카카오톡을 이용한 KONNI 해킹 그룹의 악성코드 공격: 사용자 계정 탈취 및 원격 초기화 주의

KONNI 해킹 그룹, 카카오톡을 통해 악성코드 유포

최근 KONNI라는 이름을 가진 해킹 그룹이 카카오톡을 통해 악성코드를 유포하고 사용자 계정 정보를 탈취하는 공격이 발생하여 주의가 요구됩니다. 이들은 주로 대한민국의 개인 사용자를 대상으로 공격을 감행하며, 정부 지원을 받는 북한의 위협 행위자들과 연관되어 있는 것으로 분석됩니다. KONNI는 과거 Kimsuky, APT37과도 표적 및 인프라에서 중복되는 부분을 보여왔습니다.

공격 방식: 악성 MSI 파일 및 Google Find Hub 악용

공격은 카카오톡 메신저를 통해 시작됩니다. 공격자들은 국세청이나 경찰과 같이 신뢰할 수 있는 기관을 사칭하여 피해자에게 접근합니다. 이후 디지털 서명이 된 악성 MSI 파일 (또는 ZIP 압축 파일)을 전송하며, 피해자가 해당 파일을 실행하면 RemcosRAT, QuasarRAT, RftRAT과 같은 악성코드가 설치됩니다. 이러한 악성코드는 감염된 기기에서 Google 및 Naver 계정 정보를 포함한 다양한 개인 정보를 수집합니다.

탈취한 계정 정보를 이용하여 공격자들은 피해자의 Google 계정에 로그인하고, Google Find Hub에 접근합니다. Google Find Hub는 사용자가 자신의 Android 기기를 원격으로 찾고, 잠그거나 초기화할 수 있는 유용한 도구이지만, 공격자들은 이를 악용하여 피해자의 모든 등록된 Android 기기를 확인하고 위치를 추적합니다. 피해자가 외부 활동 중 공격에 대응하기 어렵다고 판단될 때, 원격으로 기기 초기화 명령을 전송하여 데이터를 삭제하고 알림을 비활성화하며, 카카오톡 PC 세션을 종료시킵니다.

데이터 완전 삭제를 위한 3회 반복 초기화

해킹 그룹은 피해자의 데이터를 완전히 삭제하기 위해 기기를 3번이나 반복적으로 초기화합니다. 모바일 기기가 초기화된 후에도 카카오톡 PC 세션이 활성 상태로 남아있는 경우, 공격자들은 감염된 컴퓨터를 이용하여 피해자의 연락처에 악성 파일을 전송하여 공격을 더욱 확산시킵니다.

공격의 동기 및 목적

현재까지 KONNI 해킹 그룹의 공격 동기는 명확하게 밝혀지지 않았습니다. 하지만 일반적으로 정부 지원을 받는 위협 행위자들은 사이버 스파이 활동이나 정보 탈취, 시스템 파괴 등을 목적으로 활동하는 경우가 많습니다. 따라서 이번 공격 또한 이러한 목적의 연장선상에 있을 가능성이 높습니다.

결론

KONNI 해킹 그룹의 카카오톡을 이용한 악성코드 공격은 사용자 계정 탈취 및 기기 원격 초기화라는 심각한 피해를 초래할 수 있습니다. 출처가 불분명한 파일이나 링크는 절대 클릭하지 마시고, 백신 프로그램을 최신 버전으로 유지하며, 의심스러운 활동이 감지되면 즉시 신고하는 등 보안에 각별히 주의해야 합니다.