Monthly Threat Actor Group Intelligence Report, April 2021

이 문서는 2021년도 3월 21일에서 2021년 4월 20일까지 발견된 해킹 그룹 활동과 관련된 이슈를 설명하고 이와 관련된 침해사고 정보와 ThreatRecon Platform 내 위협 이벤트 정보를 포함합니다.

1. SectorA 그룹 활동 특징

올해 4 월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA05와 SectorA07 그룹이다.

SectorA01 그룹의 활동은 대만, 홍콩, 이탈리아, 중국, 일본, 프랑스, 한국, 스웨덴, 네덜란드, 베트남, 영국, 포르투갈, 오스트레일리아, 미국에서 발견되었다. 해당 그룹은 MS 워드(Word) 악성 문서를 지속적으로 유포했으며 사용자의 의심을 피하기 위해 신청서, 지급서와 같은 특정 양식으로 위장했다. 악성 문서는 실행 시 내부에 포함된 BMP 파일과 매크로 스크립트를 통해 추가 악성코드를 생성하고 실행한다.

SectorA05 그룹의 활동은 한국, 홍콩, 대만에서 발견되었다. 해당 그룹은 주로 외교, 국방, 안보, 통일 분야 종사자를 대상으로 공격을 시도했다. 악성 문서는 특정 연구소에서 매월 출간하는 연구 보고서로 위장했으며, 템플릿 인젝션(Template Injection) 방식을 사용해 매크로 스크립트가 포함된 MS 워드 문서들을 추가로 다운로드한다.

SectorA07 그룹은 러시아에서 근무하는 대북 관련 종사자를 대상으로 공격을 시도했으며, 악성 문서는 이들이 관심을 가질 만한 한국과 북한의 상황에 대한 내용을 포함한다.

현재까지 지속되는 SectorA 해킹 그룹들의 목적은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위함이며, 이와 더불어 전 세계를 대상으로 재화 확보를 위한 해킹 활동을 병행한다. 이들의 해킹 활동은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 활동은 당분간 변화 없이 유지될 것으로 판단된다.

2. SectorB 그룹 활동 특징

올해 4 월에는 총 5 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB09, SectorB14, SectorB23, SectorB25, SectorB37 그룹이다.

SectorB09 그룹의 활동은 대만과 독일에서 발견되었다. 해당 그룹은 ELF(Executable and Linkable Format) 파일 형식의 플리드(PLEAD) 악성코드를 사용해 감염 시스템 정보를 수집하고, OpenSSL을 사용해 암호화 된 C2 서버 통신을 수행했다. 

SectorB14 그룹의 활동은 독일, 스페인, 중국, 홍콩, 슬로바키아, 베트남에서 발견되었다. 해당 그룹은 코로나 바이러스(COVID-19) 등 다양한 주제의 MS 워드 문서를 사용했으며, 문서 내 포함된 매크로 스크립트는 정상 실행 프로그램, DLL 파일 형태의 악성코드, 정상 문서, 인코딩 된 데이터를 포함하는 CAB 파일을 실행한다. 최종적으로 정상 실행 프로그램이 악성 DLL 파일을 로드하고 C2 서버와 통신을 수행한다.

SectorB23 그룹의 활동은 네팔, 러시아, 마케도니아, 호주, 카자흐스탄, 스위스, 우크라이나, 미국, 아프가니스탄, 이탈리아, 인도, 체코에서 발견되었다. 해당 그룹은 MS 익스체인지(Exchange) 서버 취약점을 통해 다양한 산업군을 대상으로 광범위한 해킹 활동을 수행했다. 이들은 감염 대상 시스템에 플러그엑스(PlugX) 악성코드를 배포했으며, 해킹 활동에 사용한 도메인 중 다수가 특정 호스팅 업체를 통해 등록되었다.

SectorB25 그룹의 활동은 러시아, 미국, 몽골에서 발견되었다. 해당 그룹은 스피어 피싱 이메일(Spear Phishing Email)에 취약점을 포함한 RTF(Rich Text Format) 파일을 첨부했으며 러시아의 잠수함 전문 설계 회사를 대상으로 해킹 활동을 수행했다. 

SectorB37 그룹의 활동은 체코, 방글라데시, 중국에서 발견되었다. 해당 그룹은 매크로 스크립트를 포함한 MS 워드 문서를 사용했으며 동남아시아 특정 도시의 고속 국도를 주제로 하는 문서 파일명을 사용했다. 매크로 스크립트가 생성하는 VBS 파일은 마이크로소프트의 스크립트 인코더를 통해 인코딩 되어 있었으며, 실행 시 WMI(Windows Management Instrumentation) 서비스를 사용해 시스템 정보를 수집하고 암호화된 C2 통신을 수행했다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

올해 4 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC04, SectorC08 그룹이다.

SectorC04 그룹의 활동은 홍콩, 캐나다, 독일, 미국에서 발견되었다. 이번 해킹 활동에서 특정 IT 인프라 관리 소프트웨어의 공급망 공격과 관련한 여러 악성코드가 확인되었다. 발견된 악성코드는 고(GO) 언어로 작성된 실행 파일, C2 서버에서 페이로드를 다운로드 하는 VBS 파일, 차이나 초퍼(China Chopper)로 알려진 웹쉘(WebShell)이며, 해당 공급망 공격에 대한 피해 규모는 현재까지도 여러 보안 업체에서 조사 중인 상황인 것으로 알려져 있다.

SectorC08 그룹의 활동은 우크라이나, 러시아, 벨리즈, 크로아티아에서 발견되었다. 해당 그룹은 기존의 템플릿 인젝션(Template Injection)을 활용한 공격 방식을 유지했으며, 해킹 활동에 사용된 문서의 대부분은 우크라이나 내부의 군 관련 활동과 군인에 대한 연금 등의 주제를 갖는다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동 목적은 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

4. SectorD 그룹 활동 특징

올해 4 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 해당 그룹은 SectorD01 그룹이다.

SectorD01 그룹의 활동은 네덜란드에서 발견되었다. 해당 그룹은 기존에 발견되던 것과 동일한 유형의 닷넷(DOTNET) 악성코드를 사용했으며, 악성코드는 EWS(Exchange Web Services)를 C2 서버로 사용한다.

SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.

5. SectorE 그룹 활동 특징

올해 4 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE02, SectorE06 그룹이다.

SectorE02 그룹의 활동은 홍콩, 중국, 스리랑카에서 발견되었다. 해당 그룹은 동영상을 무료로 제공해주는 ‘HD Movies’ 앱으로 위장한 안드로이드(Android) 악성코드를 공격에 사용했다. 또한 파키스탄의 원자력위원회(Pakistan Atomic Energy Commission, PAEC)와 관련된 MS 엑셀(Excel) 문서로 위장한 악성코드가 동일한 기간 내 발견되었다.

SectorE06 그룹의 활동은 독일, 아랍에미리트, 중국에서 발견되었다. 해당 그룹은 취약점을 포함한 RTF(Rich Text Format) 문서와 MS 워드 문서를 주로 사용했다. 파키스탄의 내무부 산하 행정기관인 NACTA(National Counter Terrorism Authority)와 관련된 문서로 위장한 악성코드는 템플릿 인젝션(Template Injection) 방식을 사용하여 매크로 스크립트가 포함된 MS 워드 문서들을 추가로 다운로드했다.

기존에 SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다.

6. SectorF 그룹 활동 특징

올해 4 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorF01 그룹이다.

SectorF01 그룹의 활동은 미얀마와 캐나다에서 발견되었다. 해당 그룹은 이번 활동에서 정부 기관에 종사하고 있는 관계자를 대상으로 공격을 시도했으며, 공격에 사용된 압축 파일 형식의 악성코드는 사용자의 의심을 피하기 위한 정상 문서와 실행 파일 형식의 악성코드를 포함했다.

현재까지 SectorF01 해킹 그룹은 이들을 지원하는 정부와 근접한 국가들의 정치, 외교 및 군사 활동과 같은 고급 정보를 수집하기 위한 목적과, 자국의 경제 발전을 위한 첨단 기술 관련 고급 정보 탈취를 위한 목적을 갖는 것으로 분석된다.

7. SectorH 그룹 활동 특징

올해 4 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.

SectorH03 그룹의 활동은 인도, 중국, 영국, 한국, 싱가폴, 네덜란드에서 발견되었다. 해당 그룹은 최근 인도의 군 관련 조직 대상 해킹 활동을 지속적으로 수행하고 있다. 이번 활동에서 PDF 문서로 위장한 바로가기(LNK) 파일이 발견되었으며, 이는 파일 실행 시 C2 서버로부터 추가적인 페이로드(Payload)를 다운로드 한 후 감염 시스템에 DLL 파일 형태의 악성코드를 생성한다. 최종적으로 해당 DLL 파일은 정상 파일에 DLL 사이드 로딩(DLL Side Loading) 방식을 사용해 로드 된다.

SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.

8. Cyber Crime 그룹 활동 특징

올해 4 월에는 온라인 가상 공간에서 활동하는 총 4 개의 사이버 범죄 그룹이 발견되었으며, 이들은 SectorJ01, SectorJ03, SectorJ06, SectorJ09 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적 이윤 확보를 위해 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ01 그룹은 해킹 활동을 위한 새로운 도메인을 다수 등록했으며, 해당 도메인을 사용한 코발트 스트라이크(Cobalt Strike) 도구가 확인되었다.

SectorJ03 그룹의 활동은 팔레스타인에서 발견되었다. 해당 그룹은 이번 활동에서 팔레스타인 대선과 관련된 내용을 포함한 악성 문서를 사용하였다.

SectorJ06 그룹의 활동은 스페인, 인도에서 발견되었다. 해당 그룹은 해킹 활동을 위한 새로운 도메인을 다수 등록했으며, 해당 도메인을 사용한 코발트 스트라이크(Cobalt Strike) 도구가 확인되었다.

SectorJ09 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여 결제 페이지에서 사용자명, 주소, 이메일, 전화번호, 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있으며, 이번 활동에서 기존에 발견되던 것과 동일한 유형의 자바스크립트(Javascript) 악성코드가 확인되었다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 RA.global@nshc.net으로 문의해 주시기 바랍니다.