[디지털투데이 박근모 기자] 시스코 인텔리전스 그룹 탈로스는 지난 3년간 여러 캠페인을 통해 배포되어 왔던 'KONNI RAT(원격 접속 트로이 목마)'의 최근 활동이 발견됐다고 20일 발표했다.

지난 3년간 악성 문서 공격 기법으로 사용해 온 KONNI 캠페인은 사용자가 '.scr' 파일의 문서를 열면 해당 컴퓨터에서 악성 코드가 실행되는 방식이다.

올해 4 월 발견된 2건의 공격은 KONNI 원격 액세스 트로이 목마를 삭제하려는 대상에게 피싱 문서를 사용해 칩입자가 손상된 시스템에 추가 악성 코드를 유포할 수 있다.

특히 북한에 관련된 문서로 유인하는 활동이 있었으며, 이번에 발견된 케이스는 북한 미사일 발사 및 미사일 기술 논의에 연관된 것처럼 가장했다. 이번 캠페인에 사용된 악성코드는 올해 초 배포된 것과 유사한 기능을 가지고 있는 것으로 탈로스는 설명했다.

탈로스에 따르면 지난 3일 한국 연합뉴스 기사를 복사·붙여넣기 해 정상적인 형태로 가장 후 북한이 미사일 발사 실험을 실시한 7월 3일에 게재됐고, 다음날인 7월 4일 악성코드가 컴파일 됐다.

이 공격은 다음 도메인에 호스팅된 신규 C&C 인프라를 사용, 웹 페이지에 대한 HTTP 포스트 요청이 도메인 자체에서 /weget/download.php, /weget/uploadtm.php 또는 /weget/upload.php로 호스팅되면 KONNI의 C&C 트래픽이 발생한다. 이후 공격자는 합법적인 등산 동호회 웹사이트로 가장했다.

시스코는 "KONNI 멀웨어 업데이트 버전이 계속 발견되고 있어 주의가 요구된다"라며 "특히 이러한 이슈와 관련이 높은 조직의 경우 유인성 악성문서를 통한 감염을 막기 위한 더욱 철저한 보호 조치가 이루어져야 한다"고 당부했다.