KONNI 트로이 목마 란? (08.15.25)

KONNI는 북한 정보 기관과 밀접한 관련이있는 RAT (Remote Access Trojan)입니다. 사이버 보안 연구원들은 2017 년 북한의 대륙간 탄도 미사일 테스트에 성공한 후 북한이 획득 한 능력을 언급하는 스피어 피싱 캠페인이 급증했기 때문에 연결될 수있었습니다. 비슷한 코니 캠페인이 2014 년에 일어 났고, 이것 역시 코니가 북한 문제, 특히 핵 및 탄도 미사일 프로그램에 관심이있는 모든 사람을 위해 만들어진 간첩 무기라는 결론으로 ​​이어졌습니다. 악성 코드의 목표가 무엇인지는 분명하지 않지만, 감염된 피해자의 컴퓨터를 프로파일 링하여보다 지속적인 공격의 대상을 식별하는 것이 대부분이라고 결론을 내릴 수 있습니다. KONNI의 대부분의 표적은 아시아 태평양 지역에 있습니다.

KONNI 트로이 목마는 무엇을합니까?

KONNI 악성 코드는 주로 감염된 Word 문서를 통해 컴퓨터를 감염시켜 대부분의 피해자에게 이메일 첨부 파일로 전달됩니다.

피해자가 파일을 다운로드하는 동안 악성 코드는 백그라운드에서로드됩니다. 페이로드를 실행합니다. KONNI는 정찰 및 정보 수집이라는 주요 목표를 시작합니다. 조직의 컴퓨터 네트워크를 프로파일 링하고, 스크린 샷을 캡처하고, 암호를 훔치고, 웹 검색 기록을 훔치고, 일반적으로 손에 넣을 수있는 모든 정보를 찾아냅니다. 그런 다음 정보는 명령 및 제어 센터로 전송됩니다.

멀웨어는 MFAData \\ event 경로를 사용하여 현재 사용자의 로컬 설정 폴더 아래에 Windows 디렉터리를 생성하여이를 수행 할 수 있습니다. 또한 64 비트 OS 용과 32 비트 OS 용으로 두 개의 악성 DLL 파일을 추출합니다. 그런 다음 HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run 레지스트리 경로에 RTHDVCP 또는 RTHDVCPE라는 키 값을 만듭니다.

이 레지스트리 경로는 성공적으로 로그인 한 후 프로세스를 자동 시작하므로 자동 지속성을 위해 사용됩니다. 이렇게 생성 된 DLL 파일에는 키 로깅, 호스트 열거, 인텔리전스 수집, 데이터 유출 및 호스트 프로파일 링을 포함한 몇 가지 핵심 기능이 있습니다.

수집 된 정보는 피해자의 프로필에 맞는 공격을 만드는 데 사용됩니다. KONNI가 한국 군용 컴퓨터 나 금융 기관과 같은 유명 표적의 컴퓨터를 감염시킬 경우, 그 배후에있는 사람들은 스파이 또는 랜섬웨어 공격을 포함한 특정 공격을 맞춤화 할 수 있습니다.

KONNI 트로이 목마 제거 방법

예상 컴퓨터가 감염되었습니다. KONNI 트로이 목마에 대해 어떻게해야하는지 알고 계십니까?

KONNI 트로이 목마를 제거하는 가장 간단한 방법은 Outbyte Antivirus 와 같은 안정적인 맬웨어 방지 솔루션을 사용하는 것입니다. 맬웨어 방지 프로그램을 사용하려면 PC를 안전 모드에서 실행해야합니다. 앞서 언급했듯이 KONNI는 자동 시작 항목을 조작하여 자체를 포함하는 등 일부 자동 지속 기술을 사용하기 때문입니다.

Windows 10의 경우 및 7 명의 사용자 인 경우 다음은 네트워킹을 사용하여 안전 모드로 들어가기 위해 수행하는 단계입니다.

  • Windows + R 을 눌러 실행 유틸리티를 엽니 다. 키보드의 키를 누릅니다.
  • msconfig를 입력하고 명령을 실행합니다.
  • 부팅 탭으로 이동하여 안전 부팅 을 선택한 다음 네트워크 옵션.
  • 기기를 다시 시작합니다.

    • 기기가 다시 시작되면 맬웨어 방지 프로그램을 실행하고 바이러스를 삭제할 수있는 충분한 시간을줍니다.

  • 기기를 다시 시작합니다.

    • p>

    멀웨어 방지 프로그램이없는 경우 바이러스를 호스트하는 파일과 폴더를 수동으로 추적하는 옵션이 항상 있습니다. 이 작업을 수행하는 방법은 키보드에서 Ctrl, Alt Delete 키를 눌러 작업 관리자 를 여는 것입니다. 작업 관리자 앱에서 시작 탭으로 이동하여 의심스러운 시작 항목을 찾습니다. 파일을 마우스 오른쪽 버튼으로 클릭하고 파일 위치 열기 를 선택합니다. 이제 파일 위치로 이동하여 파일과 폴더를 휴지통으로 이동하여 삭제하십시오. MFAData \\ event 폴더를 찾아야합니다.

    필요한 또 다른 일은 손상된 레지스트리 항목을 복구하고 KONNI 악성 코드와 관련된 항목을 삭제하는 것입니다. 이를 수행하는 가장 쉬운 방법은 PC 복구 도구의 주요 목표 중 하나가 손상된 레지스트리 항목을 복구하는 것이므로 PC 클리너를 배포하는 것입니다.

    PC 수리 도구가 실행하는 또 다른 목적은 KONNI와 같은 트로이 목마가 사이버 범죄자에게 보내는 정크 파일, 쿠키, 검색 기록, 다운로드 및 대부분의 데이터를 삭제하는 것입니다. 다시 말해, PC 클리너를 사용하면 재감염 위험을 줄일 수있을뿐만 아니라 다른 맬웨어가 장치에 침투하더라도 훔칠 것이별로 없다는 것을 확인할 수 있습니다.

    위의 지침을 따랐다면 멀웨어 위협에 정면으로 대처할 가능성이 높으며 현재 남아있는 유일한 것은 향후 감염으로부터 보호하는 것입니다.

    멀웨어를 알고 있어야합니다. KONNI와 같은 개체는 피해자가 알 수없는 이미지의 첨부 파일을 처리하는 방법에 부주의 한 경우에만 컴퓨터를 감염시킵니다. 추가 예방 조치를 취하고 오는 파일을 다운로드하지 않으면 감염 위험을 크게 줄일 수 있습니다.

    마지막으로 가능한 한 자주 컴퓨터를 업데이트해야합니다. KONNI와 같은 멀웨어 엔티티는 Microsoft를 포함한 소프트웨어 공급 업체가 지속적으로 패치하는 익스플로잇을 사용합니다.

    YouTube 비디오: KONNI 트로이 목마 란?

    08, 2025