tradingkey.logo
tradingkey.logo
검색

Konni 해커들이 AI 악성코드를 이용해 블록체인 엔지니어들을 공격하고 있습니다

Jan 25, 2026 9:01 AM
facebooktwitterlinkedin
모든 코멘트 보기0

북한 해킹 그룹 코니(Konni)가 인공지능 기반 악성코드를 이용해 블록체인 엔지니어들을 공격하고 있다. 보도에 따르면, 이 해킹 그룹은 AI로 생성된 PowerShell 악성코드를 블록체인 업계 개발자와 엔지니어들을 대상으로 배포하고 있다.

북한 해킹 그룹은 적어도 2014년부터 활동해 온 것으로 추정되며, APT37 및 Kimusky 활동 그룹과 연관되어 있습니다. 이들은 한국 , 우크라이나, 러시아 및 여러 유럽 국가에 걸쳐 다양한 조직을 공격 대상으로 삼아 왔습니다. 체크포인트 연구원들이 분석한 위협 샘플에 따르면, 이 북한 그룹의 최근 공격 대상은 아시아 태평양 지역입니다.

북한의 코니 그룹이 AI로 생성된 악성 소프트웨어를 배포했습니다

보고서에서 연구원들은 해당 악성코드가 일본, 인도, 호주에서 발견된 사용자들에 의해 제출되었다고 주장했습니다. 공격은 피해자가 PDF 미끼 파일과 악성 LNK 바로가기 파일이 포함된 ZIP 압축 파일을 전달하는 Discord 링크를 받는 것으로 시작됩니다. LNK 파일은 내장된 PowerShell 로더를 실행하여 DOCX 문서와 PowerShell 백도어, 두 개의 배치 파일, UAC 우회 실행 파일이 포함된 CAB trac

바로가기 파일이 실행되면 DOCX 파일이 열리고 캐비닛 파일에 포함된 배치 파일이 실행됩니다. 미끼 DOCX 문서는 해커가 개발 환경을 침해하여 인프라, APIdent증명, 지갑 접근 권한, 그리고 최종적으로 디지털 자산 보유량과 같은 민감한 자산에 접근하려는 의도를 보여줍니다. 첫 번째 배치 파일은 백도어와 두 번째 배치 파일을 위한 스테이징 디렉토리를 생성합니다.

또한, 이 악성 프로그램은 OneDrive 시작 작업과 유사하게 매시간 예약 작업을 생성합니다. 이 작업은 디스크에서 XOR로 암호화된 PowerShell 스크립트를 읽어 메모리에서 복호화하여 실행합니다. 모든 단계를 완료한 후에는 감염 흔적을 완전히 지우기 위해 스스로 삭제됩니다. 이 PowerShell 백도어는 산술 기반 문자열 인코딩, 런타임 문자열 재구성, 그리고 "Invoked-Expression"을 사용한 최종 논리 실행 등 다양한 기법을 통해 출처를 철저히 숨깁니다

연구원들에 따르면, 해당 PowerShell 악성코드는 전통적인 방식으로 제작된 것이 아니라 AI를 이용해 개발된 것으로 보인다. 그 근거로는 스크립트 상단에 명확하고 체계적인 문서가 포함되어 있다는 점을 들 수 있는데, 이는 악성코드 개발에서는 매우 이례적인 일이다. 또한, 깔끔하고 모듈화된 구조와 파일 내에 "# <- 프로젝트 고유 UUID"라는 주석이 있는 것도 그 증거다. CheckPoint는 이러한 표현 방식이 북한 해커 .

CheckPoint 연구원들이 악성 소프트웨어에 대한 자세한 정보를 공개했습니다

연구원들은 이러한 표현 방식이 모델이 사용자에게 자리 표시자 값을 사용자 지정하는 방법을 안내한다는 것을 보여준다고 설명했습니다. 그들은 이러한 설명이 AI가 생성한 스크립트와 튜토리얼에서 흔히 볼 수 있다고 말했습니다. 악성 프로그램은 실행 전에 하드웨어, 소프트웨어 및 사용자 활동 검사를 수행하여 분석 환경에서 실행되고 있지 않은지 확인합니다. 이러한 사항이 확인되면 고유한 호스트 ID를 생성합니다. 그 후 지정된 실행 경로를 따릅니다.

백도어가 감염된 장치에서 완전히 활성화되어 실행되면, 악성코드는 주기적으로 명령 및 제어(C2) 서버에 접속하여 호스트 메타데이터를 전송하고 임의의 간격으로 서버를 폴링합니다. C2 서버에 PowerShell 코드가 포함되어 있으면 스크립트 블록으로 변환되어 백그라운드 작업을 통해 활동을 수행합니다. 체크포인트는 이전 실행 파일 형식과 미끼 이름을 토대로 이러한 공격이 북한의 Konni라는 위협 행위자의 소행일 가능성이 높다고 지적했습니다.

또한 연구진은 동일한 스크립트 이름이 겹치는 것 외에도 이전 공격들과 실행 체인 구조에서 공통적인 요소들이 발견되었다고 주장했습니다. 연구진은 또한 이번 공격과 관련된 침해 지표를 공개하여 방어자들이 북한의 Konni 캠페인 자산을 보호할 수 있도록 지원했습니다.

1,000명의 회원으로 제한된 암호화폐 거래 커뮤니티 에서 무료 자리를 신청하세요

면책 조항: 이 웹사이트에서 제공되는 정보는 교육적이고 정보 제공을 위한 목적으로만 사용되며, 금융 또는 투자 조언으로 간주되어서는 안 됩니다.

코멘트 (0)

$ 버튼을 클릭하고, 종목 코드를 입력한 후 주식, ETF 또는 기타 티커를 연결합니다.

0/500
코멘트 가이드라인
로딩 중...

추천 기사

tradingkey.logo
* 참고자료, 분석 및 트레이딩 전략은 제3자 제공업체인 Trading Central에서 제공하며, 분석가의 독립적인 평가와 판단에 기반한 시각으로, 투자자의 투자 목표와 재정 상황은 고려되지 않습니다.
위험 경고: 저희 웹사이트와 모바일 앱은 특정 투자 상품에 대한 일반적인 정보만을 제공합니다. Finsights는 재정적 조언이나 투자 상품에 대한 추천을 제공하지 않으며, 이러한 정보 제공이 Finsights가 금융 조언이나 추천을 제공하는 것으로 해석되어서는 안 됩니다.
투자 상품은 투자 원금 손실을 포함한 상당한 투자 위험에 노출되어 있으며, 모든 사람에게 적합하지 않을 수 있습니다. 투자 상품의 과거 성과는 미래 성과를 보장하지 않습니다.
Finsights는 제3자 광고주나 제휴사가 저희 웹사이트나 모바일 앱 또는 그 일부에 광고를 게재하거나 전달할 수 있도록 허용할 수 있으며, 사용자가 광고와 상호작용하는 방식에 따라 이들로부터 보상을 받을 수 있습니다.
© 저작권: FINSIGHTS MEDIA PTE. LTD. 모든 권리 보유