KONNI는 북한 정보 기관과 밀접한 관련이 있는 RAT(Remote Access Trojan)입니다. 사이버 보안 연구원들은 2017년 북한의 대륙간 탄도 미사일 시험 성공 이후 북한이 획득한 능력을 언급하는 스피어 피싱 공격이 급증했기 때문에 연결할 수 있었습니다. 유사한 KONNI 캠페인이 2014년에 발생했으며 KONNI가 북한 문제, 특히 핵 및 탄도 미사일 프로그램에 관심이 있는 모든 사람을 위해 만들어진 간첩 무기라는 결론에 도달했습니다. 맬웨어의 목표가 무엇인지는 분명하지 않지만 보다 지속적인 공격의 대상을 식별하기 위해 감염된 피해자의 컴퓨터를 프로파일링하는 것이 대부분이라는 결론을 내릴 수 있습니다. KONNI의 대부분의 타겟은 아시아 태평양 지역을 기반으로 합니다.
KONNI 트로이 목마는 무엇을 합니까?
KONNI 악성코드는 대부분의 피해자에게 이메일 첨부 파일로 도달하는 오염된 Word 문서를 통해 주로 컴퓨터를 감염시킵니다.
피해자가 파일을 다운로드하는 동안 악성코드는 페이로드를 실행하는 백그라운드에서 로드됩니다. 그런 다음 KONNI는 정찰 및 정보 수집의 주요 목표를 시작합니다. 조직의 컴퓨터 네트워크를 프로파일링하고, 스크린샷을 캡처하고, 암호, 웹 검색 기록을 훔치고, 일반적으로 손에 넣을 수 있는 모든 정보를 찾습니다. 그런 다음 정보가 지휘 통제 센터로 전송됩니다.
멀웨어는 현재 사용자의 로컬 설정 폴더 아래에 MFAData\\event 경로를 사용하여 Windows 디렉터리를 만들어 이를 수행할 수 있습니다. 또한 두 개의 악성 DLL 파일을 추출합니다. 하나는 64비트 OS용이고 다른 하나는 32비트 OS용입니다. 그런 다음 HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
레지스트리 경로에 RTHDVCP 또는 RTHDVCPE라는 키 값을 만듭니다.이 레지스트리 경로는 로그인 성공 후 프로세스를 자동 시작한다는 점에서 자동 지속성을 위해 사용됩니다. 이렇게 생성된 DLL 파일에는 키로깅, 호스트 열거, 인텔리전스 수집, 데이터 유출 및 호스트 프로파일링을 비롯한 여러 핵심 기능이 있습니다.
수집된 정보는 피해자의 프로필에 맞는 공격을 만드는 데 사용됩니다. KONNI가 한국 군용 컴퓨터나 금융 기관과 같이 세간의 이목을 끄는 표적의 컴퓨터를 감염시킨다면 그 배후의 사람들은 간첩이나 랜섬웨어 공격을 포함한 특정 공격을 맞춤화할 수 있습니다.
KONNI 트로이 목마를 제거하는 방법
컴퓨터가 감염되었다고 가정하면 KONNI 트로이 목마에 대해 어떻게 해야 하는지 알고 있습니까?
KONNI 트로이 목마를 제거하는 가장 간단한 방법은 Outbyte Antivirus와 같은 안정적인 맬웨어 방지 솔루션을 사용하는 것입니다. . 맬웨어 방지를 사용하려면 PC를 안전 모드에서 실행해야 합니다. 앞서 언급했듯이 KONNI는 자동 시작 항목을 자체적으로 포함하도록 조작하는 등 몇 가지 자동 지속성 기술을 사용하기 때문입니다.
Windows 10/11 및 7 사용자의 경우 네트워킹을 사용하여 안전 모드에 들어가기 위해 수행해야 하는 단계는 다음과 같습니다.
- 실행 열기 Windows + R을 눌러 유틸리티 키보드의 키.
- msconfig 입력 명령을 실행합니다.
- 부팅 으로 이동 탭을 클릭하고 안전 부팅을 선택합니다. 및 네트워크 옵션.
- 기기를 다시 시작하세요.
기기가 다시 시작되면 맬웨어 방지 프로그램을 실행하고 바이러스를 삭제할 시간을 충분히 주십시오.
맬웨어 방지 프로그램이 없는 경우 바이러스에 대한 호스트 역할을 하는 파일 및 폴더를 수동으로 추적하는 옵션이 항상 있습니다. 이를 수행하는 방법은 작업 관리자를 여는 것입니다. Ctrl, Alt를 눌러 및 삭제 키보드의 키. 작업 관리자 앱에서 시작 프로그램으로 이동합니다. 탭을 누르고 의심스러운 시작 항목을 찾으십시오. 파일을 마우스 오른쪽 버튼으로 클릭하고 파일 위치 열기를 선택합니다. . 이제 파일 위치로 이동하여 파일과 폴더를 휴지통으로 이동하여 삭제하십시오. MFAData\\event 폴더를 찾아야 합니다.
다른 작업은 손상된 레지스트리 항목을 복구하고 KONNI 맬웨어와 관련된 항목을 삭제하는 것입니다. 이를 수행하는 가장 쉬운 방법은 PC 복구 도구의 주요 목표 중 하나가 손상된 레지스트리 항목을 복구하는 것이므로 PC 클리너를 배포하는 것입니다.
PC 복구 도구가 재생하는 또 다른 목적은 정크 파일, 쿠키, 검색 기록, 다운로드 및 KONNI와 같은 트로이 목마가 사이버 범죄자에게 보내는 대부분의 데이터를 삭제하는 것입니다. 다시 말해, PC 클리너를 사용하면 재감염 위험을 줄일 수 있을 뿐만 아니라 다른 맬웨어가 장치에 침입하더라도 훔칠 것이 많지 않을 것임을 확신할 수 있습니다.
위의 지침을 따랐다면 멀웨어 위협에 당당히 대처했을 가능성이 높으며 이제 남은 일은 향후 감염으로부터 보호하는 일뿐입니다.
KONNI와 같은 맬웨어 개체는 피해자가 알 수 없는 출처의 첨부 파일을 처리하는 방법에 부주의한 경우에만 컴퓨터를 감염시킨다는 것을 알아야 합니다. 추가 예방 조치를 취하고 방해가 되는 파일을 다운로드하지 않을 수 있다면 감염 위험을 크게 줄일 수 있습니다.
마지막으로 가능한 한 자주 컴퓨터를 업데이트해야 합니다. KONNI와 같은 맬웨어 개체는 Microsoft를 비롯한 소프트웨어 공급업체에서 지속적으로 패치되는 익스플로잇을 사용합니다.