랜섬웨어 리포트

매달 하나의 악성코드/랜섬웨어를 선정하여 상세 리포트를 제공합니다.
소만사 유지관리고객이 되시면 악성코드 분석 전문가가 직접 샘플을 입수하여 분석한 최신 악성코드/랜섬웨어 리포트를 가장 빠르게 받아보실 수 있습니다.

악성코드 분석

3년간 한국 대상으로 약 10여 건 악성파일 유포, 북한 ‘Konni 그룹 문서형 악성코드’

[소만사 악성코드 분석리포트 ] 북한 Konni 그룹의 문서형 악성코드

3년간 한국 대상으로 약 10여 건 악성파일 유포 비트코인, 대형사고 브리핑 등 민감한 소재를 통해 문서실행 유도

 

1. 요약
1) 2017년부터 한국, 러시아 및 유럽 기업을 타깃으로 활동하는 북한 Konni 그룹
2) 한국 기업/기관 공격 시 한글파일(.hwp) 사용했으나 2022년부터 MS-Office 이용하여 공격
3) 비트코인 투자, 대형 인명피해사고, 병원 소송 답변서 등 민감한 소재로 클릭 유도
4) RTF 원격 템플릿 주입 공격 방식(Remote Template Injection) 사용 → 실제 파일에는 악성코드 없으나 클릭 시 외부에 심어둔 악성 URL을 통해 감염 RTF는 업무에 자주 활용되는 포맷이므로 차단 어려움 행위 기반 탐지 엔진으로 차단 필요

 

2. 대응 방안
1) Privacy-i EDR과 같은 EDR 솔루션의 ‘행위기반 탐지엔진’으로 실행 차단
2) 비정상적인 프로세스 행위는 실시간으로 모니터링
3) 내부 데이터 보호를 위해 업무망 망분리 수행
4) 신뢰할 수 없는 메일의 첨부파일은 실행금지 : 메일 내용과 보내는이 계정에 연관성이 없거나 문법적으로 어색하고 신뢰할 수 없는 링크 또는 첨부파일 클릭을 유도하는 메일
5) 비 업무 사이트 및 신뢰할 수 없는 웹사이트 연결 차단
6) OS 및 소프트웨어 보안 업데이트를 항상 최신형상으로 유지

PDF로 리포트 자세히 보기
이전글 2022년 2·3분기 공격유형 1위 ‘LockBit 3.0 랜섬웨어’ 2023.01.26
다음글 정상 소프트웨어 홈페이지로 위장, 구글 광고를 통해 유포되는 Royal 랜섬웨어 2023.02.24
목록