1. 개요

○ 북한위협 행위자(Konni, Kimsuky) 유포로 추정되는 바로가기(*.LNK)파일 4종 확보

• C2, 코드 구조, 난독화 방식의 유사성에 따라 모듈화된 batch 파일 사용, 정상 프로세스를 복사해 사용, *.db로 위장한 *.bat 사용의 3가지 유형으로 분류

○ 특히 Konni그룹이 유포 중인 ‘유형A’는, 다른 유형보다 더 정교한 형태의 공격을 수행

• 현재 시간을 키로 통신에 사용되는 주소의 일부를 암호화하여 주소를 유동적으로 변경
• 시스템 정보를 탈취한 후 %COMPUTERNAME%을 사용해 타겟을 선정하여 추가 악성코드를 배포

○ Kimsuky와 Konni 그룹은 PebbleDash 백도어와 RAT 계열 악성코드 등을 사용해 피해자 시스템 원격 제어 및 추가 악성 행위 수행하는 것으로 알려짐

공격 흐름도

2. 대응방안

○ 악성 실행 파일은 문서로 위장한 경우가 많아 파일 실행 시 아이콘, 확장자, 유형 등 확인 필요

• 확장자 확인을 위해 “폴더 옵션 > 보기 탭 > 알려진 파일 형식의 파일 확장명 숨기기” 체크 해제

3. LNK기반 악성코드와 공격그룹 간의 연관성 분석

○ 최근 북한 위협 행위자가 유포한 것으로 추정되는 악성 LNK 파일 4종 확보 후 분석한 결과, [표 1]과 같이 ‘샘플1’, ‘샘플2’는 서로 다른 유형이지만 Konni 그룹이, ‘샘플3’, ‘샘플4’는 동일한 유형으로 Kimsuky 그룹이 유포한 것으로 분석

[표 1] 확보 샘플 정보

○ 유형별 공격 구성도에서 유형을 구분할 수 있는 주요 특징들은 하기와 같음

[그림 2] 모듈화된 batch 파일과 탈취 도메인의 사용(유형A)