http://gjdow.atwebpages.com/dn.php?name=[Computer

개인정보 유출 관련 내용으로 위장한 피싱 메일 유포 (Konni) - ASEC BLOG 관련 IOC 7개 발견

ASEC은 최근 Konni 공격 그룹이 개인을 대상으로 난독화된 악성 exe 파일과 xml 형식의 백도어형 악성코드를 사칭한 메일과 위장한 Word 파일로 유포하고 있음을 확인하였다. 실행시 %Programdata% 폴더에 정상 doc 파일을 제외하고 난독화된 파일과 powershell 스크립트를 생성하는 것으로 보여졌고, 사용자로 하여금 정상적인 파일이 실행된 것으로 보여지게 하려는 공격자의 의도로 보인다.

ASEC이 최근 Konni 공격 그룹의 의해 난독화된 악성 exe 파일과 xml 형식의 백도어형 악성코드, 메일과 Word 파일로 유포되고 있음을 확인하였다. 실행시 %Programdata% 폴더에 난독화된 파일과 powershell 스크립트를 생성하며, 사용자로 하여금 정상적인 파일이 실행된 것으로 보여지게 하려는 공격자의 의도로 보인다.

Ahnlab
Fishing Mail Distribution (KONNI) disguised as a personal information leakage -ASEC blog

The ASEC recently confirmed that the KONNI attack group was distributed as an impersonating mail and a disguised Word file impersonating an obfuscated malicious EXE file and an XML backdoor malicious code.When running, it was shown to generate an obfuscated file and a PowerShell script except for the normal DOC file in the % programdata % folder, and it seems to be the intention of the attacker who wants to make the user appear to be executed.

It was confirmed that ASEC was recently distributed in malicious EXE files obtained by the KONNI attack group and the XML formal backdoor malware, mail and word files.It appears to be an attacker’s intention to create a file that is obfuscated and PowerShell scripts in the % programdata % folder when running, and that the user is likely to be executed.
https://asec.ahnlab.com/ko/59625/