S2W 위협 인텔리전스센터 탈론에서 북한 배후 위협그룹인 KONNI의 LINKON 악성코드 분석에 대한 보고서를 발행했습니다. 금융위원회 금융정보분석원으로 위장한 악성코드를 확인할 수 있는 난이도 높은 위협 인텔리전스 보고서입니다.
✅ 보고서 제목:
금융위원회 금융정보분석원으로 위장한 북한 KONNI의 LINKON 악성코드
✅ 보고서 요약:
2025년 1월 23일, ‘가상자산사업자 검사계획민당정회의 발표자료_FN2` 파일로 위장한 LNK 악성코드가 발견되어 분석을 진행했습니다.
- File name: 가상자산사업자 검사계획민당정회의 발표자료_FN2.hwp.lnk
- MD5: e37c8f6aba686aab3d7ecedbd1d0ef43
- SHA256: 5a8ecafbd5809000334bf5b940a497d0ed750dd11da8a03796f5ce53257cc892
해당 악성 LNK 파일은 실행 시 PowerShell 명령어를 통해 LNK 내부에 포함된 Decoy 문서 및 추가 파일을 드롭 및 실행하는 LINKON 악성코드로 확인됩니다.
KONNVBS 및 KONNBAT은 실행 시 지속성 유지를 위해 스케줄러에 특정 스크립트 파일을 등록하거나, 하드코딩 된 공격자 서버로부터 추가 파일을 다운로드 받아 실행합니다.
📌 LINKON 악성코드에 대한 구체적인 특징은 무엇인가요?
분석된 LINKON 악성코드는 대한민국의 행정기관 중 하나인 금융위원회 금융정보분석원을 사칭하고 있으며 2024년 12월 20일, 동일 행정기관에서 진행된 ‘자금세탁방지 검사수탁기관 협의회’ 관련 문서로 위장한 것으로 보아 전년도 20일 이후에 가상자산 관련 사업자들을 대상으로 사용된 악성코드로 추정됩니다.
또한 사회 공학 기법을 악용하여 사용자의 실행을 유도하도록 설계되었으며, 실행과 동시에 사용자에게 감염 사실을 숨기기 위해 정상적인 문서처럼 제작된 미끼 문서를 출력하고 악성코드가 수행하는 모든 행위와 명령들은 ‘숨김’ 옵션을 적용하여 감염자에게 보이지 않도록 제작되었습니다.
✅ 위협 탐지 권장 사항 및 조치 방안:
북한 KONNI 그룹은 과거부터 가상자산 산업을 노리는 테마의 문서 파일을 공격에 악용하여 LINKON 악성코드를 유포하는 정황이 지속적으로 관찰되었으며 동일 유형의 악성코드를 유포하고 있어 주의가 필요합니다.
보다 구체적인 분석 및 조치 방안은 내용은 아래 링크를 통해 보고서 전문을 문의해 주세요.
🧑💻 보고서 작성자: S2W TALON (2025-01-24 기준)
👉 보고서 전문 문의하기: https://s2w.inc/ko/contact
*해당 보고서는 별도 문의 가능하며 S2W의 플랫폼 구독 시 전문으로 제공됩니다.