SectorD Group’s Threat Landscape in 2020

개요

2020년 총 17개 SectorD 하위 그룹들의 활동이 발견되었습니다. 이들은 SectorD를 지원하는 정부와 지리적으로 인접하거나, 이들 정부를 반대하는 개인과 국가를 대상으로 정치, 외교 정보와 같은 고급 정보를 수집합니다. 이들은 주로 악성 문서를 첨부한 스피어 피싱 이메일(Spear Phishing Email)과 알려진 취약점을 활용합니다.

이들은 정부 부처, 연구 기관, 통신사업자, 에너지 산업, 대학 등과 관련한 조직 또는 해당 조직에 속해 있는 개인을 공격하며, 안드로이드(Android) 운영체제를 대상으로 하는 악성코드를 사용합니다. 총 17개의 SectorD 그룹 중 SectorD02 그룹의 활동이 2020년 가장 두드러 졌으며, SectorD01 그룹과 SectorD05, SectorD11 그룹의 활동이 그 뒤를 이었습니다.

 

[그림 1 : 2020년 확인된 SectorD 하위 그룹 활동량]

 

[그림 2 : 2020년 SectorD 그룹들의 주요 공격 대상 국가]

 

다음은 2020년 발견된 SectorD 그룹들의 해킹 활동에 대한 타임라인입니다. 

 

[그림 3 : 2020년 SectorD 그룹들의 주요 활동 내역 타임라인]

 

2020년 SectorD 그룹 활동 상세

다음은 2020년 발견된 SectorD 그룹들의 월별 해킹 활동에 대한 상세 내용입니다.

 

JANUARY

총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD01 와 SectorD02 그룹입니다.

SectorD01 그룹의 활동은 바레인, 일본, 영국, 그리스, 인도, 미국, 아랍 에미리트, 프랑스, 독일, 브라질 및 스위스에서 발견되었습니다. 해당 그룹은 와이퍼(Wiper) 악성코드를 사용해 바레인에 위치한 석유 회사를 공격했으며 특정 VPN(Virtual Private Network)의 원격 실행 취약점을 사용해 공격 대상의 네트워크와 VPN 서버에 접근했습니다. 이들은 내부 네트워크에서 도메인 관리자 및 서비스 계정을 확보하고 바이러스 백신 관리 콘솔 서버를 사용해 네트워크에 있는 다른 시스템에 와이퍼 악성코드를 유포했습니다.

SectorD02 그룹의 활동은 브라질, 프랑스, 멕시코, 홍콩, 이라크, 조지아, 인도, 터키에서 발견되었습니다. 해당 그룹은 스피어 피싱 이메일에 MS 엑셀(Excel) 파일 형식의 악성코드를 첨부했으며, ‘난민 건강 관리’ 관련 내용을 주제로 이메일을 작성했습니다.

 

FEBRUARY

총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD01, SectorD05, SectorD12 와 SectorD16 그룹입니다.

SectorD01 그룹의 활동은 쿠웨이트, 레바논, 리비아, 요르단, 사이프러스, 미국, 아르메니아, 시리아, 스웨덴, 터키, 이집트, 아랍 에미리트, 이라크와 알바니아에서 발견되었습니다. 해당 그룹은 스피어 피싱 이메일과 알려진 취약점 등을 사용해 DNS(Domain Name System) 서버에 접근하기 위한 초기 정보를 수집했습니다. 이후 수집한 정보를 이용해 DNS 서버에 접근하고 공격 대상이 해당 그룹의 DNS 서버에 접속하도록 조작했으며, 공격 대상의 요청 시 정상 서비스로 위장한 MitM(Man in the Middle) 서버의 IP를 반환해 인증서와 계정 정보 등을 추가로 수집했습니다.

SectorD05 그룹의 활동은 인도에서 발견되었습니다. 해당 그룹은 스피어 피싱 이메일에 포함된 링크를 통해 공격 대상의 계정 정보를 수집했으며, 정보 수집 후 C2(Command and Control) 서버로 전송하는 기능을 갖는 특정 백도어(Backdoor)를 함께 사용했습니다.

SectorD12 그룹의 활동은 스페인, 독일, 아랍 에미리트, 스웨덴, 폴란드, 네덜란드, 사우디 아라비아, 중국, 이탈리아, 인도, 미국, 이스라엘, 일본, 미국에서 발견되었습니다. 해당 그룹은 에너지 분야를 포함한 ICS(Industrial Control Systems) 환경을 운영 중인 조직을 대상으로 악성코드를 유포했습니다.

SectorD16 그룹의 활동은 싱가폴, 필리핀, 아랍 에미리트, 미국, 사우디 아라비아, 오스트리아, 이탈리아, 헝가리, 폴란드, 폴란드, 프랑스, 오스트레일리아, 레바논, 러시아, 이스라엘, 인도, 독일, 네덜란드, 대만, 이란에서 발견되었습니다. 해당 그룹은 VPN 게이트웨이(Gateway) 시스템의 취약점 CVE-2019-11510, CVE-2018-13379와 CVE-2018-1579을 통해 내부 네트워크에 접근했습니다. 이후 추가 악성코드를 통해 내부 전파(Lateral Movement)를 시도했고 계정 정보 등 수집한 정보를 C2(Command and Control) 서버로 전송했습니다. 이들은 자체 제작한 악성코드와 함께 다양한 오픈 소스(Open Source) 및 상용 소프트웨어를 사용했습니다.

 

MARCH

총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD01, SectorD02 와 SectorD11 그룹입니다.

SectorD01 그룹의 활동은 레바논, 영국, 아일랜드에서 발견되었습니다. 해당 그룹은 MS 엑셀 파일 형식의 악성 문서를 첨부한 스피어 피싱 이메일을 활용했으며, 문서 실행 시 매크로 스크립트를 통해 데이터 유출을 위한 악성코드를 감염 시스템에 설치했습니다.

SectorD02 그룹의 활동은 캐나다, 중국, 조지아, 아르메니아, 한국, 아제르바이잔, 인도, 이라크, 터키, 요르단, 호주에서 발견되었습니다. 해당 그룹은 매크로 스크립트를 포함하는 MS 엑셀 파일 형식의 악성 문서를 스피어 피싱 이메일에 첨부했으며, 문서 실행 시 파워쉘(PowerShell) 스크립트를 통해 하드 코딩 된 C2(Command and Control) 서버로부터 추가 악성코드를 다운로드 했습니다.

SectorD11 그룹의 활동은 이번 3 월 리비아, 터키, 프랑스, 이집트에서 발견되었습니다. 해당 그룹은 ‘코로나 감염자 수 현황 확인’과 같은 다양한 주제를 사용해 안드로이드 환경을 대상으로 하는 악성코드를 유포했습니다.

 

APRIL

총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD02 와 SectorD11 그룹입니다.

SectorD02 그룹의 활동은 팔레스타인, 요르단, 베트남, 터키, 러시아에서 발견되었습니다. 해당 그룹은 매크로 스크립트를 포함하는 MS 워드(Word) 파일 형식의 악성 문서를 스피어 피싱 이메일에 첨부했으며, 문서 실행 시 파워쉘(PowerShell) 스크립트를 통해 감염 시스템의 OS 버전, 네트워크 정보, 컴퓨터 이름, 도메인 이름, 사용자 이름 등의 정보를 수집하고 C2(Command and Control) 서버로 전송했습니다.

SectorD11 그룹의 활동은 시리아와 카타르에서 발견되었습니다. 해당 그룹은 지난 3 월에 이어 지속적으로 코로나 바이러스(COVID-19)와 관련한 주제의 안드로이드 악성코드를 사용했습니다.

 

MAY

총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD02, SectorD04, SectorD05 와 SectorD12 그룹입니다.

SectorD02 그룹의 활동은 이라크, 우크라이나, 캐나다, 러시아, 한국에서 발견되었습니다. 해당 그룹은 매크로 스크립트를 포함하는 MS 엑셀 파일 형식의 악성 문서를 스피어 피싱 이메일에 첨부했으며, 문서 실행 시 ‘WScript.exe’ 파일과 VBS(Visual Basic Script) 파일을 드롭하고 실행했습니다.

SectorD04 그룹의 활동은 이스라엘, 파키스탄, 미국, 프랑스, 네덜란드, 케냐, 대만, 칠레, 남아프리카에서 발견되었습니다. 이들은 주로 통신 사업 분야를 대상으로 정보 수집 목적의 해킹 활동을 수행했습니다. 해당 그룹은 악성 링크를 포함하는 스피어 피싱 이메일을 사용했으며 해당 링크는 이들이 해킹한 웹 사이트에서 악성코드를 다운로드했습니다.

SectorD05 그룹은 코로나 바이러스(COVID-19)를 주제로 하는 스피어 피싱 이메일을 세계 보건 기구(WHO), 뉴스 미디어, 싱크 탱크(Think tank) 조직 등에 전송했습니다. 이메일에 포함된 악성 링크를 클릭하면 사용자의 이메일 계정 정보 등을 수집하기 위한 피싱 페이지로 이동했습니다.

SectorD12 그룹의 활동은 네덜란드에서 발견되었습니다. 해당 그룹은 페이스트빈(Pastebin)을 통해 파워쉘(PowerShell) 스크립트 형식의 악성코드를 유포했으며, 악성코드 실행 시 C2(Command and Control) 서버로부터 추가 악성코드를 다운로드 했습니다.

 

JUNE

총 1 개 해킹 그룹의 활동이 발견되었으며, 이는 SectorD02 그룹입니다.

SectorD02 그룹의 활동은 프랑스, 캐나다, 아프가니스탄, 미국, 불가리아, 터키, 이라크에서 발견되었습니다. 해당 그룹은 ‘코로나 바이러스(COVID-19)와 사이버 공격’, ‘연구 세미나 참석 안내문’, ‘팔레스타인 난민을 위한 유엔 구호 기구’ 등과 관련한 주제의 악성코드를 사용했으며, 악성코드는 PDF 문서 아이콘을 사용해 정상 문서로 위장했습니다.

 

JULY

총 1 개 해킹 그룹의 활동이 발견되었으며, 이는 SectorD02 그룹입니다.

SectorD02 그룹은 PDF 문서 아이콘을 사용해 정상 문서로 위장한 실행 파일 형식의 악성코드를 사용했습니다. 악성코드 실행 시 사용자의 의심을 피하기 위해 ‘이란 제재’와 관련한 주제의 정상 PDF 문서를 실행하고, C2(Command and Control) 서버와 통신하는 악성코드를 드롭했습니다.

 

AUGUST

총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD01 그룹입니다.

SectorD01 그룹의 활동은 파키스탄, 아랍 에미리트, 영국, 사우디 아라비아, 이라크, 바레인, 아르메니아에서 발견되었습니다. 해당 그룹은 주로 중동에 위치한 통신 사업 분야를 공격했으며, 이번 활동에서 윈도우 64 비트 환경을 대상으로 하는 악성코드가 다수 발견되었습니다.

 

SEPTEMBER

총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD01 와 SectorD05 그룹입니다.

SectorD01 그룹은 주로 중동에 위치한 통신 사업 분야를 공격했습니다. 이번 활동에서 해당 그룹이 해킹 활동을 위해 등록한 다수의 도메인 정보가 확인되었으며, 이는 실제 존재하는 구인 정보 사이트의 도메인과 유사했습니다.

SectorD05 그룹의 활동은 이스라엘과 미국에서 발견되었습니다. 해당 그룹은 주로 연구소, 대학, 싱크 탱크(Think tank) 분야를 공격했습니다. 이들은 왓츠앱(WhatsApp)과 링크드인(LinkedIn) 등에서 공격 대상과 ‘웨비나(Webinar) 참석’과 관련한 대화를 통해 신뢰 관계를 형성했습니다. 이후 공격 대상에게 악성 링크를 보내고 자격 증명과 이메일, 연락처 등을 입력하도록 유도했습니다.

 

OCTOBER

총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD01, SectorD10 와 SectorD17 그룹입니다.

SectorD01 그룹의 활동은 중국, 불가리아, 헝가리, 미국, 독일, 스위스, 쿠웨이트, 사우디 아라비아, 아랍 에미리트, 캐나다, 인도, 핀란드에서 발견되었습니다. 이번 활동에서 해당 그룹이 사용한 파워쉘(PowerShell) 기반의 웹 쉘(Web shell)을 확인했으며, 이는 해당 그룹이 최소한 2019 년 4 월 이후 꾸준히 사용하고 있는 유형입니다.

SectorD10 그룹이 생성한 것으로 판단되는 도메인을 다수 확인했으며 이는 대부분 실제 존재하는 대학교의 도메인들과 유사했습니다.

SectorD17 그룹의 활동은 미국, 우크라이나, 이탈리아, 알바니아, 러시아, 중국, 영국, 인도, 독일에서 확인되었습니다. 해당 그룹은 주로 이란 국외 거주자와 반체제 인사를 공격했으며, 템플릿 인젝션(Template Injection)을 사용하는 MS 워드(Word) 파일을 유포했습니다.

 

NOVEMBER

총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD02, SectorD05 와 SectorD09 그룹입니다.

SectorD02 그룹의 활동은 아랍에미리트, 영국, 조지아, 아제르바이잔, 캄보디아, 이스라엘, 아프가니스탄, 베트남, 쿠웨이트, 터키, 이라크, 홍콩, 독일에서 발견되었습니다. 해당 그룹은 아랍에미리트에 위치한 특정 대학의 워크샵과 관련한 MS 워드 파일 형식의 악성 문서를 사용했습니다. 문서 실행 시 시작프로그램(Startup) 폴더에 감염 시스템의 환경 정보를 수집해 C2(Command and Control) 서버로 전송하는 VBS 파일을 생성했습니다.

SectorD05 그룹은 이번 활동에서 사우디 아라비아에서 개최되는 T20(Think 20) 정상 회의 참가자를 공격했으며 스피어 피싱 이메일에 악성 링크를 포함하는 PDF 문서를 첨부했습니다.

SectorD09 그룹의 활동은 아랍에미리트, 프랑스, 홍콩, 러시아에서 발견되었습니다. 해당 그룹은 이번 활동에서 매크로 스크립트를 포함하고 페르시아어로 작성한 MS 워드(Word) 파일 형식의 악성 문서를 사용했습니다. 문서 실행 시 매크로 스크립트를 통해 인코딩 된 데이터를 포함하는 파일을 드롭하고 이는 최종적으로 감염 시스템에 DLL 형식의 악성코드를 생성했습니다.

 

DECEMBER

총 5 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD01, SectorD09, SectorD10, SectorD11 과 SectorD16 그룹입니다.

SectorD01 그룹의 활동은 러시아에서 발견되었습니다. 해당 그룹은 러시아의 에너지 관련 기업을 대상으로 스피어 피싱 이메일을 전송했으며, 사용자 자격 증명을 수집하기 위해 자동차 제조, 부품 공급 업체 및 사물 인터넷(IoT)와 관련한 내용의 피싱 로그인 페이지를 사용했습니다.

SectorD09 그룹의 활동은 중국과 네덜란드에서 발견되었습니다. 해당 그룹은 매크로 스크립트를 포함하고 아랍어로 작성한 MS 워드(Word) 파일 형식의 악성 문서를 사용했습니다. ‘이스라엘 군대 활동’ 주제의 문서는 매크로 스크립트를 통해 실행 압축 파일(Self-extracting file Archive) 형식의 악성코드를 드롭하고 실행했습니다.

SectorD10 그룹의 활동은 영국, 오스트리아, 미국에서 발견되었습니다. 해당 그룹은 주로 대학의 도서관, 포털 페이지로 위장한 피싱 사이트를 사용해 사용자 정보를 수집했습니다.

SectorD11 그룹의 활동은 러시아, 영국, 프랑스, 예멘, 인도, 요르단, 터키, 카자흐스탄, 이라크, 이집트, 미국, 모로코, 튀니지, 이스라엘, 파키스탄, 아랍 에미리트, 브라질, 이탈리아, 우크라이나, 스리랑카에서 발견되었습니다. 해당 그룹은 특정 민족과 특정 산업에서 사용하는 어플리케이션으로 위장한 안드로이드 악성코드를 유포했으며, 이외에 메신저, 뉴스 미디어 등 다양한 주제의 악성코드를 제작했습니다.

SectorD16 그룹의 활동은 이스라엘, 스위스, 미국, 영국, 중국, 네덜란드, 이탈리아에서 발견되었습니다. 해당 그룹은 이스라엘을 대상으로 공급망 공격(Supply Chain Attack)을 수행했으며 감염 시스템에 특정 랜섬웨어(Ransomware)를 유포했습니다. 이들은 내부 네트워크에 접근하기 위해 특정 이메일 서버 취약점, RDP(Remote Desktop Protocol) 취약점과 VPN 취약점을 사용했습니다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 RA.global@nshc.net으로 문의해 주시기 바랍니다.