최근 TeamT5는 북한 추정 해커그룹 코니(Konni)가 대남 공격 시도행위를 탐지했습니다. 이번에 사용된 공격 툴은 독점 다운로더인 ExPaki 입니다.
미끼 내용 등의 지표를 토대로 볼 때, 해당 공격이 한국 내 기관을 겨냥한 것이라는 높은 확신을 갖고 있습니다.
해커는 공격을 위해 두 개의 C2를 준비했습니다.
ddsXXXX.net, 5.255.XXX.XXX로 해석됩니다.
aufilXXXXaux.com(손상됨)
기술적 세부사항:
미신고 자금출처 소명자료 제출 요청안내.zip 라는 미끼파일을 다운로드하게 하여 HWP 파일로 위장한
드로퍼 1과 두 개의 HWP 미끼 2, 3 을 드롭합니다. 드로퍼는 악성 CAB 파일을 추가로 드롭합니다. 세
가지 HWP 미끼 파일 모두 세금 관련 문서입니다.
자세한 분석 내용은 info@ctiflash.kr 에 문의하세요.
미끼문서 내용
미신고 자금출처명세서(부가가치세법 시행규칙).hwp.lnk
첨부1.취득자금 소명대상 금액의 출처 확인서(국제조세조정에 관한 법률 시행규칙).hwp
첨부2.과세표준수정신고서 및 추가자진납부계산서(국세기본법 시행 규칙).hwp
미신고 자금출처명세서(부가가치세법 찾기 조정).hwp