Monthly Threat Actor Group Intelligence Report, June 2021

이 문서는 2021년도 5월 21일에서 2021년 6월 20일까지 발견된 해킹 그룹 활동과 관련된 이슈를 설명하고 이와 관련된 침해사고 정보와 ThreatRecon Platform 내 위협 이벤트 정보를 포함합니다.

1. SectorA 그룹 활동 특징

올해 6 월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA04, SectorA05와 SectorA07 그룹이다.

SectorA01 그룹의 활동은 인도네시아, 에스토니아, 독일, 러시아, 태국, 몰타, 슬로베니아, 스웨덴, 체코, 오스트리아, 홍콩, 중국, 미국, 이스라엘에서 발견되었다. 해당 그룹은 유럽의 특정 항공기 제작 회사와 관련된 문서로 위장하였다. 악성코드는 지난 5월 특정 군수산업 업체와 자동차 제조 기업을 사칭한 악성코드와 동작 방식이 유사하며 내부에 포함된 매크로 스크립트를 활용하여 DLL 파일을 추가로 생성하고, 시스템 폴더에 포함된 정상 파일을 악용하여 동작한다.

SectorA04 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 이번 활동에서 제조업, 언론 등 다양한 산업 분야를 대상으로 공격을 수행하였으며 MS 워드(Word) 악성코드가 C2 서버로부터 여러 단계에 걸쳐 페이로드를 수신하여 동작한다.

SectorA05 그룹의 활동은 한국, 미국에서 발견되었다. 해당 그룹은 이번 활동에서 국방, 안보, 무역, 에너지, 대학 등 한국의 주요 분야에 종사하고 있는 관계자를 대상으로 공격을 수행하였으며 주로 스피어 피싱 메일을 활용하여 공격 대상의 정보를 수집한다.

SectorA07 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 이번 활동에서 코인 지갑 주소를 주제로 하는 MS 워드 악성코드를 사용하였으며, 내부에 포함된 매크로 스크립트를 통해 C2 서버에서 추가 파일을 수신하여 동작한다.

현재까지 지속되는 SectorA 해킹 그룹들의 목적은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위함이며, 이와 더불어 전 세계를 대상으로 재화 확보를 위한 해킹 활동을 병행한다. 이들의 해킹 활동은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 활동은 당분간 변화 없이 유지될 것으로 판단된다.

2. SectorB 그룹 활동 특징

올해 6 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB22와 SectorB38 그룹이다.

SectorB22 그룹의 활동은 미얀마, 일본, 네덜란드, 대만, 필리핀, 중국, 싱가폴, 태국, 미국에서 발견되었다. 이번 활동에서 특정 동남아시아 국가의 공식 웹 사이트에 대한 공급망 공격(Supply Chain Attack)이 확인되었으며, 웹 사이트에서 압축 파일(ZIP) 형식의 악성코드가 유포되었다.

SectorB38 그룹의 활동은 베트남과 중국에서 발견되었다. 해당 그룹은 베트남 정부의 감사위원회 보고서를 주제로 하는 MS 워드(Word) 악성코드를 사용했으며, 이는 템플릿 인젝션(Template Injection)을 사용해 원격지에서 MS 오피스 수식 편집기 취약점을 포함하는 RTF(Rich Text File)를 다운로드 한다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

올해 6 월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC04, SectorC08와 SectorC13 그룹이다.

SectorC01 그룹은 국제 컨퍼런스를 주제로 하는 MS 워드(Word) 악성코드를 첨부한 스피어 피싱 이메일을 사용했고, 악성코드 실행 시 추가 악성코드를 생성하는 드로퍼(Dropper)를 다운로드 한다. 이들은 추적을 피하기 위해 상용 VPN 서비스를 활용하며 동일한 Exit VPN Node가 인프라 제공 업체 및 클라우드 서비스 업체에서 발견되었다.

SectorC04 그룹의 활동은 미국, 스웨덴, 우크라이나, 러시아, 영국, 우루과이, 터키, 에스토니아, 체코, 헝가리, 슬로바키아에서 발견되었다. 해당 그룹은 미국과 유럽에 위치한 여러 조직을 대상으로 스피어 피싱 이메일을 전송했으며, 이번 공격에서 사용된 C2 서버 주소는 대부분 미국 정부 기관과 관련한 이메일 주소로 위장한 것으로 확인되었다.

SectorC08 그룹의 활동은 우크라이나와 스위스에서 발견되었다. 이번 활동에서도 템플릿 인젝션(Template Injection)을 사용하는 MS 워드 문서가 발견되었으며, ‘발칸 반도의 COVID-19 상황’, ‘입찰 결과서’, ‘우크라이나 에너지 부의 연료 소매 가격 규제’와 같이 다양한 주제가 사용되었다.

SectorC13 그룹의 이번 활동에서 해당 그룹이 사용한 다수의 네트워크 자원이 확인되었으며 발견된 도메인의 일부는 랜섬웨어(Ransomware) 또는 봇넷(Botnet)을 유포하기 위해 사용된 것으로 알려졌다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동 목적은 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

4. SectorD 그룹 활동 특징

올해 6 월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 해당 그룹은 SectorD02, SectorD03, SectorD09, SectorD10 그룹이다.

SectorD02 그룹의 활동은 말레이시아, 브라질에서 발견되었다. 해당 그룹은 지난번 공격과 마찬가지로 매크로가 삽입된 MS 워드(Word) 악성코드를 사용했다.

SectorD03 그룹의 활동은 아제르바이잔, 러시아, 말레이시아, 인도, 루마니아, 독일, 프랑스, 영국, 미국에서 발견되었으며, 해당그룹은 이번 활동에서 정보 탈취형 악성코드를 사용했다.

SectorD09 그룹의 활동은 영국에서 발견되었으며, 해당 그룹은 이란 선거와 관련된 내용을 포함한 MS 워드(Word) 악성코드를 사용했다.

SectorD10 그룹은 대학의 도서관 및 포털 페이지들로 위장한 피싱 사이트를 사용하여 사용자 정보를 수집하는 기존의 공격 방식을 유지했다.

SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.

5. SectorE 그룹 활동 특징

올해 6 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE02 그룹이다.

SectorE02 그룹의 활동은 인도, 아프가니스탄, 영국, 미얀마, 캐나다에서 발견되었다. 해당 그룹은 안드로이드 악성코드를 사용하였으며, 메시징을 지원하는 특정 앱으로 위장하였다. 또한 무역 및 수출(Exports Promotion)과 관련된 파일로 위장한 MS 엑셀(Excel) 악성코드를 사용하였으며 정상적으로 동작 시 실행 파일을 추가로 생성한다.

기존에 SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다.

6. SectorH 그룹 활동 특징

올해 6 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.

SectorH03 그룹의 활동은 미국, 영국, 중국, 인도, 우크라이나에서 발견되었다. 해당 그룹은 사용자의 의심을 피하기 위해 다양한 주제의 미끼 문서를 사용했으며, 최종적으로 크림슨 RAT(Crimson RAT)를 생성해 정보 수집과 같은 악성 행위를 수행했다.

SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.

7. Cyber Crime 그룹 활동 특징

올해 6 월에는 온라인 가상 공간에서 활동하는 총 6 개의 사이버 범죄 그룹이 발견되었으며, 이들은 SectorJ01, SectorJ03, SectorJ04, SectorJ09, SectorJ14, SectorJ20 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적 이윤 확보를 위해 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ01 그룹의 활동은 캐나다, 미국, 칠레, 중국, 홍콩, 프랑스, 영국, 벨기에에서 발견되었다. 해당 그룹은 미국 주류 및 와인 사업 업체와 우편 서비스 제공 업체를 사칭한 MS 엑셀(Excel) 악성코드를 사용했다.

SectorJ03 그룹의 활동은 중국, 팔레스타인, 이스라엘, 홍콩, 미국, 아제르바이잔에서 발견되었다. 해당 그룹은 중동 지역의 외교, 정치와 관련된 주제의 PDF 파일을 사용했으며, PDF 파일 내에는 악성코드 다운로드를 위한 링크가 포함되어 있었다.

SectorJ04 그룹의 활동은 스페인, 독일, 싱가포르, 대만, 인도, 미국, 한국, 호주, 영국, 일본, 이탈리아, 중국, 이란, 우크라이나, 헝가리에서 발견되었다. 해당 그룹은 매크로가 삽입된 MS 엑셀(Excel) 악성코드를 사용했다.

SectorJ09 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있으며, 이번 활동에서는 기존에 발견되던 것과 유사한 유형의 자바스크립트 악성코드가 확인되었다.

SectorJ14 그룹의 활동은 중국, 인도, 핀란드, 일본, 루마니아에서 발견되었으며, 해당 그룹은 이번 활동에서 핀란드 우편 서비스 회사의 안드로이드 앱으로 위장한 악성코드를 사용했다.

SectorJ20 그룹의 활동은 아랍에미리트, 미국, 중국, 영국, 키프로스, 몰타, 네덜란드, 인도네시아, 베트남, 대만, 파키스탄, 이스라엘에서 발견되었다. 해당 그룹은 운전면허증, 여권으로 위장한 바로가기(LNK) 파일 형식의 악성코드를 사용했다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.