려운 상황을 여러번 경험했고, 현재도 지속적인 연구를 수행하고 있습토토 계좌.
[그림 9] 김수키(Kimsuky) 토토 계좌이 사용한 웹쉘의 암호 'victory'
앞서 공개한 바 있는 악성앱의 C2 도메인 중'manage.app-wallet.com'사이트의 경우 마치 암호화폐 월렛(지갑)을 관리하는 내용처럼 보입토토 계좌.
이 도메인은 2018년 11월 22일 루마니아 지역 IP주소(91.235.116[.]144)로 생성되었으며, 등록자는 'Annie Cho' 이름이 표기되어 있고, 조직명은 'Coinwallet' 입토토 계좌.
그리고 등록자의 이메일 주소는'bitcoin025@hanmail.net' 으로 포함되어 있고, 아이디는 '비트코인+숫자' 형태로 암호화폐 내용에 연결되어 있습토토 계좌.
[그림 10] 한메일로 등록된 악성앱 C2 주소
ESRC는이러한 유형의 한메일 계정을 여러차례 식별했고, 작년 중순쯤에 '김수키(Kimsuky)' 캠페인 중 하나도 포함됩토토 계좌.
그것은 바로 2018년 06월 12일 싱가포르 북미정상회담이 진행되는 날에언론사 특파원을 상대로 진행된 사건입토토 계좌.
이 당시 사용된 해킹메일은 마치 '6.12 미북정상회담 예상의제(외교부).pdf' 문서가 첨부된 것처럼 조작된 가짜 이메일을 정부기관에서 주고받는것처럼 포워딩 조작 기법을 사용했습토토 계좌.
만약 수신한 언론사 기자가 첨부파일로 인식해 URL주소 링크를 클릭하게 되면 'myaccount.rnailr[.]com' 사이트로 연결이 이뤄지고, 마치 구글 로그인처럼 가장한 피싱사이트에 노출됩토토 계좌.
공격자는 'mail' 영어 단어처럼 보이게 하기 위해서 알파벳 'r' 소문자와 'n' 소문자를 결합해서 사용했고, 근래에도 이런 전술적 조작 방식을사용 중이므로, 이메일이나 웹 사이트의 도메인을 유심히 살펴보는 보안습관이 필요합토토 계좌.
mail - rnail <- 알파벳을 자세히 봐야 다른 점을 알 수 있습토토 계좌. |
[그림 11] 해킹 이메일과 구글 피싱 화면
현재는 'rnailr[.]com' 도메인 등록자가 중국 관계자로 변경되어 있지만, 2018년 04월 18일 'Swoonchul Kwon' (권순철) 한글식 이름의 등록자가 존재했고, 등록 이메일이 'bitcoin014@hanmail.net' 주소를 사용하였습토토 계좌.
또한, 이 계정은 지난 06월까지도 새로운 도메인을 계속 등록하고 있습토토 계좌.
[그림 12] 권순철 영자이름과 비트코인 키워드를 포함한 이메일 등록자 화면
중요한 내용을 기술하기 위해 다시 앞의상황으로 돌아가 설명을 이어가겠습토토 계좌.
만약, 이용자가구글 피싱 사이트 속아 실제 암호를 입력하게 될 경우, 다음처럼 정상PDF 문서를 보여주어 이용자로 하여금 암호가 유출된것을 인지하지 못하게현혹성 화면을 출력합토토 계좌.
정상 PDF 문서의 파일명은 'strategy20180612.pdf' 이며, URL 경로는 피싱 사이트와 동일한 'myaccount.rnailr[.]com' 입토토 계좌.
[그림 13] 구글 피싱사이트에 등록된 정상 문서 화면
그런데 이 화면이 익숙하신 분이 계실지 모르겠습토토 계좌.지난 2018년 06월 19일,동일한 문서내용을 담은 실제 악성 HWP 문서파일에서 사용된 화면이기 때문입토토 계좌.
당시 포스팅은 【】이라는 제목으로 간략히 공개된 바 있고, 아래와 같이 정상 PDF 문서파일이아닌 EPS 기법의 악성 HWP 문서로 변경되었습토토 계좌.
파일명 | 마지막 작성일 | 마지막 작성자 | MD5 |
미북 정상회담 전망 및 대비.hwp | 2018-05-30 | lsh | ff9eff561fd793ddb9011cf7006d5f6c |
악성 포스트스크립트(EPS) 코드가 작동하면, 쉘코드에 의해 아래와 같은 사이트로 접속해 추가로 인코딩된 파일을 다운로드하고 추가 디코딩 과정을 거칩토토 계좌.
- http://artndesign2.cafe24[.]com/skin_board/s_build_cafeblog/exp_include/img.png
[그림 14] 김수키(Kimsuky) Exploit 코드를 담고 있는 악성 문서 화면
2019년 02월 21일 【】포스팅을 통해 '미북 정상회담 전망 및 대비.hwp' 악성 문서파일이 2014년 한수원 공격 코드와 일치한다는 것을 공개한 바 있습토토 계좌.
|
|
[그림 15] 2014년 한수원 공격 파일과 2018년 미북 정상회담 문서의 쉘코드 비교자료
한편, 'strategy20180612.pdf' 정상 문서파일은 '김수키(Kimsuky)' 관련 여러 한국내 APT공격에서 연쇄적으로 발견이 되는데, 공격흐름과 파일명만 동일하고, 다른 내용들을 담고 있었습토토 계좌.
[그림 16] 'strategy20180612.pdf' 문서파일 속성 비교자료
이처럼 '코니(Konni)' 시리즈와 '김수키(Kimsuky)' 사례는 예전부터 다양한 부분에서연관성이 지속 포착되고 있었지만, 보다 정밀한 검증과정을 거치고 있는 상태입토토 계좌.
한편, 이번 위협내용을 기술하는 과정에서 언급된 공격자 추정 개인 지표들을 정리하면 다음과 같습토토 계좌.
공격자는 한메일 서비스에 이메일 주소 'bitcoin001@hanmail.net' 부터 'bitcoin040@hanmail.net' 등을 만들어 놓고, 명령제어(C2) 서버용 도메인 구축에 활용했고, 'rninchurl@daum.net' 주소도 관찰되었습토토 계좌.
이 내용은 참고목적으로 표본 데이터 중 일부만 비교분석한 것으로,컴퓨터에서 클릭 후,다운로드하면선명한 화질로보실 수 있습토토 계좌.
[그림 17] 도메인 구축에 활용된 한메일 자료
더불어 APT 공격자들이 사용했던 C2 도메인들은 비슷한 유형을 띄기도 합토토 계좌.
2019년 05월 16일 보고했던 【】 글에서는 'http://mail.naver-download[.]com' 도메인이 관찰된 바 있습토토 계좌.
토토 계좌조직이 실제 사용했던도메인 패턴과 아이피 대역, 등록자 정보 등을 매칭시켜 정리하면 다음과 같습토토 계좌.
일부 러시아 이메일 사용자가 한국지역으로 등록된 경우도 존재합토토 계좌.
도메인 주소 | 아이피 주소 (국가) | 등록자 이름 | 등록자 이메일 주소 |
downloader-hanmail[.]net | 188.241.39[.]220 (UK) | N/A | N/A |
| download-daum[.]net | 188.241.39[.]220 (UK) | N/A | N/A |
downloader-naver[.]com | 188.241.39[.]220 (UK) | N/A | N/A |
| naver-download[.]com | 188.241.39[.]220 (UK) | N/A | N/A |
| filer-download[.]com | 188.241.39[.]220 (UK) | N/A | N/A |
| fighiting1013[.]org | 188.241.39[.]220 (UK) | N/A | N/A |
| karachi-pk[.]com | 188.241.39[.]220 (UK) | N/A | N/A |
| karachi-tan[.]com | 62.133.58[.]60 (US) | N/A | N/A |
| attachment-download[.]net | 188.241.39[.]10 (UK) | N/A | N/A |
| manage-downloader[.]com | 188.241.39[.]10 (UK) | N/A | N/A |
| interpuber[.]com | 46.17.175[.]29 (US) | Swoonchul Kwon | bitcoin014@hanmail.net |
| rnailb[.]com | 188.241.58[.]60 (RO) | Swoonchul Kwon | bitcoin014@hanmail.net |
| nuaver[.]com | 188.241.58[.]60 (RO) | Swoonchul Kwon | bitcoin014@hanmail.net |
| intercasher[.]com | 156.67.222.226 (SG) | Swoonchulkwon Kwon | bitcoin014@hanmail.net |
| rnailr[.]com | 45.34.176[.]130 (US) | Swoonchul Kwon | bitcoin014@hanmail.net |
| rnailo[.]com | 154.194.120[.]14 (HK) | Swoonchul Kwon | bitcoin014@hanmail.net |
| rnailn[.]com | 103.227.176[.]19 (SG) | Swoonchul Kwon | bitcoin015@hanmail.net |
| rnail-163[.]com | 198.252.103[.]65 (US) | Swoonchul Kwon | bitcoin018@hanmail.net |
| 163-mail-vertify[.]com | 198.252.102[.]89 (US) | Annie Cho | bitcoin016@hanmail.net |
| mail-securiety[.]com | N/A | Annie Cho | bitcoin016@hanmail.net |
| app-wallet[.]com | 91.235.116[.]144 (RO) | Annie Cho | bitcoin025@hanmail.net |
| rneail[.]com | 27.102.106[.]122 (KR) | Annie Cho | bitcoin018@hanmail.net |
| rnaeil[.]com | 188.241.58[.]61 (RO) | Annie Cho | bitcoin018@hanmail.net |
| rnailm[.]com | 194.124.34[.]62 (JP) | Annie Cho | bitcoin025@hanmail.net |
| naerver[.]com | 27.102.106[.]122 (KR) | Annie Cho | bitcoin025@hanmail.net |
| rnaii[.]com | 27.255.79[.]205 (KR) | Dongil Song | bitcoin024@hanmail.net |
| grnaeil[.]com | 160.202.162[.]78 (KR) | Dongil Song | bitcoin024@hanmail.net |
| hanrnaii[.]net | 27.102.115[.]16 (KR) | Dongil Song | bitcoin024@hanmail.net |
| webrnail[.]net | 185.224.138[.]172 (NL) | Snoopy Nicolai | 11baku2017@mail.ru |
| webrnail[.]com | 156.67.222[.]228 (SG) | Blazimir Nicolai | 11baku2017@mail.ru |
| attach-filedown[.]net | 91.235.116[.]227 (RO) | Blazimir Gatov | 11baku2017@mail.ru |
| change-pw[.]com | N/A | Seung Hak Hyun | rninchurl@daum.net |
| files-download[.]net | 91.235.116[.]232 (RO) | Seung Hak Hyun | rninchurl@daum.net |
| down-error[.]com | 27.255.77[.]111 (KR) | Seung Hak Hyun | rninchurl@daum.net |
rnail-inbox[.]com | 27.255.77[.]111 (KR) | Start New | hsnewstart1013@gmail.com |
seoulhobi[.]biz | 192.186.142[.]74 (UK) | N/A | snow8949@hotmail.com |
| nidhelpnaver[.]com | 37.72.175[.]223 (US) | Jane Jhone | snow8949@hotmail.com |
■ 결론
국내외 많은 위협 인텔리전스 분석가들은 수년 전부터 '코니(Konni)' APT 공격그룹에 대한 분석과 연구를 수행하고 있습토토 계좌.
이들이 최근들어 모바일 안드로이드 기반 위협활동을 증대하고 있다는 점에 각별한 주의가 필요합토토 계좌.
물론, 이들 조직뿐만 아니라 '라자루스(Lazarus)', '금성121(Geumseong121)' 등도 모바일 공격에 가담하고 있습토토 계좌.
ESRC는 '코니(Konni)' 토토 계좌이 공격대상으로 삼는 대상과 도구, 절차에집중했고, 일부 조작된 사례와 비공식정보로혼선이 발생하기도 했습토토 계좌.
지난 2013년보안전문가'David J Bianco'에 의해 소개된 일명 PoP '고통의 피라미드(The Pyramid of Pain)' 정의처럼 토토 계좌조직의 단계별인디케이터와전략전술(Tactics, Techniques and Procedures (TTPs)) 등을 파악하는데많은 시간과 고통이 뒤따릅토토 계좌.
출처 :
그렇다고 현재 발생한하나의 APT 공격에오랜시간무작정분석에 매달리고, 페이퍼 작성에만 올인할 수없는 것도 현실입토토 계좌.
다양한 아티팩트(Artifacts)뿐만 아니라, 시의성에 적절한 신속한분석이위협배후의 전략전술을 파악하고 대응하는데 도움이 될 것입토토 계좌.
이번 사례에서'코니(Konni)'와'김수키(Kimsuky)' 토토 계좌의 연계 가능성이 한단계 더 높아졌다는 점에 주목하고 지속적인 연관관계관찰이 필요해 보입토토 계좌.
마지막으로 공격간의도하지 않게남겨진 각종 디지털 증거 및 단서를 통해 토토 계좌배후에 보다 근접할 수 있는 기회로 삼고, 공격성이 갈수록 증대되고 있다는 점에 각별한 주의가 요구됩토토 계좌.
특히, 컴퓨터 뿐만 아니라스마트디바이스보안강화를 위해 신뢰하기 어려운 앱을 설치하거나 URL 링크를 함부로 클릭하지 않도록 하며, 모바일 보안제품도 생활화하는 노력이 필요합토토 계좌.
현재 알약M 모바일 백신제품에는 이와 유사한 악성앱 탐지 기능을 업데이트하였고, 유사변종 공격에 대비하고 있습토토 계좌.