Monthly Threat Actor Group Intelligence Report, March 2021

이 문서는 2021년도 2월 21일에서 2021년 3월 20일까지 발견된 해킹 그룹 활동과 관련된 이슈를 설명하고 이와 관련된 침해사고 정보와 ThreatRecon Platform 내 위협 이벤트 정보를 포함합니다.

1. SectorA 그룹 활동 특징

올해 3 월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA05와 SectorA07 그룹이다.

SectorA01 그룹의 활동은 한국, 미국, 아랍에미리트, 싱가포르, 오스트레일리아, 러시아, 중국과 프랑스에서 발견되었다. 이들은 기존에 유포하던 바로가기 파일 형식(LNK)의 악성코드를 지속적으로 유포했다. 지난 1 월에는 마이크로소프트(Microsoft)의 소프트웨어 파일로 위장하는 데 이어 사용자의 의심을 피하기 위해 정상 문서를 같이 활용하여 실행을 유도하는 형태로 공격을 확대하고 있는 추세이다.

SectorA04 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 통일부로 사칭해 대북 관련 연구 종사자 대상으로 피싱 메일을 지속적으로 유포하는 것으로 파악되었다. 통일부를 사칭한 유사 공격이 지속적으로 이루어지고 있으며, 이메일의 첨부 파일 또는 메일 본문에 포함된 링크를 통해 사용자의 정보를 탈취하고 악성코드를 유포 하였다. 피싱 주소는 한국의 특정 포털 사이트로 위장하고 있다.

SectorA07 그룹의 활동은 한국 및 중국에서 발견되었다. 이들은 ‘개인정보 이용 동의서’, ‘사례비 지급서’, ‘질문지’, ‘질의서’와 같은 양식으로 위장하여 언론사 및 대북 관련 종사자를 대상으로 공격을 수행하였다. 해당 그룹은 주로 한글(HWP) 문서를 악용했지만 최근 워드(Word) 문서를 유포하는 형태로 공격을 확대하고 있는 추세이다.

현재까지 지속되는 SectorA 해킹 그룹들의 목적은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위함이며, 이와 더불어 전 세계를 대상으로 재화 확보를 위한 해킹 활동을 병행한다. 이들의 해킹 활동은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 활동은 당분간 변화 없이 유지될 것으로 판단된다.

2. SectorB 그룹 활동 특징

올해 3 월에는 총 7 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB01, SectorB03, SectorB10, SectorB22, SectorB23, SectorB25 와 SectorB35 그룹이다.

SectorB01 그룹의 활동은 인도, 대만, 미국, 필리핀, 인도네시아와 이란에서 발견되었다. 해당 그룹은 인도의 전력 공급 발전소와 같은 주요 인프라를 공격했으며, 이번 활동에서 공격에 사용한 것으로 판단되는 도메인이 다수 발견되었다. 이번 기간 동안 MS 익스체인지(Exchange) 취약점을 사용한 공격이 발견되기도 했으며 SectorB01 그룹은 기존에 사용하던 쉐도우패드(ShadowPad) 악성코드와 함께 미미캐츠(Mimikatz) 같은 다양한 도구들을 공격에 사용했다.

SectorB03 그룹의 활동은 홍콩, 대만, 중국, 미국에서 발견되었다. 해당 그룹 역시 MS 익스체인지 서버의 취약점을 사용했으며 SysUpdate 백도어(Backdoor), NETBIOS 네임 서버를 검색하는 도구와 HTTP 터널링(Tunnelling)을 수행하기 위한 도구를 함께 사용했다.

SectorB10 그룹은 MS 익스체인지 서버 취약점을 사용했으며, 이번 해킹 활동에서 과거 사용했던 델파이(Delphi)로 작성된 악성코드가 함께 발견되었다.

SectorB22 그룹의 활동은 파키스탄과 베트남에서 발견되었다. 이들은 MS 익스체인지 서버의 취약점을 사용해 공공 자원 공급 회사를 공격했다. 이번 활동에서 어도비 플래시 플레이어(Adobe Flash Player)의 설치 파일로 위장한 악성코드가 발견되기도 했다.

SectorB23 그룹의 활동은 독일에서 발견되었다. 해당 그룹 역시 MS 익스체인지 서버의 취약점을 사용했으며, 이번 공격에서 플러그엑스(PlugX) 악성코드가 함께 발견되었다.

SectorB25 그룹의 활동은 네덜란드와 러시아에서 발견되었다. 해당 그룹 역시 MS 익스체인지 서버의 취약점을 사용해 동유럽의 사이버 보안 컨설팅 회사 등을 공격했다.

SectorB35 그룹의 활동은 인도, 이탈리아, 캐나다, 이란, 벨기에, 미국, 스페인, 스위스, 핀란드, 아랍에미리트, 이스라엘, 네덜란드, 폴란드, 오스트리아, 터키, 독일, 헝가리, 중국 및 한국에서 발견되었다. 해당 그룹은 MS 익스체인지 서버 취약점을 사용해 크립토마이닝(CryptoMining) 악성코드를 유포했다. 이들은 마이닝 악성코드 외에 랜섬웨어(Ransomware)와 봇넷(Botnet) 악성코드 유포를 위해 해당 취약점을 사용하였다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

올해 3 월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC08, SectorC12 와 SectorC13 그룹이다.

SectorC08 그룹의 활동은 우크라이나, 미국, 요르단, 벨라루스와 캐나다에서 발견되었다. 해당 그룹은 기존의 템플릿 인젝션(Template Injection)을 활용한 공격 방식을 유지했으며, 이번 활동에서 우크라이나 국경 수비대를 대상으로 하는 스피어 피싱 이메일(Spear Phishing Email)이 발견되었다.

SectorC12 그룹의 활동은 덴마크, 키르기스스탄, 카자흐스탄, 우크라이나, 몰도바, 러시아 연방, 타지키스탄, 투르크메니스탄, 벨라루스, 아르헨티나, 스위스, 그루지야, 아제르바이잔, 아르메니아, 스웨덴, 오스트리아, 포르투갈, 호주, 스페인, 이탈리아, 프랑스, 멕시코, 영국, 독일, 파나마, 네덜란드, 캐나다, 미국과 우즈베키스탄에서 발견되었다. 해당 그룹은 전 세계 여러 정부 및 주요 기업들의 내부 환경 관련 정보를 수집하기 위한 목적으로 특정 IT 인프라 관리 소프트웨어의 취약점을 악용하여 해킹 활동을 수행했다.

SectorC13 그룹의 활동은 스페인, 프랑스, 벨라루스, 러시아, 쿠웨이트와 싱가폴에서 발견되었다. 해당 그룹은 다양한 정부기관에서 사용하는 공문서로 위장한 MS 워드 문서를 사용했으며, 실행 시 C2 서버로부터 파워쉘(PowerShell) 또는 VBScript와 같은 스크립트를 다운로드 한다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동 목적은 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

4. SectorD 그룹 활동 특징

올해 3 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 해당 그룹은 SectorD01 과 SectorD02 그룹이다.

SectorD01 그룹의 활동은 인도와 네덜란드에서 발견되었다. 해당 그룹은 이번 활동에서 EWS(Exchange Web Services)를 C2 서버로 사용한 공격이 확인되었다.

SectorD02 그룹의 활동은 영국, 미국, 인도, 아제르바이잔, 바레인, 이스라엘, 사우디아라비아, 아랍에미리트와 독일에서 발견되었다. 해당 그룹은 중동 국가를 대상으로 워드 문서 또는 이메일 본문 내 링크를 통해 악성파일 다운로드를 유도했다.

SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행하였으며, 최근의 SectorD 해킹 그룹들의 해킹 활동 목적은 정부에 반대하는 인물 또는 국가들의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.

5. SectorE 그룹 활동 특징

올해 3 월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE02, SectorE04 와 SectorE05 그룹이다.

SectorE02 그룹의 활동은 파키스탄, 스리랑카, 러시아, 네덜란드, 인도, 중국과 아랍에미리트에서 발견되었다. 이번 활동에서 해당 그룹은 안드로이드 악성코드를 사용하였으며, 이는 중국의 유명 IT 기업과 관련된 앱으로 위장하였다.

SectorE04 그룹의 활동은 싱가포르, 독일 및 우크라이나에서 이들의 활동이 발견되었다. 해당 그룹은 바로가기 파일 형식(LNK)의 악성코드를 사용하여 C2 서버에서 다른 악성코드를 다운로드 후 실행한다. 또한, 정상 문서로 위장한 RTF(Rich Text Format) 문서 형태의 악성코드를 사용하여 내장된 DLL 파일을 로드 하는 방식의 공격이 확인되었다.

SectorE05 그룹의 활동은 홍콩에서 발견되었다. 이번 활동에서 해당 그룹은 도움말 파일 형식인 CHM(Compiled HTML File) 파일을 사용하여 공격에 활용하였다.

현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 파키스탄 정부와 관련된 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.

6. SectorH 그룹 활동 특징

올해 3 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.

SectorH03 그룹의 활동은 이탈리아, 러시아, 인도, 일본, 홍콩, 파키스탄, 인도네시아, 아르헨티나, 영국 및 불가리아에서 발견되었다. 이들은 인도의 ‘상공회의소’에서 작성한 것으로 위장한 MS 엑셀 문서를 사용하였으며, 문서에 포함된 오브젝트(Object)를 통해 SectorH03 그룹이 자주 사용하는 악성코드인 크림슨 RAT(Crimson RAT)를 생성 및 실행한다.

SectorH 해킹 그룹의 해킹 활동은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 인접한 인도와 여러가지 외교적 마찰이 계속되고 있어, 목적에 따라 인도 정부 기관의 군사 및 정치 관련 고급 정보들을 탈취하기 위한 활동들을 향후에도 지속적으로 수행할 것으로 분석된다.

7. Cyber Crime 그룹 활동 특징

온라인 가상 공간에서 활동하는 사이버 범죄 그룹은 이번 3 월에는 총 6 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ03, SectorJ04, SectorJ06, SectorJ09, SectorJ10 와 SectorJ14 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ03 그룹의 활동은 팔레스타인과 미국에서 발견되었다. 해당 그룹은 이번 활동에서 팔레스타인 인권 운동가의 설문 조사 내용을 포함한 악성 문서를 사용한 공격이 확인되었다. 

SectorJ04 그룹의 활동은 체코와 미국에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 이력서 관련 내용을 포함하고 있다.

SectorJ06 그룹의 활동은 터키, 이집트, 프랑스, 일본, 파키스탄, 한국, 방글라데시, 브라질, 독일, 오스트리아, 미국, 스위스와 브루나이에서 발견되었다. 해당 그룹은 이번 활동에서 류크(Ryuk) 랜섬웨어를 배포한 것이 확인되었다.

SectorJ09 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이 지에서 사용자명, 주소, 이메일, 전화번호 및 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있으며, 이번 활동에서는 기존에 발견되던 것과 동일한 유형의 자바스크립트 악성코드가 확인되었다.

SectorJ10 그룹의 활동은 이탈리아, 파나마, 리코, 남아프리카, 캐나다, 네덜란드, 미국, 멕시코, 러시아, 독일에서 발견되었다. 해당 그룹은 지속적으로 류크(Ryuk) 랜섬웨어를 배포하는 것이 확인되고 있다.

SectorJ14 그룹의 활동은 한국 및 독일에서 발견되었다. 해당 그룹은 이번 활동에서 크롬(Chrome) 웹 브라우저 업데이트 파일로 위장한 안드로이드 악성코드를 사용한 공격이 확인되었다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 RA.global@nshc.net으로 문의해 주시기 바랍니다.