[소만사 악성코드 분석리포트 ] 북한 Konni 그룹의 문서형 악성코드

3년간 한국 대상으로 약 10여 건 악성파일 유포 비트코인, 대형사고 브리핑 등 민감한 소재를 통해 문서실행 유도

1. 요약
1) 2017년부터 한국, 러시아 및 유럽 기업을 타깃으로 활동하는 북한 Konni 그룹
2) 한국 기업/기관 공격 시 한글파일(.hwp) 사용했으나 2022년부터 MS-Office 이용하여 공격
3) 비트코인 투자, 대형 인명피해사고, 병원 소송 답변서 등 민감한 소재로 클릭 유도
4) RTF 원격 템플릿 주입 공격 방식(Remote Template Injection) 사용 → 실제 파일에는 악성코드 없으나 클릭 시 외부에 심어둔 악성 URL을 통해 감염 RTF는 업무에 자주 활용되는 포맷이므로 차단 어려움 행위 기반 탐지 엔진으로 차단 필요

2. 대응 방안
1) Privacy-i EDR과 같은 EDR 솔루션의 ‘행위기반 탐지엔진’으로 실행 차단
2) 비정상적인 프로세스 행위는 실시간으로 모니터링
3) 내부 데이터 보호를 위해 업무망 망분리 수행
4) 신뢰할 수 없는 메일의 첨부파일은 실행금지 : 메일 내용과 보내는이 계정에 연관성이 없거나 문법적으로 어색하고 신뢰할 수 없는 링크 또는 첨부파일 클릭을 유도하는 메일
5) 비 업무 사이트 및 신뢰할 수 없는 웹사이트 연결 차단
6) OS 및 소프트웨어 보안 업데이트를 항상 최신형상으로 유지