*본 무료도메인단축 글은 지니언스 위협분석보고서를 참고해 작성되었음​개요코니 그룹은 AutoIt을 이용한 방어 회피 기술을 포함해 다양한 TTP(전술, 기술, 절차)를 사용하는 APT 공격 캠페인을 지속하고 있다. 최근 클라우드 서비스와 FTP를 활용한 감염 기법이 확인되었으며, 미국 보안업체 Securonix와 한국의 S2W 등 여러 기관의 보고서가 이를 분석하고 있다.​배경코니 캠페인은 2014년부터 활동을 시작했으며, 러시아 외무부를 포함한 다양한 국가와 기관을 대상으로 한 공격이 확인되었다. 특히 2021~2024년 동안 스피어 피싱 공격이 주로 사용되었으며, 악성 파일을 통해 C2 서버와 연결되는 방식으로 이루어졌다. 무료 도메인 서비스가 악성 서버 구축에 자주 이용되며, 최근 북한 지역에서도 바이러스 토탈에 악성 문서 파일이 등록된 사례가 포착되었다.​공격 시나리오코니(Konni) 캠페인의 공격 시나리오는 주로 스피어 피싱을 통해 진행된다. 공격자는 국세청, 탈북민 장학금 신청서, 금융당국 요청서 등을 사칭한 악성 zip 파일을 이메일에 첨부해 무료도메인단축 유포한다. 주요 표적은 대북 분야 종사자뿐만 아니라 금융 및 가상자산 관계자도 포함된다. 이는 정보 탈취 및 외화 자금 확보를 목적으로 한 것으로 관측된다.​악성 파일은 주로 AsyncRAT 변종으로, C2(Command &ampControl) 서버와 연결되어 원격 명령을 수행하도록 한다. 2024년 4월 17일 시큐로닉스(Securonix)의 분석에 따르면, C2 서버는 독일에 위치한 IP(159.100.13[.]216)로, 동일 서버에서 다양한 악성 변종 파일이 유포되었다. 공격자는 파일명을 조작하거나, 미래의 날짜로 컴파일 타임스탬프를 변경하는 등 다양한 변칙적 전술을 사용하고 있다.C2가 동일한 AsyncRAT 변종 비교​이러한 공격 패턴은 수년간 반복되어 왔으며, 최근 한국에서도 코니 캠페인의 위협이 증가하고 있다. 공격 시나리오는 C2 서버와의 연결을 통해 피해자의 컴퓨터 정보를 수집하고, 공격자는 이를 바탕으로 추가적인 명령을 수행한다. 따라서, 침해지표(IoC)와 공격지표(IoA)를 기반으로 한 체계적 분석과 조기 탐지가 필수적이다.*AsyncRAT : 시스템을 모니터링하고 원격으로 제어할 무료도메인단축 수 있는 원격 관리 프로그램으로 개발됐지만 공격자들에 의해 꾸준히 악용되고 있다.*C2 서버 : Command &ampControl의 약자로서 악성코드에 감염된 PC나 서버를 대상으로 공격자가 원하는 행위를 수행하도록 명령을 하달하는 서버를 의미하며, C&C라고도 부른다. C2 서버를 사용하는 목적은 공격자의 신분을 노출하지 않기 위함이다.​악성파일 분석코니 캠페인에서 다양한 악성 파일이 발견되었다. 특히 2024년 5월부터 7월 사이에 수집된 주요 파일들은 C2 서버 및 악성코드의 난독화 기법을 통해 백신 소프트웨어 탐지를 우회하고 있다.​[발견된 주요 악성 파일 목록]2024.05.11: 애니챗_20240511.xlsx.lnk 파일 (C2 서버: 79.133.56[.]173, 독일) - MD5: f1b542971711bf229d02f5e385225a8d2024.05.15: 김명희_20240515.xlsx.lnk 파일 (C2 서버: 185.176.43[.]108, 불가리아) - MD5: 0993cf18121be84f5b1511318df80f442024.05.24: CSO_20240524.xlsx.lnk 파일 (C2 서버: 216.107.137[.]73, 미국) - MD5: b1504090e9a70ae889f22024.06.25: 21.docx.lnk 파일 (C2 서버: 79.133.56[.]173, 독일) - MD5: 47d66179d1437e4b7e4ad863a3fc25b22024.07.29: UPBIT_20240729.docx.lnk 파일 (C2 서버: 79.133.56[.]173, 독일) - MD5: 무료도메인단축 6793c3d6438553222f5e8ed2ee8c3ebf​이들 악성 파일들은 주로 .lnk 파일 형식을 띠며, Base64로 인코딩된 명령어와 XOR 연산을 통해 악성 코드를 실행한다.​악성 코드 내부 구조 분석Base64 디코딩'애니챗_20240511.xlsx.lnk'파일의 내부에는 Base64로 인코딩된 문자열이 포함되어 있다. 해당 문자열을 디코딩하면 다음과 같은 명령어를 확인할 수 있다.lnk 내부에 포함된 명령어이 코드는 lnk 파일 크기를 확인한 후 XOR 연산을 통해 파일 경로와 데이터를 복호화하여 실행하는 방식으로 동작한다. $tl 값은 6007로, 해당 크기의 lnk 파일을 찾아 복호화한다. $bXor는 첫 번째 바이트로부터 추출한 XOR 키이며, 이를 이용해 데이터를 복호화한다.​[XOR 연산 흐름]$bXor: 0xd76 위치의 1번째 바이트를 XOR 키로 설정한다.$bRun: 0xd76 위치의 2번째 바이트는 복호화된 파일의 실행 여부를 결정한다.$dwPathLen: 0xd76 위치의 3번째 바이트부터 4바이트를 경로 길이로 변환한다.$dwDataLen: 0xd76 위치의 7번째 바이트부터 4바이트를 데이터 길이로 변환하여 XOR 연산을 수행한다.XOR 연산 무료도메인단축 후에는 'i9024.vbs'파일을 생성하고, 'C:\ProgramData'경로에 저장된 스크립트를 실행한다. 이 스크립트는 난독화된 VBS 코드로 되어 있으며, Base64 디코딩을 통해 FTP 서버와 통신하는 악성 코드를 실행한다.​VBS 스크립트 분석생성된 VBS 스크립트는 다음과 같은 난독화된 문자열로 구성되어 있다.이 코드는 998번의 반복을 통해 난독화된 문자열을 풀어 FTP 명령어로 변환하며, 이를 통해 C2 서버와 통신을 시도한다. FTP 서버로 업로드 되는 주요 파일은 'TmpSc868.tmp'이다.​악성 스크립트의 주기적인 실행작업 스케줄러에는 다음과 같은 등록 키가 추가되어 악성파일이 주기적으로 실행된다.이 악성코드는 시스템 부팅 시 자동으로 실행되며, FTP 서버와 지속적으로 통신해 원격 제어를 가능하게 한다.​유사성 비교'i9024.vbs'파일은 문자열을 998번 반복해 (-3) 연산을 수행한 후, 'GoogleUpdateTaskMachineUB[56]'라는 이름으로 작업 스케줄러에 등록하는 방식이다. 시큐로닉스 보고서에 따르면, 'i4703.vbs', 'i6050.vbs'파일 역시 각각 'GoogleUpdateTaskMachineUHX[69495-0742-9024]', 'GoogleUpdateTaskMachineUF[51853-4679-1246]'라는 이름으로 등록되며, 동일하게 (-3) 연산 디코딩 로직을 사용한다.유사도 비교 무료도메인단축 화면코니 클러스터에서 관찰된 악성 DLL 파일은 AES-256-CTR 암호화 알고리즘과 CTR 모드를 통해 C2 주소를 복호화하는 방식이다. 예를 들어 '보상명부.xlam'MS Excel 추가 기능 문서는 Sorry, Excel can't read because office version is low. Please update Excel.이라는 가짜 오류 메시지를 띄우며, 내부 VBA 매크로를 통해 'rels.xml'파일에서 숨겨진 cab 파일을 실행한다. 복호화된 명령어는 다음과 같다:이후, 'authtokenmgt.dll'과 'authtokenmgt.dat'파일이 시스템 폴더에 복사되고, 'sc create'명령어로 'authtokenmgt'서비스가 등록된다. AES-256-CTR 복호화는 다음과 같은 방식으로 진행된다:Service Name[SHA256 String]authtokenmgtSHA256(UTF-16LE)[AES Key]728feadb5c096238ac9e2192ede0f13126136ab5eec7da9d0e76f88468f029d9authtokenmgt.dat(0x00 ~ 0x0F)[InitializationVector (IV)]6A 81 21 15 06 E0 CB 6D B6 CF 84 8D F2 6F 36 BEauthtokenmgt.dat(0x10 ~ End)[INPUT DATA]5B D9 FF 55 DA FF 78 4B FF F8 D6 4E B7C2[OUTPUT DATA]rq7592.c1[.]biz이 복호화 과정을 Python 코드로 재현할 수 있으며, 코드 예시는 다음과 무료도메인단축 같다:C2 복호화 결과 화면이와 같은 방식으로 복호화된 C2 도메인은 'rq7592.c1[.]biz'등이며, 다양한 악성 파일에서 동일한 기법이 사용되었다. 대표적인 악성 파일로는 '보상명부.xlam'과 '카뱅과 손잡은 코인원_비트 독주 체제 무너뜨릴까 [위클리 코인리뷰].docx'등이 있으며, 이들은 주로 AES-256-CTR 암호화를 사용해 감염된 시스템을 C2 서버와 연결하는 방식이다.​결론 및 대응방법코니 위협은 악성 DLL 모듈과 스크립트 기법에 능숙하며, 파일리스 공격과 암호화 알고리즘을 결합해 분석과 대응을 어렵게 만든다. 이러한 공격은 백신 탐지를 회피하며, 모의 공격 테스트를 통해 초기 침투에 효과를 거두는 방식이다.​GSC는 Genian EDR을 사용해 단계별 위협 검증을 수행했으며, 코니 캠페인이 국내외에서 꾸준히 관찰되고 있어 EDR을 통한 조기 탐지와 능동적 대응이 중요하다. Genian EDR은 의심스러운 LNK 파일을 즉각 탐지하고, 의심 행위의 프로세스와 커맨드 라인을 조회하여 대응 정책을 수립할 수 있다. 또한, 악성 스크립트 실행 무료도메인단축 과정과 C2 통신 이력까지 쉽게 확인할 수 있어 침해 사고 발생 시 정보 유출 가능성 조사에 도움이 된다.​AMSI 기능을 통해 난독화된 스크립트의 내부 명령어를 조회할 수 있어 분석 시간을 단축할 수 있으며, Genian EDR의 대시보드를 통해 악성 파일에 의해 실행된 프로세스를 세부적으로 확인할 수 있다. 이로 인해 내부 시스템에 유사 위협이 존재했는지 파악이 가능하다.​코니 캠페인은 세금, 장학금, 금융 등 다양한 주제를 사칭해 공격을 수행하며, 기존 국내 공격 사례와 유사성이 확인되었다. 공격 기법과 C2 통신 방식에서 유사한 패턴이 발견되었으며, 이는 국내외를 대상으로 넓은 범위의 공격이 이루어지고 있음을 의미한다.​따라서 최신 공격 동향을 지속적으로 모니터링하고, 보안을 강화하는 노력이 필요하다. 전통적 탐지 회피에 성공하더라도 EDR 에이전트를 통해 이상 행위를 탐지하고 빠르게 대응함으로써 안전한 네트워크 환경을 구축할 수 있다.