멀웨어로 윈도우 시스템을 손상시키기 위해 새해 인사를 이용한 피싱으로 러시아 외무부를 겨냥한 일련의 표적 공격에 코니(Konni)라는 이름의 북한 사이버 스파이 그룹이 관련되어 있다고 더해커뉴스가 보도했다.

코니 그룹의 TTP(전술, 기술 및 절차)는 김수키(Kimsuky) 그룹에 속하는 위협 행위자와 겹치는 것으로 알려져 있으며, Velvet Chollima, ITG16, Black Banshee 및 Thallium이라는 이름으로도 알려져 있다.

보도에 따르면, 가장 최근의 공격으로는 멀웨어바이트가 보고한 2021년 7월까지 활동의 초기 징후와 함께 훔친 자격 증명을 통해 대상 네트워크에 대한 액세스 권한을 얻은 행위자가 인텔리전스 수집 목적으로 멀웨어를 로드하는 것과 관련이 있다.

이 캠페인의 후속은 2021년 10월 19일에 처음 시작해 MID 직원으로부터 자격 증명을 수집한 다음 11월에 코로나19 테마 미끼를 활용해 추가 페이로드에 대한 로더 역할을 하는 러시아어 백신 접종 등록 소프트웨어를 설치하는 등 세 가지 단계로 진행되었다.

연구원들은 "이 시기는 러시아인들이 백신 접종을 증명하기 위해 정부로부터 QR 코드를 받아야 한다는 것을 의무화한 러시아 백신 여권법 통과와 밀접하게 일치했다"고 덧붙였다.

최근 세 번째 공격은 2021년 12월 20일에 시작되었으며, 새해 전야 축제를 스피어 피싱 테마로 사용해 다단계 감염 체인을 유발, Konni RAT라는 원격 액세스 트로이 목마를 설치했다.

구체적으로, 이 침입은 먼저 MID의 한 직원의 이메일 계정을 손상시킴으로써 발생했는데, 이 이메일 계정은 인도네시아 주재 러시아 대사관과 비확산 및 군비 통제를 감독하는 세르게이 알렉세예비치 랴브코프 차관을 포함한 최소 두 개의 다른 MID 기관으로 보내졌다.

공격 이메일은 "새해 복 많이 받으세요" 메시지를 전파한 것으로 보이지만 원격 서버에서 다음 단계 실행 파일을 검색하고 실행하도록 설계된 트로이목마 화면 보호기 첨부 파일을 포함했다. 공격의 마지막 단계는 Konni RAT 트로이목마 배포로, 감염된 시스템을 정찰하고 수집된 정보를 서버로 다시 유출한다.

연구원은 "이 특정 캠페인은 고도로 표적화되었지만 위협 행위자들이 표적의 감염을 달성하기 위해 능력이 진화하고 있는 것을 방어자가 이해하는 것이 중요하다"라며 피싱 이메일에 주의하고 다요소 인증을 활용해 계정을 확보해야 한다고 당부했다.

★정보보안 대표 미디어 데일리시큐!★