close
프로필 배경
프로필 로고

일상 나누기

IT 소식 뉴스/IT 소식 · 2025. 11. 12. fullscreen 넓게보기

코니(Konni) 그룹, 구글 '파인드 허브' 악용해 안드로이드 원격 초기화 수행

반응형
코니(Konni) 그룹, 구글 '파인드 허브' 악용해 안드로이드 원격 초기화 수행

코니(Konni) 그룹, 구글 ‘파인드 허브’ 악용해 안드로이드 원격 초기화 수행 — 공격 체인과 대응

최근 보안 연구진은 북한 정부 연계로 알려진 해킹 그룹 코니(Konni)가 구글의 정식 기기관리 서비스인 파인드 허브(Find Hub)를 악용해 안드로이드 스마트폰·태블릿을 원격 초기화(공장초기화)한 사례를 보고했다. 이 공격은 서비스 취약점이 아닌 계정 탈취와 정교한 사회공학·멀웨어 체인을 결합해 합법 기능을 ‘파괴 도구’로 전용한 점이 특징이다.

요약(한눈에)

핵심 피싱으로 PC를 감염 → 인증정보(구글·네이버) 탈취 → 파인드 허브 로그인 → 대상 안드로이드 기기 원격 초기화 (데이터 삭제) — 디지털 포렌식 어렵게 만듦.

공격 흐름(상세)

  1. 스피어피싱 유도 — 공격자는 심리상담사 또는 인권단체를 사칭, '스트레스 완화 프로그램' 등으로 위장한 이메일을 발송.
  2. 악성 인스톨러 실행 — 첨부된 압축파일 내 Stress Clear.msi 등 신뢰도 높은 서명(예: 중국 기업 서명)을 위장하여 실행 유도.
  3. PC 감염 및 백도어 설치 — 설치 프로그램이 배치 스크립트·VBScript를 호출해 원격제어 악성코드(예: EndRAT, Remcos, Quasar, RftRAT 등)를 설치. 작업 스케줄러로 1분 단위 C2 통신 예약.
  4. 자격증명 수집 — 키입력·쿠키·브라우저 저장 자격증명 등을 훔쳐 구글 계정(및 복구용 네이버 계정) 정보 탈취.
  5. 계정 접근 및 탐지 회피 — 공격자는 피해자 계정으로 로그인, 보안 알림(예: 구글의 보안 이메일)을 삭제하거나 휴지통까지 비움.
  6. 파인드 허브 기능 악용 — Find Hub(구 Find My Device)에 접속하여 대상 안드로이드 기기를 원격 초기화(Erase Device) 실행 — 기기 내 로그·증거 삭제로 포렌식 난이도 상승.

사용된 악성 도구·특징

  • EndRAT / Remcos / Quasar / RftRAT — 원격 셸, 파일 업/다운, 명령 실행, 키로깅 등 기능을 가진 RAT 군.
  • 작업 스케줄러 기반의 주기적 C2 폴링(1분 간격)으로 탐지 회피와 지속성 확보.
  • 신뢰도 향상을 위한 합법 코드 서명 사용(사회공학 신뢰성 증가).
  • 복구용 이메일 접근으로 보안 경고·알림 차단 후 원격 초기화 시도.

왜 더 위험한가?

  • 정식 관리 기능을 악용하므로 소프트웨어 취약점 기반 공격보다 탐지가 더 어렵다.
  • 원격 초기화는 기기 내 데이터와 로그를 지워 디지털 포렌식을 거의 불가능하게 만든다.
  • 계정 탈취는 동일 계정으로 연동된 다른 서비스(이메일, 클라우드, 금융 알림 등)까지 연쇄 피해를 유발할 수 있다.

조직·개인이 당장 해야 할 보안 권고

개인(모바일 사용자)

  • 고위험 계정(구글 등)은 패스키/보안키 기반의 2단계 인증(2FA)으로 전환 — SMS보다 안전한 방법 권장.
  • 계정 복구 이메일·전화번호는 별도 관리, 복구 채널의 보안(비밀번호·2FA)도 강화.
  • 알 수 없는 첨부파일·인증서가 있는 설치 파일은 절대 실행 금지.
  • 정기적으로 계정 보안 활동(로그인 알림, 로그인 기기 목록) 확인.
  • 기기에서는 필수 데이터의 원격 백업(암호화된 클라우드 또는 로컬 복사본) 유지.

기업·기관(엔터프라이즈 대응)

  • 엔드포인트 보호 강화 — 최신 EDR 배포, 이상행위 탐지(주기적 C2 통신 패턴 포함) 룰 적용.
  • 계정·아이덴티티 보호 — SSO/MFA 정책 강화, 패스키·U2F 보안키 도입, 관리자 계정에 별도 강력한 인증 요구.
  • 복구용 이메일·연동 서비스 모니터링 — 알림 삭제·폴더 조작 감지 정책 도입.
  • 망분리·권한 최소화 — 전 직원 PC와 중요 관리 계정을 분리·격리, 관리자 권한 사용을 최소화.
  • 침해대응 준비 — 계정 탈취 시의 신속한 토큰/세션 무효화, 사고시 원격초기화 등 파괴적 조치 차단 방안(예: 계정 기반 이벤트에 대한 2차인증 요구) 마련.

검증 및 포렌식 관점

원격 초기화가 실행된 경우 기기 내부 증거가 소실되므로, 사고 발생 시 가능한 빨리 다음을 확보해야 한다.

  • 피해 계정의 로그인 기록(구글 계정의 보안 로그) — IP, 시간, 기기 정보.
  • 감염된 PC의 네트워크 로그 및 C2 통신 기록(방화벽, 프록시 로그 등).
  • 작업 스케줄러/레지스트리/서비스 항목의 변경 내역 및 실행 파일 샘플.

결론

이번 사례는 제로데이·소프트웨어 취약점보다도 계정 탈취와 합법 기능의 악용이 더 큰 위협이 될 수 있음을 적나라하게 보여준다. 개인은 고위험 계정을 우선적으로 보안키·패스키 등 강력한 인증 수단으로 보호해야 하며, 기관은 엔드포인트 탐지·계정 보호·복구 채널 보안 강화를 즉시 점검해야 한다. 또한 사고 대응 체계에서는 계정 도용 시 빠르게 세션·토큰을 무효화하고 복구용 이메일 조작 여부를 모니터링하는 절차를 필수화해야 한다.

반응형
LIST
저작자표시 변경금지 (새창열림)

'IT 소식 뉴스 > IT 소식' 카테고리의 다른 글

Cl0p 랜섬웨어 — 오라클 EBS 고객 대상 대규모 침해 및 피해자 명단 공개  (3) 2025.11.12
헌혈자 개인정보 담긴 서버서 협박 메시지 발견 — 한마음혈액원 해킹 사건  (5) 2025.11.11
아이클라우드 용량 구매 및 데이터 저장공간 확인 방법  (3) 2025.11.11
KT 펨토셀 해킹 사건 중간 조사결과 — 구조적 관리 부실과 정부 대응  (2) 2025.11.11
PROMPTFLUX — 제미나이 API로 자체 난독화·재작성하는 VBS 악성코드 분석  (0) 2025.11.11
IT 소식 뉴스/IT 소식 관련 글
더 보기

티스토리툴바