Monthly Threat Actor Group Intelligence Report, May 2021
이 문서는 2021년도 4월 21일에서 2021년 5월 20일까지 발견된 해킹 그룹 활동과 관련된 이슈를 설명하고 이와 관련된 침해사고 정보와 ThreatRecon Platform 내 위협 이벤트 정보를 포함합니다.
1. SectorA 그룹 활동 특징
올해 5 월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA04와 SectorA05 그룹이다.
SectorA01 그룹의 활동은 미국, 한국, 러시아, 이스라엘, 네덜란드에서 발견되었다. 해당 그룹은 MS 워드(Word) 악성코드를 지속적으로 유포하고 있으며 사용자의 의심을 피하기 위해 특정 기업에서 진행하는 채용 관련 주제를 사용했다.
SectorA04 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 3 월에 이어 대북 관련 연구 종사자를 대상으로 피싱 메일을 지속적으로 유포하고 있다. 피싱에 활용되는 도메인은 주로 한국의 특정 포털 사이트로 위장하고 있으며 특정 IP 대역을 지속적으로 사용하고 있다.
SectorA05 그룹의 활동은 한국, 러시아에서 발견되었다. 해당 그룹은 외교, 언론, 안보, 통일과 관련된 분야에 종사하고 있는 관계자를 대상으로 지속적으로 공격을 시도하고 있다. 해당 그룹은 정상 파일과 악성코드를 메일에 함께 첨부하였으며, 첨부 파일에 대한 상세 설명을 메일 본문에 포함하여 공격 대상이 첨부된 파일을 신뢰할 수 있도록 했다.
현재까지 지속되는 SectorA 해킹 그룹들의 목적은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위함이며, 이와 더불어 전 세계를 대상으로 재화 확보를 위한 해킹 활동을 병행한다. 이들의 해킹 활동은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 활동은 당분간 변화 없이 유지될 것으로 판단된다.
2. SectorB 그룹 활동 특징
올해 5 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB23 그룹이다.
SectorB23 그룹의 활동은 중국, 홍콩, 이탈리아에서 발견되었다. 해당 그룹은 파이인스톨러(Pyinstaller)로 작성한 악성코드를 사용했으며, 이는 어도비 플래시 플레이어(Adobe Flash Player) 설치 파일로 위장했다. 악성코드 실행 시 C2 서버와 통신하며 네트워크 터널링과 관련한 추가 파일을 다운로드 한다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
올해 5 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC08 그룹이다.
SectorC08 그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 기존의 템플릿 인젝션(Template Injection)을 활용한 공격 방식을 유지했으며, 해킹 활동에 사용된 문서는 우크라이나와 관련한 공문서 또는 대학 강의 평가서를 주제로 작성되었다. 이번 활동에서 MS 워드 문서의 구조를 이중으로 포함하는 방식으로 추가 악성코드를 다운로드 하는 악성 문서가 발견되기도 했다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동 목적은 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
4. SectorD 그룹 활동 특징
올해 5 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 해당 그룹은 SectorD02, SectorD12 그룹이다.
SectorD01 그룹의 활동은 터키, 미국에서 발견되었다. 해당 그룹은 사용자가 의심 없이 파일을 실행하도록 정부기관을 사칭하였으며, COVID-19를 주제로 하는 악성코드를 사용했다. 악성코드 실행 시 감염 시스템 내에 원격 제어형 악성코드를 설치한다.
SectorD12 그룹은 윈도우에서 제공하는 기본 프로그램으로 위장한 악성코드를 사용했으며 이는 지속성 유지, C2 서버 통신 등 다양한 기능을 수행한다.
SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.
5. SectorE 그룹 활동 특징
올해 5 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE02, SectorE04 그룹이다.
SectorE02 그룹의 활동은 루마니아, 스리랑카, 러시아, 중국, 인도에서 발견되었다. 해당 그룹은 취약점을 포함한 RTF(Rich Text Format) 파일을 사용했으며, 템플릿 인젝션(Template Injection) 방식을 사용하여 매크로 스크립트가 포함된 MS 워드(Word) 문서들을 추가로 다운로드한다.
SectorE04 그룹의 활동은 홍콩, 미국, 이탈리아에서 발견되었다. 해당 그룹은 정부, 군사, 에너지, 외교, 대학 및 금융 분야에 종사하고 있는 관계자를 대상으로 스피어 피싱 이메일 공격을 수행했다. 이들은 공격 대상의 의심을 피하기 위해 각 분야에 맞는 도메인 주소를 생성하고 공격에 활용했다.
기존에 SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다.
6. SectorF 그룹 활동 특징
올해 5 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorF01 그룹이다.
SectorF01 그룹의 활동은 베트남, 중국, 홍콩, 우크라이나에서 발견되었다. 해당 그룹은 MacOS에서 동작하는 백도어(Backdoor) 형식의 악성코드를 사용했으며, 이는 명령 코드에 따라 정보 수집, 파일 및 플러그인에 대한 실행과 삭제, 종료 등의 기능을 갖는다.
현재까지 SectorF01 해킹 그룹은 이들을 지원하는 정부와 근접한 국가들의 정치, 외교 및 군사 활동과 같은 고급 정보를 수집하기 위한 목적과, 자국의 경제 발전을 위한 첨단 기술 관련 고급 정보 탈취를 위한 목적을 갖는 것으로 분석된다.
7. SectorH 그룹 활동 특징
올해 5 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.
SectorH03 그룹의 활동은 인도, 중국, 인도네시아에서 발견되었다. 해당 그룹은 악성코드 실행 시 사용자의 의심을 피하기 위해 다양한 주제의 정상 문서와 동영상을 실행했으며, 최종적으로 원격 제어형 악성코드를 감염 시스템에 설치했다. 동일한 기간 동안 특정 메신저 어플리케이션으로 위장한 안드로이드(Android) 악성코드가 발견되기도 했다.
SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.
8. SectorL 그룹 활동 특징
올해 5 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorL01 그룹이다.
SectorL01 그룹의 활동은 중국에서 발견되었다. 해당 그룹은 파티션 복원 프로그램의 설치 파일로 위장한 악성코드를 사용했다.
SectorL 해킹 그룹은 터키와 지역적으로 인접한 국가에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.
9. Cyber Crime 그룹 활동 특징
올해 5 월에는 온라인 가상 공간에서 활동하는 총 5 개의 사이버 범죄 그룹이 발견되었으며, 이들은 SectorJ03, SectorJ06, SectorJ07, SectorJ09, SectorJ14 그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적 이윤 확보를 위해 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ03 그룹의 활동은 이스라엘, 리비아, 레바논, 이라크, 터키, 팔레스타인, 시리아에서 발견되었다. 해당 그룹은 중동 지역을 대상으로 군사 단체를 포함한 광범위한 분야에 대해 표적 공격 활동을 수행했으며, 안드로이드 악성코드를 주로 사용했다.
SectorJ06 그룹의 활동은 영국에서 발견되었다. 이번 기간 동안 해당 그룹이 등록한 새로운 도메인이 다수 확인되었으며, 파워쉘(Powershell) 스크립트를 사용해 추가 악성코드를 생성하고 실행하는 유형의 해킹 활동이 함께 확인되었다.
SectorJ07 그룹의 활동은 스페인, 인도에서 발견되었다. 해당 그룹은 윈도우 기반의 시스템을 대상으로 크립토마이닝(CryptoMining) 캠페인을 수행했다.
SectorJ09 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여 결제 페이지에서 사용자명, 주소, 이메일, 전화번호, 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있으며, 이번 활동에서는 악성코드 유포를 위해 COVID-19 관련 주제를 사용하기도 했다.
SectorJ14 그룹의 활동은 일본, 독일, 프랑스에서 발견되었다. 해당 그룹은 웹 브라우저 업데이트 경고창을 생성하는 HTML 파일을 사용해 안드로이드 사용자가 악성코드를 다운로드 하도록 유도했다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.