지니언스 시큐리티 센터(Genians Security Center)는 코니(Konni) APT의 포세이돈 작전(Operation Poseidon)에 대한 심층 분석을 수행하였습니다.
그 결과, 해당 위협 행위자는 한국 내 대북 인권단체와 금융기관을 사칭한 사회공학적 전술을 반복적으로 활용하며, 특정 대상을 겨냥한 고도의 표적화된 공격 활동을 지속적으로 전개하고 있는 것으로 식별되었습니다.
[그림 1-1] 포세이돈 작전 타임라인
Google은 2007년 인터넷 광고 기술 기업인 DoubleClick 인수 계획을 발표했으며, 2008년 3월 약 31억 달러 규모로 인수를 완료했습니다. 이후 DoubleClick의 광고 클릭 추적 및 리다이렉션 기술은 Google Ads와 Google Marketing Platform(GMP)에 통합되어, 광고 트래픽 전달과 성과 측정을 위한 핵심 인프라로 활용되고 있습니다.
이번 공격은 이러한 Google 광고 생태계에서 사용되는 광고 클릭 리다이렉션 메커니즘을 악용한 스피어 피싱 공격 벡터를 통해, 이메일 보안 필터링과 사용자 경계를 효과적으로 우회한 사례로 분석됩니다. 공격자는 정상적인 광고 클릭 추적에 사용되는 도메인(ad.doubleclick[.]net)의 리다이렉션 URL 구조를 활용해, 실제 악성 파일이 호스팅된 외부 인프라로 사용자를 단계적으로 유도하는 방식을 사용한 것으로 확인되었습니다.
한편, 2025년 5월 및 7월을 전후한 시점에는 NAVER 광고 마케팅 플랫폼의 클릭 추적 도메인(mkt.naver[.]com)을 악용한 유사한 공격 시도가 제한적으로 관측된 바 있으나, 이후 확인된 최근 공격 활동에서는 Google 광고 인프라를 중심으로 한 공격 패턴이 일관되게 유지되고 있습니다.
이와 같은 광고 인프라 기반 리다이렉션 URL은 정상 트래픽으로 인식될 가능성이 높아 초기 탐지를 회피하는 데 유리합니다. Konni APT는 이를 통해 초기 신뢰도를 확보한 후, 실제 존재하는 콘텐츠와 금융 관련 테마를 미끼로 파일 다운로드를 유도하고, PDF 파일 실행 행위를 위장해 최종 악성코드를 로드·실행하는 공격 흐름을 구성한 것으로 관측되었습니다. 이러한 방식은 정적 분석 및 시그니처 기반 보안 체계를 효과적으로 우회할 수 있는 고도화된 초기 침투 전술로 평가됩니다.
이러한 공격 특성을 종합적으로 고려할 때, 'Poseidon' 작전은 단일 보안 솔루션만으로 대응하기 어려운 고도화된 APT 공격 사례로 분류됩니다.
본 위협 인텔리전스 보고서는 악성 스크립트 내부 아티팩트를 통해 식별된 'Poseidon' 작전을 중심으로, 국가 배후 위협 그룹이 활용하는 최신 공격 전술과 기술적 특징을 분석하고, 엔드포인트 행위 기반 탐지(EDR) 및 상관 분석 중심의 대응 필요성을 제시합니다.
본 위협은 공격 인프라 노출 및 추적을 회피할 목적으로, 보안 관리가 미흡한 WordPress 기반 웹사이트를 침해한 뒤 이를 악성파일 유포 및 C2 인프라로 활용하는 전술을 지속적으로 운용하고 있는 정황이 포착되었습니다. 이러한 인프라 운영 방식은 공격 인프라의 신속한 교체를 가능하게 하며, URL·도메인 기반 차단 정책의 효과를 저하시킬 수 있는 구조적 이점을 제공합니다.
초기 침투(Initial Access) 단계에서는 대북 인권단체 또는 금융기관을 사칭한 사회공학적 이메일이 사용되며, 금융 관련 업무 문서나 공지 형식으로 위장된 파일을 통해 수신자가 정상적인 업무 흐름의 일부로 파일을 실행하도록 유도하는 공격 시나리오가 관측되었습니다.
악성코드 전달 과정에서 바로가기(Shortcut) LNK 파일의 구조적 특성을 악용해 파일 확장자 및 아이콘을 위장하고, 정상적인 PDF 문서로 오인되도록 조작된 AutoIt 스크립트를 실행시키는 전술이 사용되었습니다. 해당 스크립트는 추가적인 사용자 상호작용 없이 동작하며, 실행 이후 EndRAT 계열의 원격제어형 악성코드를 메모리 상에 로드·실행하는 기능을 수행합니다.
또한 AutoIt 스크립트 내부에는
D:\3_Attack Weapon\Autoit\Build\__Poseidon - Attack\client3.3.14.a3x
와 같은 내부 빌드 경로 문자열이 포함되어 있으며, 이는 공격자가 내부적으로 해당 공격 활동을 'Poseidon'으로 명명하고 작전 단위로 구분·관리하고 있음을 시사하는 작전 명명 단서(Naming Artifact)로 해석됩니다. 이러한 개발 아티팩트는 공격 도구의 개발 환경과 작전 관리 체계를 유추할 수 있는 단서를 제공하며, 동일 위협 행위자의 연관 공격 및 후속 활동을 식별하는 데 활용 가능한 기술적 근거로 평가됩니다.
종합적으로 'Poseidon' 작전은 공격 인프라 은닉, 사회공학 기법을 활용한 초기 침투, 그리고 스크립트 기반 악성코드 실행을 유기적으로 결합한 공격 양상을 보이며, Konni APT가 전술·기법·절차(TTPs)를 지속적으로 진화시키고 있음을 보여주는 대표적인 공격 사례로 분석됩니다.
초기 침투 단계에서는 스피어 피싱 이메일을 통해 전달된 첨부파일 다운로드 URL이 주요 공격 벡터로 활용되었습니다. 해당 URL은 압축파일 다운로드를 유도하며, 압축파일 내부에는 LNK 악성파일이 포함되어 있는 것으로 분석되었습니다.
사용자가 이를 실행할 경우, LNK 파일을 기점으로 악성행위가 개시되며, 최종적으로 위협 행위자는 피해 시스템에 대한 접근 권한을 확보하는 공격 흐름을 형성합니다.
특히 주목할 점은, 악성파일 유포에 사용된 URL이 정상 광고 트래픽으로 위장되어 있다는 점입니다. 공격자는 마케팅 및 광고 클릭 추적용 URL 구조를 악용하여, 파라미터에 실제 악성 콘텐츠가 호스팅된 C2 주소를 삽입하는 방식을 사용한 것으로 관측되었습니다.
이로 인해 URL 자체는 정상 광고 플랫폼의 리다이렉션 링크로 인식되며, 이메일 보안 서비스 및 URL 평판 기반 탐지를 우회할 가능성이 높은 공격 기법으로 평가됩니다. 예를 들어, 다음과 같은 형태의 URL이 확인되었습니다.
| Legitimate advertising URL | Malicious destination URL | |
| 1 | mkt.naver[.]com/p1/atrb?channel_id=naver_pcstockbottom&campaign_id=2503-shopping-001&target | compromised-example[.]com/wp-admin/malware.zip |
| 2 | ad.doubleclick[.]net/searchads/link/click?ds_dest_url |
[표 3-1] 정상 광고 플랫폼 URL과 예시용 악성 주소
이와 같은 공격 방식은 정상 광고 인프라를 경유한 리다이렉션 구조를 활용함으로써, 초기 침투 단계에서의 탐지 가능성을 현저히 낮추는 동시에 사용자의 경계심을 효과적으로 저하시킨다는 점에서, 고도화된 스피어 피싱 기반 초기 침투 전술로 분류됩니다.
2025년 12월 22일, 한국 금융보안원(Financial Security Institute, FSI)은 「국가배후 해킹조직의 LNK 악성코드 위협 분석 인텔리전스 보고서」를 발간하였습니다.
이 보고서는 Dark Prism 캠페인을 중심으로, 국가 배후 위협으로 분류되는 APT37, Kimsuky, Konni 등 3개 해킹조직이 활용한 LNK 기반 악성파일을 심층적으로 비교·분석한 것이 특징입니다.
단순한 사례 나열을 넘어, 각 위협 그룹별 악성파일의 구조적 구성 요소와 실행 흐름, 추가 악성코드 전달 과정까지 세밀하게 추적·분석함으로써, 미세한 차이점까지 식별 가능한 높은 수준의 분석 정밀도를 보여줍니다.
이를 통해 공격 주체를 효과적으로 구분할 수 있는 전술·기술·절차(TTPs) 관점의 고도화된 위협 인텔리전스를 제공하고 있습니다.
특히 Konni 그룹은 금융기관을 사칭한 문서를 이용해 악성코드를 유포한 사례가 다수 확인되었습니다. 공격자는 금융 거래 확인, 송금 관련 소명 요청, 개인정보 처리 동의 등 일상적으로 접할 수 있는 금융 관련 안내를 가장해 수신자가 의심 없이 파일을 열어보도록 유도한 것으로 분석됩니다.
악성 파일명에 국내 금융기관 명칭과 함께, '소명자료 제출 요청', '송금 및 거래내역 확인', '개인(신용)정보 처리 동의서' 등 공식 안내 문서를 연상시키는 표현이 사용된 것이 특징입니다.
이러한 파일들은 주로 ZIP 압축파일 형태로 전달되었고, 압축파일 내부에는 LNK 기반 악성파일이나 추가 악성코드가 포함된 구조가 관측되었습니다.
이러한 수법은 금융기관에 대한 신뢰와 익숙한 업무 표현을 악용해 사용자의 경계심을 낮추는 전형적인 사회공학 기법으로, Konni 그룹이 초기 감염 성공률을 높이기 위해 지속적으로 활용해 온 전략으로 판단됩니다.
향후에도 이와 유사한 금융 사칭 형태의 공격이 반복될 가능성이 있는 만큼, 이메일이나 파일을 수신할 때는 제목이나 파일명만 보고 정상 문서로 판단하지 않도록 각별한 주의가 필요합니다.
앞서 설명한 바와 같이, 본 공격은 스피어 피싱 이메일을 통해 전달된 다운로드 URL을 초기 침투 수단으로 사용했으며, 해당 URL은 정상적인 광고 트래픽으로 위장되어 있었습니다.
위협 행위자는 광고 클릭 추적용 URL 구조를 악용해 파라미터에 악성 콘텐츠가 호스팅된 C2 주소를 은닉함으로써, 사용자와 보안 시스템의 초기 탐지를 우회한 것으로 분석됩니다.
이와 함께 금융 관련 문서로 위장한 사회공학 기법을 결합해 사용자의 경계심을 낮추고, 파일 실행이나 링크 클릭을 유도하는 전략을 사용했습니다.
이제부터는 이러한 실제 유포 사례를 바탕으로, 공격자가 활용한 URL 구조, 전달 방식, 그리고 악성코드 실행 흐름을 중심으로 보다 구체적인 기술적 분석을 제시합니다.
[그림 3-1] 합법적 광고 URL 파라미터에 삽입된 악성 URL
2025년 6월까지는 한국 내 시중 금융기관을 사칭한 스피어 피싱 캠페인에서 악성파일 다운로드 URL을 메일 본문에 직접 포함하는 방식이 주로 사용되었습니다.
반면, 7월 이후부터는 네이버 및 구글의 마케팅·광고용 URL을 경유하도록 구성하고, 중간 리다이렉션을 통해 최종 악성파일 다운로드로 연결하는 공격 기법이 다수 확인되었습니다.
이번에 확인된 공격 메일은 화면에 노출되지 않도록 (display:none) 속성이 적용된 비가시 영역에 문맥의 흐름상 의미 없는 영어 문장을 대량으로 반복 삽입하는 방식을 사용하고 있었습니다.
이로 인해 사용자는 해당 내용을 인지할 수 없으나, 이메일 시스템과 보안 분석 엔진에서는 메일 본문의 일부로 인식될 수 있습니다.
해당 기법은 기존의 시그니처 기반 탐지를 우회하기 위해 사용된 것으로 확인되었으며, 동시에 AI 기반 피싱 탐지 시스템과 스팸 필터 엔진의 키워드 및 문맥 판단을 교란하여 전반적인 분석 정확도를 저하시킬 목적으로 활용된 고도화된 콘텐츠 패딩(Content Padding) 기법으로 평가됩니다.
실제 이메일 본문에 삽입된 HTML 데이터를 분석한 결과, 영어 문장 22개가 일정한 패턴으로 반복 삽입되어 있고, 그 사이에 실제 이메일 본문 내용이 포함된 구조로 확인되었습니다.
이러한 구성은 탐지 회피를 전제로 설계된 자동화된 템플릿 사용 가능성을 시사하며, 위협 행위자가 이메일 보안 체계의 탐지 로직을 명확히 인지한 상태에서 공격 전술을 고도화하고 있음을 보여주는 사례로 판단됩니다.
[그림 4-1] 이메일 원문 HTML 비교 분석
피싱 탐지 시스템은 단순히 특정 키워드의 존재 여부만 확인하는 것이 아니라, 메일 전체의 글 흐름과 문장 구조, 의미적 일관성, 단어 반복 여부 등을 종합적으로 분석하여 정상 메일과 피싱 메일을 구분합니다.
그러나 본 사례와 같이 문맥상 의미 없는 영어 단어를 무작위로 삽입할 경우, 메일 내용이 인위적으로 길어지고 복잡해져 핵심적인 피싱 문구를 정확히 식별하기 어려워집니다.
이로 인해 실제로는 악성 행위를 포함하고 있음에도 불구하고, 정상 메일이나 위험도가 낮은 메일로 오분류될 가능성이 높아집니다.
이러한 기법은 단순한 난독화를 넘어 AI 기반 피싱 탐지 시스템의 판단 로직을 의도적으로 교란하기 위한 고도화된 회피 기법으로 평가되며, 향후 유사한 방식의 공격이 지속적으로 활용될 가능성이 있습니다.
다만, 해당 특징을 분석하고 AI 학습 데이터로 활용할 경우, 유사한 위협에 대한 자동화된 탐지 체계를 고도화하는 데에도 활용할 수 있습니다.
[그림 4-2] 이메일 본문에 삽입된 URL 링크 주소
이메일 본문 하단에는 <img> 태그를 이용한 웹 비콘(Web Beacon)이 삽입되어 있습니다.
해당 비콘은 1×1 픽셀 크기의 투명 이미지로 구성되어 있으며, 이메일 클라이언트가 원격 이미지를 로드할 경우 위협 행위자가 설정한 외부 서버(kppe[.]pl)로 HTTP 요청이 전송됩니다.
이를 통해 위협 행위자는 수신자의 이메일 열람 여부를 식별할 수 있으며, 요청 파라미터에 포함된 Base64 인코딩 값(un)을 이용해 개별 수신자를 추적하는 용도로 활용됩니다.
[그림 4-3] 1×1 픽셀 크기의 이미지 태그
해당 기법은 합법적인 마케팅 이메일에서도 활용되지만, 악성 이메일 캠페인에서는 수신자의 이메일 열람 여부 및 접근 가능성을 식별하기 위한 사전 정찰(Discovery) 목적의 수단으로 악용되는 사례가 지속적으로 관찰되고 있습니다.
아울러 본 공격에서는 PHPMailer 오픈소스 메일 전송 라이브러리가 활용된 정황이 식별됩니다. PHPMailer는 PHP 기반 웹 환경에서 SMTP, Sendmail, Mail 함수 등을 이용해 이메일을 발송할 수 있는 라이브러리로, 정상적인 웹 서비스 및 애플리케이션에서도 널리 사용되고 있습니다.
그러나 악성 이메일 캠페인에서는 PHPMailer를 이용해 발신자(From) 헤더 및 표시 이름(Display Name)을 임의로 설정할 수 있어, 위협 행위자가 신뢰 가능한 기관이나 공식 이메일 주소로 위장하는 데 악용되는 사례가 다수 확인되고 있습니다. 이러한 방식은 수신자의 신뢰를 유도하여 이메일 열람 및 후속 행위(첨부파일 실행, 링크 클릭 등)를 유도하는 사회공학적 공격의 성공률을 높이는 데 기여합니다.
2025년 12월에 수행된 공격 중 일부에서 금융 분야가 아닌 다른 테마를 활용한 스피어 피싱 기법이 식별되었습니다. 위협 행위자는 실존하는 비영리 민간단체(NGO)를 사칭해 북한 인권 문제에 대한 인식 제고 및 해결 방안을 논의하는 아카데미 강사 위촉을 가장한 정황이 관찰되었습니다.
[그림 4-4] 북한인권 테마로 위장된 스피어 피싱 공격 화면
이메일 본문 하단에는 PDF 및 HWP 첨부파일 2개가 포함된 것처럼 위장된 UI가 구성되어 있으며, 해당 영역의 URL 링크를 통해 악성 주소로 연결됩니다.
해당 URL 역시 구글 광고 추적 도메인의 파라미터를 악용해 베트남 국가 도메인을 사용하는 워드프레스 기반 서버에서 악성파일이 다운로드되도록 유도하는 구조로 확인되었습니다.
앞서 설명한 2025년 11월의 금융 사칭 공격과 2025년 12월에 관찰된 북한 인권 테마 공격 모두에서 ZIP 파일이 다운로드되었으며, 압축파일 내부에는 Windows 바로가기(Shortcut) 형식의 LNK 파일이 포함되어 있습니다.
LNK 파일 실행 시, Konni 캠페인에서 반복적으로 관찰된 전형적인 악성 행위가 확인되었으며, C2 서버로부터 'AutoIt3.exe' 실행파일과 PDF 확장자로 위장된 악성 AutoIt 스크립트가 추가로 다운로드되어 실행됩니다.
금융 테마와 북한 인권 테마 공격에 사용된 각 LNK 파일을 분석한 결과, 두 캠페인 모두에서 동일한 C2 주소(jlrandsons.co[.]uk)가 포함되었고, 공격 코드 패턴 역시 유사성이 일치하는 것으로 분석되었습니다.
이와 같은 인프라 재사용 정황은 두 공격이 동일한 위협 행위자에 의해 수행되었을 가능성을 시사하는 핵심 기술적 근거로 판단됩니다. 해당 악성 스크립트는 2025년 7월경부터 보고된 유형으로, 'EndRAT' 또는 'AutoItRAT' 등의 명칭으로 분류되며, C2 서버와의 통신 과정에서 사용되는 고유 식별자 문자열을 포함하고 있습니다.
[그림 4-5] AutoIt 스크립트 내부 코드 화면
과거 일부 'EndRAT' 코드 내부에서는 'Poseidon - Attack' 문자열이 포함되어 있었으나, 최근 분석된 샘플에서는 해당 문자열이 제거된 것으로 확인되었습니다.
이러한 변화는 해당 문자열이 위협 캠페인 및 행위자 식별에 활용될 수 있는 지표임을 인식한 후, 분석 회피 또는 흔적 은폐를 목적으로 수정되었을 가능성을 시사합니다.
[그림 4-6] AutoIt 스크립트의 컴파일 지시자
이것은 과거 보고된 AutoIt 기반 RAT 계열 샘플에서 반복적으로 관찰된 내부 식별 문자열과 일치하며, 'client3.3.14'와 같은 명시적인 버전 표기를 통해 해당 악성코드가 지속적으로 유지·개선되는 프레임워크 형태로 운영되고 있음을 시사합니다. 이러한 개발 방식은 기존 Konni 캠페인에서 확인된 특성과도 공통점을 보입니다.
또한 위협 행위자는 악성코드 컴파일 과정에서 빌드 경로 및 프로젝트 식별 문자열을 제거하지 않은 채 배포한 것으로 분석되며, 이는 악성코드 계열 및 공격 인프라 간 연관성 분석에 활용 가능한 OPSEC 관리 미흡 사례로 판단됩니다.
해당 빌드 경로 문자열은 EndRAT 계열 악성코드의 개발 환경과 내부 프로젝트 명칭을 노출하는 핵심 증거로, 본 캠페인의 위협 행위자 식별 및 연관성 분석에 중요한 기술적 단서를 제공합니다.
지니언스 시큐리티 센터는 기존 사이버 위협 인텔리전스(CTI) 분석 보고서를 통해, Konni 캠페인이 수행해 온 주요 사이버 작전의 양상과 사례를 지속적으로 축적·공개하여 왔습니다.
이와 같은 과거 활동과의 교차 분석(Cross-campaign correlation)은 해당 위협 그룹이 일관되게 활용하는 전술·기술·절차(TTP)의 특성을 체계적으로 도출하는 데 유효하며, 공격 인프라 운용 방식과 전략적 의도 간의 연관성을 보다 정밀하게 평가할 수 있는 분석적 근거를 제공합니다.
다수의 사이버 위협 인텔리전스(CTI) 분석 결과를 통해 Konni 캠페인의 활동은 지속적으로 식별되고 있으며, 이는 단일 침해 사례를 넘어 장기간에 걸쳐 운영되는 위협 행위자의 구조적 특성을 분석할 필요성을 시사합니다.
이와 같은 관점에서, 개별 공격의 기술적 분석을 넘어 위협 귀속(Threat Attribution)에 대한 체계적인 접근은 해당 캠페인의 실질적인 위협 수준을 평가하는 데 핵심적인 요소로 작용합니다.
위협 귀속 분석은 단순히 공격의 주체를 식별하는 데 그치지 않고, 공격 인프라 운용 방식, 전술·기술·절차(TTP)의 반복성, 작전의 지속성 및 전략적 목표를 종합적으로 이해하는 데 중요한 역할을 합니다. 특히 Konni 캠페인과 같이 전략적 목적을 기반으로 장기간 활동하는 국가배후 위협 행위자의 경우, 개별 사건만으로는 파악하기 어려운 운영 패턴과 공격 의도가 귀속 분석을 통해 보다 명확히 드러날 수 있습니다.
또한 정확한 위협 귀속은 보안 운영 측면에서도 실질적인 가치를 제공합니다. 위협 행위자별 특성에 대한 이해는 위협 모델링 고도화, 탐지 규칙의 정밀화, 위협 헌팅 시나리오의 구체화로 이어질 수 있으며, 이는 조직의 방어 전략을 단기 대응 중심에서 지속적·선제적 대응 체계로 전환하는 기반이 됩니다.
따라서 Konni 캠페인에 대한 분석은 단발성 공격 탐지에 국한되지 않고, 다수의 캠페인과 장기간 관측된 활동을 종합한 위협 귀속 중심의 분석 관점에서 수행될 필요가 있습니다.
이러한 접근은 위협 행위자의 전략적 의도와 장기적 작전 방향을 이해하는 데 기여하며, 조직이 직면한 위험을 보다 현실적으로 평가하고 대응 우선순위를 설정하는 데 중요한 기준점을 제공합니다.
본 위협에서 식별된 주요 호스트, 도메인, C2 주소 간의 연관성을 종합적으로 분석한 결과, 재사용된 네트워크 자산과 관찰된 TTP가 기존에 보고된 Konni 캠페인의 활동과 일치하는 것으로 확인되었습니다.
[그림 5-1] 위협 인프라 상관관계도
식별된 공격 흐름을 종합적으로 분석한 결과, 다수의 이메일 발송 호스트, 웹 비콘 도메인, 그리고 연계된 외부 도메인들이 하나의 통합된 인프라 체계로 운영되고 있음이 확인되었습니다.
특히, 'ad.doubleclick[.]net'을 중심으로 형성된 도메인 연결 구조는 정상 광고 트래픽으로 위장하여 공격 행위 추적 및 C2 통신을 은닉하기 위한 목적으로 활용된 것으로 판단됩니다.
해당 인프라 내에서 이메일 발송 호스트와 웹 비콘 도메인이 교차 연계되어 있으며, 일부 도메인은 과거 보고된 Konni 캠페인에서 관찰된 네트워크 자산 재사용 패턴과 구조적으로 일치합니다.
또한 일본, 유럽, 동남아 지역의 정상 웹사이트가 링크 도메인 또는 중계 노드로 활용된 점은 해당 위협 그룹이 지속적으로 사용해 온 인프라 은닉 및 우회 전술과 부합합니다.
공격 초기 단계에서 유포된 악성 파일은 대북 인권 이슈를 악용한 미끼 문서 형태로, 한국 관련 사회·정치적 주제를 활용한 표적 공격이라는 점에서 기존 캠페인 특성과 일관성을 보입니다.
해당 파일은 실행 시 외부 C2 서버와의 통신을 통해 추가 악성 행위를 수행하도록 설계된 것으로 분석됩니다.
이와 같이 웹 비콘 기반 추적 구조, 정상 서비스 도메인을 악용한 인프라 구성, 네트워크 자산 재사용, 그리고 대북 인권 이슈를 활용한 미끼 문서라는 복합적인 요소를 종합적으로 고려할 때, 본 위협은 전술·기법·인프라 전반에서 기존에 보고된 Konni 캠페인과 높은 수준의 연관성을 보입니다.
따라서 본 위협 활동은 충분한 기술적 근거를 바탕으로 Konni 위협 그룹의 소행으로 귀속됩니다.
본 위협은 정상 광고 인프라의 리다이렉션 메커니즘을 악용함으로써 URL 평판 기반 보안 체계와 이메일 보안 필터링을 우회하는 고도화된 초기 침투 전술을 사용하고 있습니다.
특히 정상 도메인을 공격 체인의 일부로 활용함으로써 사용자의 신뢰를 선제적으로 확보한 후, 다단계 리다이렉션을 통해 악성파일 유포 인프라로 연결하는 구조를 보입니다.
이와 같은 공격 특성을 고려할 때, 본 위협은 단일 보안 솔루션이나 IoC 기반 차단 정책만으로는 효과적인 대응이 어려운 APT 공격으로 평가되며, 위협 행위자의 TTP를 중심으로 한 다계층 방어 전략이 요구됩니다.
금융기관, 공공기관, 인권단체 등을 사칭한 이메일에 대해 첨부파일 기반 접근을 기본 차단 또는 격리하는 정책을 적용해야 합니다.
ZIP 파일에 포함된 LNK 등 다단계 실행이 가능한 파일 포맷에 대해서는 업무상 필요성을 재검토하고, 불필요한 포맷은 수신 차단 또는 자동 격리 대상으로 지정하는 것이 바람직합니다.
파일명에 '소명자료', '송금 확인', '거래내역', '개인정보 동의' 등 금융·행정 키워드가 포함된 첨부파일에 대해 사용자 경고 배너 및 추가 확인 절차를 적용할 필요가 있습니다.
정상 광고 도메인 자체를 차단하기보다는, 광고 클릭 리다이렉션 이후의 최종 목적지(URL chain), 비업무용 파일 다운로드로 이어지는 흐름에 대해 프록시 및 보안 게이트웨이에서 행위 기반 탐지를 강화해야 합니다.
광고 리다이렉션 URL을 통해 압축파일 또는 실행파일 다운로드가 발생하는 경우, 이를 비정상 행위로 분류하여 추가 검증 또는 차단 정책을 적용하는 것이 효과적입니다.
본 위협은 LNK 파일, AutoIt 스크립트, 메모리 로딩 방식의 원격제어형 악성코드를 결합해 정적 시그니처 기반 탐지를 우회하는 특성을 보이며, 이에 따라 엔드포인트 행위 기반 탐지(EDR)를 중심으로 한 대응이 핵심적으로 요구됩니다.
공격은 사용자의 파일 실행을 기점으로 단계적으로 전개되며, ZIP 압축파일 내부의 LNK 파일이 정상 문서로 위장되어 실행되는 초기 침투 방식이 관측되었습니다.
이러한 공격 흐름에 대해 지니언스 통합 엔드 포인트 보안 플랫폼인 'Genian Insights E'는 단말 행위 기반 탐지(EDR)를 통해 LNK 실행 이후 실제 호출되는 프로세스가 정상적인 문서 뷰어가 아닌 cmd.exe, powershell.exe, AutoIt 실행 파일 등으로 이어지는 비정상적인 프로세스 트리를 실시간으로 식별할 수 있습니다.
또한 AV(Anti-Virus), IoC(침해지표), ML(머신러닝), XBA(행위기반엔진) 등을 기반으로 한 상관 분석을 통해 단순 실행 이벤트가 아닌 행위 흐름 단위의 위협으로 판단함으로써, 공격이 본격적으로 진행되기 이전 단계에서 APT 공격을 효과적으로 탐지·차단할 수 있습니다.
[그림 6-1] EDR 기반 초기 유입 흐름 파악
Genian EDR의 공격 스토리라인(Attack Storyline) 기능을 활용함으로써, 스피어 피싱 공격에 의해 유입된 ZIP 첨부파일이 다운로드 → 압축 해제 → 내부 LNK 바로가기 실행으로 이어지는 초기 침투 전 과정을 단계별로 명확하게 가시화할 수 있습니다.
특히, 압축 파일 내부에 포함된 LNK 바로가기 파일의 실행 행위는 EDR의 행위 기반 탐지 엔진(XBA)에 의해 정상 사용자 행위와 구분되는 이상 징후로 즉시 식별됩니다.
이를 통해 악성 행위가 실제 페이로드 실행 이전 또는 초기 단계에서 탐지되어, 조기 대응이 가능합니다.
EDR 관리자는 공격 스토리라인을 기반으로 다음과 같은 즉각적인 대응 조치를 수행할 수 있습니다.
이러한 기능은 단순 개별 이벤트 탐지를 넘어, 공격 흐름 전체를 맥락(Context) 기반으로 이해할 수 있도록 지원하여 분석 효율성과 대응 속도를 동시에 향상시킵니다.
[그림 6-2] 악성 명령어 식별 화면
악성 LNK 실행 이후 EDR은 해당 바로가기 파일에 내부적으로 숨겨진 Command Line 정보를 자동으로 수집 및 가시화하여 제공합니다. 이를 통해 EDR 관리자는 LNK 파일에 포함된 PowerShell 전체 실행 명령어를 별도의 수동 분석 과정 없이 손쉽게 확인할 수 있습니다.
이와 같은 기능은 단순 이벤트 탐지를 넘어, 공격자의 실제 실행 의도와 행위 내용을 빠르게 파악할 수 있도록 지원하여, 침해 대응 시간(Mean Time To Respond, MTTR)을 실질적으로 단축시키는 데 기여합니다.
MTTR이 길어질수록 위협 행위자가 내부 환경에서 추가적인 권한 상승, 측면 이동(Lateral Movement), 데이터 유출과 같은 후속 공격을 수행할 가능성이 증가합니다.
반대로 MTTR을 단축할수록 공격자의 활동 시간을 효과적으로 제한할 수 있어, 침해 범위 최소화 및 피해 확산 방지에 긍정적인 영향을 미칩니다.
[그림 6-3] C2 통신 이상행위 탐지 화면
EDR은 악성 LNK 실행 이후 PowerShell 명령을 통해 수행되는 후속 행위를 지속적으로 모니터링하며, 이 과정에서 위협 행위자가 사전에 지정한 C2 서버와의 네트워크 통신 이벤트를 수집·분석합니다.
수집된 통신 정보는 프로세스 실행 맥락과 연계되어 분석되며, 정상 PowerShell 사용 패턴과 구분되는 비정상적인 외부 접속 시도를 이상 행위로 식별합니다.
특히, PowerShell 프로세스가 외부 IP 또는 도메인과 통신하며 추가 페이로드를 다운로드하거나 공격 명령을 수신하는 행위는 고위험 지표로 분류되어, EDR의 행위 기반 탐지 정책에 따라 즉각적인 탐지 및 경고가 이루어집니다.
이를 통해 EDR 관리자는 다음과 같은 대응 효과를 확보할 수 있습니다.
최근 PowerShell 기반 공격에서는 파일리스(Fileless) 형태로 C2 통신을 수행하는 사례가 빈번하게 관찰되며, 이 경우 네트워크 행위 가시성은 감염 여부 판단의 핵심 지표로 작용합니다.
따라서 프로세스 기반 네트워크 이벤트를 함께 분석할 수 있는 EDR 환경은, 단순 파일 탐지를 넘어 행위 중심 위협 탐지 체계 구축에 중요한 역할을 수행한다고 판단됩니다.
f5842320e04c2c97d1f69cebfd47df3d
6a4c3256ff063f67d3251d6dd8229931
8b8fa6c4298d83d78e11b52f22a79100
303c5e4842613f7b9ee408e5c6721c00
639b5489d2fb79bcb715905a046d4a54
908d074f69c0bf203ed225557b7827ec
0171338d904381bbf3d1a909a48f4e92
0777781dedd57f8016b7c627411bdf2c
94935397dce29684f384e57f85beeb0a
a9a52e2f2afe28778a8537f955ee1310
a58ef1e53920a6e528dc31001f302c7b
ad6273981cb53917cb8bda8e2f2e31a8
d4b06cb4ed834c295d0848b90a109f09
d6aa7e9ff0528425146e64d9472ffdbd
109.234.36[.]135
144.124.247[.]97
77.246.101[.]72
77.246.108[.]96
aceeyl[.]com
althouqroastery[.]com
anupamaivf[.]com
appoitment.dotoit[.]media
creativepackout[.]co
encryptuganda[.]org
genuinashop[.]com
igamingroundtable[.]com
jlrandsons.co[.]uk
kppe[.]pl
kyowaind.co[.]jp
nationalinterestparty[.]com
optique-leclercq[.]be
pomozzi[.]com
sparkwebsolutions[.]space
tatukikai[.]jp
vintashmarket[.]com