Monthly Threat Actor Group Intelligence Report, January 2021

이 문서는 2020년도 12월 21일에서 2021년 1월 20일까지 발견된 해킹 그룹 활동과 관련된 이슈를 설명하고 이와 관련된 침해사고 정보와 ThreatRecon Platform 내 이벤트 정보를 포함합니다.

1. SectorA 그룹 활동 특징

올해 1월 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02와 SectorA05 그룹입니다.

SectorA01 그룹의 활동은 인도, 미국, 러시아에서 발견되었습니다. 해당 그룹은 윈도우(Windows)와 맥 OS(Mac OS) 2개의 플랫폼을 대상으로 하는 멀티플랫폼(Multi-Platform) 악성코드를 유포하였습니다. 이외에도 바로가기 파일 형식(LNK)의 악성코드를 사용했으며, 사용자의 의심을 피하기 위해 마이크로소프트(Microsoft)사의 소프트웨어로 위장한 악성코드를 사용했습니다.

SectorA02 그룹의 활동은 일본, 네덜란드, 캐나다, 한국에서 발견되었습니다. 해당 그룹은 모바일(Mobile) 기기를 대상으로 공격을 수행하였으며 이외에도 매크로 스크립트가 포함된 MS 워드(Word) 문서 파일 형식의 악성코드를 사용하기도 했습니다. 이는 정상 파일로 위장하기 위해 특정 간담회에 대한 내용을 주제로 작성되어 있습니다.

SectorA05 그룹의 활동은 한국, 스웨덴에서 발견되었습니다. 해당 그룹은 공급망을 통해 변조된 메신저 프로그램을 유포하였으며 이는 FTP 서버에 접속해 추가적으로 명령을 수행합니다. 이외에도 사회적 이슈를 악용하기 위해 ‘바이든 행정부’, ‘COVID-19’와 같은 주제로 작성된 다양한 악성 문서를 사용했습니다.

현재까지 지속되는 SectorA 해킹 그룹들의 목적은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위함이며, 이와 더불어 전 세계를 대상으로 재화 확보를 위한 해킹 활동을 병행합니다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적은 당분간 변화 없이 유지될 것으로 판단됩니다.

2. SectorB 그룹 활동 특징

올해 1월 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB01, SectorB07, SectorB22와 SectorB31 그룹입니다.

SectorB01 그룹의 활동은 중국, 홍콩, 필리핀에서 발견되었습니다. 이번 활동에서 공격자가 리눅스 시스템을 공격하기 위해 제작한 유저 모드(User Mode) 루트킷(Rootkit) 악성코드가 확인되었습니다.

SectorB07 그룹의 활동은 중국과 브라질에서 발견되었습니다. 공격자는 이력서로 위장한 MS 워드(Word) 악성코드를 사용했으며 템플릿 인젝션(Template Injection)을 사용합니다.

SectorB22 그룹의 활동은 호주에서 발견되었습니다. 이번 활동에서 공격자가 사용한 플러그엑스(PlugX) 악성코드의 변형이 발견되었습니다.

SectorB31 그룹의 활동은 독일에서 발견되었습니다. 이번 활동에서 독일의 공공 기관 및 정부 관련 기관을 대상으로 한 해킹 활동에서 사용된 IP 정보가 확인되었습니다.

현재까지 지속되는 SectorB 해킹 그룹들의 목적은 전 세계 각국 정부 기관의 정치, 외교 활동 등과 관련된 고급 정보를 수집하기 위한 것으로 분석됩니다.

3. SectorC 그룹 활동 특징

올해 1월 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01과 SectorC08 그룹입니다.

SectorC01 그룹은 이번 활동에서 안드로이드 환경을 대상으로 하는 정보 수집형 악성코드를 사용했습니다.

SectorC08 그룹의 활동은 우크라이나, 미국, 캐나다, 크로아티아, 오스트리아에서 발견되었습니다. 공격자는 템플릿 인젝션(Template Injection) 방식을 사용하여 공격자 서버에서 매크로 스크립트가 포함된 MS 워드(Word) 문서를 다운로드 하는 기존의 해킹 방식을 유지했습니다.

현재까지 지속되는 SectorC 해킹 그룹들의 목적은 이들을 지원하는 국가와 인접한 국가를 포함하여 전 세계 각 국가들의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석됩니다.

4. SectorD 그룹 활동 특징

올해 1월 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD01 과 SectorD05 그룹입니다.

SectorD01 그룹의 활동은 쿠웨이트에서 발견되었습니다. 해당 그룹은 이번 활동에서 쿠웨이트 거래소 서버를 대상으로 한 웹쉘(WebShell) 공격이 확인되었습니다.

SectorD05 그룹의 활동은 미국에서 발견되었습니다. 해당 그룹은 지메일(Gmail), 야후(Yahoo!), 아웃룩(Outlook) 계정 정보 탈취를 위해 연구소, 대학 및 언론인들을 대상으로 구글 앱스 스크립트 링크를 포함한 SMS 및 피싱 메일 공격을 수행했습니다.

이들은 주로 SectorD 해킹 그룹을 지원하는 국가의 정부와 정치적인 경쟁 관계에 있는 국가 또는 개인, 단체를 공격 대상으로 삼으며, 이들과 관련된 정치, 외교 활동 등의 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석됩니다.

5. SectorE 그룹 활동 특징

올해 1월 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE04와 SectorE05 그룹입니다.

SectorE01 그룹의 활동은 홍콩, 미국에서 발견되었습니다. 해당 그룹은 취약점을 포함하는 MS 워드(Word) 파일 형식의 악성코드를 공격에 사용했으며 이는 공군 훈련 문서로 위장하였습니다.

SectorE02 그룹의 활동은 세르비아, 중국, 캐나다, 홍콩, 미국, 아랍에미리트에서 활동이 발견되었습니다. 해당 그룹은 취약점이 포함된 RTF 파일 형식의 악성코드를 공격에 사용하였으며, ‘중국 디지털 실크로드’를 주제로하는 기사 본문으로 위장하였습니다. 이외에도 메신저 앱으로 위장한 안드로이드 환경을 대상으로 하는 악성코드가 발견되기도 했습니다.

SectorE04 그룹의 활동은 파키스탄과 한국에서 발견되었습니다. 해당 그룹은 바로가기 파일, 자바스크립트 파일을 공격에 사용하여 추가 악성코드를 다운로드 및 실행하였습니다. 이외에도 정상 프로그램에 악성 DLL을 로드 하는 DLL 사이드 로딩(DLL Side Loading)방식을 사용하였습니다.

SectorE05 그룹의 활동은 영국에서 발견되었습니다. 해당 그룹은 MS 윈도우 업데이트 프로그램으로 위장한 악성코드를 사용하여 감염 시스템의 사용자명, 컴퓨터 이름 등의 정보를 수집했습니다.

SectorE 해킹 그룹들은 주로 이들을 지원하는 국가와 지리적으로 근접한 주변국의 정치, 외교 및 군사 활동 등의 고급 정보를 수집하는 것을 목적으로 합니다. 하지만 최근 이들은 극동 아시아를 포함하는 다른 지역으로 공격 대상을 확대했습니다. 이는 정치, 외교 관련 정보와 더불어 고급 기술 정보들을 획득하기 위한 활동의 비중과 범위를 늘리고 있는 것으로 분석됩니다.

6. SectorL 그룹 활동 특징

올해 1월 1개의 해킹 그룹의 활동이 발견되었으며, 이는 SectorL01 그룹입니다.

SectorL01 그룹은 워터링 홀 공격(Watering Hole Attack) 또는 스피어 피싱 이메일(Spear Phishing Email)을 사용하여 악의적으로 수정된 소프트웨어를 유포했습니다.

SectorL 해킹 그룹은 이들을 지원하는 국가과 지리적으로 근접한 국가들의 정치, 외교 및 군사 활동 등의 고급 정보를 수집하기 위한 목적을 갖습니다. 하지만 최근 이들은 공격 대상 범위를 확대하고 있어, 이는 정치, 외교 관련 정보와 더불어 고급 기술 정보들을 획득하기 위한 활동의 비중과 범위를 늘리고 있는 것으로 분석됩니다.

7. SectorS 그룹 활동 특징

올해 1월 1개의 해킹 그룹의 활동이 발견되었으며 이는 SectorS01 그룹입니다.

SectorS01 그룹의 활동은 미국, 브라질, 콜롬비아, 프랑스, 슬로바키아, 스웨덴, 싱가폴, 독일, 캐나다, 한국, 아르헨티나, 영국에서 발견되었습니다. 공격자는 COVID-19 관련 제약 회사에 정부 기관에서 작성한 것으로 위장한 스피어 피싱 이메일을 전송했으며, 문서로 위장한 실행 파일을 첨부했습니다.

SectorS 해킹 그룹의 목적은 이들을 지원하는 국가와 지리적으로 근접한 국가들에서 정치, 외교 및 군사 활동 등과 관련된 고급 정보를 수집하기 위함으로 분석됩니다.

8. Cyber Crime 그룹 활동 특징

올해 1월 온라인 가상 공간에서 활동하는 사이버 범죄 그룹 중 총 5 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ01, SectorJ03, SectorJ04, SectorJ09와 SectorJ20 그룹입니다.

이들은 현실 세계에서 금전적인 이윤을 확보하기 위해 사용될 수 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행합니다.

SectorJ01 그룹의 활동은 스웨덴, 자메이카, 에콰도르, 미국, 영국, 프랑스, 독일, 말레이시아, 캐나다, 싱가폴, 이스라엘, 인도, 아르헨티나, 터키, 중국, 미얀마, 러시아, 대만, 우루과이, 알바니아, 크로아티아, 멕시코, 페루, 우크라이나, 이탈리아, 세르비아, 네덜란드, 스위스, 스페인, 호주에서 발견되었습니다. 이들은 악성 스크립트를 호스팅하는 쉐어포인트(SharePoint) 디렉토리 링크를 피싱(Phishing) 메일에 포함하여 사용자의 실행을 유도하였으며, 악성 스크립트는 원격 제어 기능을 가진 ‘JSSLoader’를 다운로드 및 실행하여 시스템 제어를 시도했습니다.

SectorJ03 그룹의 활동은 팔레스타인, 중국에서 발견되었습니다. 해당 그룹은 안드로이드 플랫폼을 대상으로 한 악성코드를 사용하여 SMS 정보, 사진, 통화 녹음 등의 정보를 수집했습니다.

SectorJ04 그룹의 활동은 이스라엘, 러시아, 스페인, 중국, 폴란드, 프랑스, 영국, 이탈리아, 캐나다, 독일 및 미국에서 발견되었습니다. 해당 그룹은 라이센스 계약 관련 피싱 메일에 매크로 스크립트가 담긴 악성 문서를 첨부하는 방식으로 클롭(CLOP) 랜섬웨어를 유포했습니다.

SectorJ09 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여 결제 페이지에서 사용자명, 주소, 이메일, 전화번호, 신용카드 지불 정보 등을 수집합니다. 이러한 해킹 방식은 지난 몇 개월 간 변동 없이 사용되었으며, 이번 활동에서 기존에 발견되던 것과 동일한 유형의 자바스크립트 악성코드가 발견되었습니다.

SectorJ20 그룹의 활동은 중국, 인도, 호주, 싱가폴, 체코, 우크라이나, 덴마크, 세르비아에서 발견되었습니다. 해당 그룹은 신용카드, 청구서로 위장한 바로가기 파일을 포함한 압축파일을 피싱 메일에 첨부하였습니다. 바로가기 파일은 압축 파일 내 함께 위치한 바이너리(Binary) 중 하나를 선택하여 특정 문자열(LINE5, VER1, TRU4 등)이 포함된 스크립트 라인을 찾아 실행시킵니다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 RA.global@nshc.net으로 문의해 주시기 바랍니다.