Monthly Threat Actor Group Intelligence Report, July 2021

이 문서는 2021년도 6월 21일에서 2021년 7월 20일까지 발견된 해킹 그룹 활동과 관련된 이슈를 설명하고 이와 관련된 침해사고 정보와 ThreatRecon Platform 내 위협 이벤트 정보를 포함합니다.

1. SectorA 그룹 활동 특징

올해 7 월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA05 그룹이다.

SectorA01 그룹의 활동은 미국, 러시아, 타이완, 스웨덴, 중국에서 발견되었다. 해당 그룹은 유럽의 특정 항공기 제작 회사와 관련된 문서로 위장하였으며, 바로가기 파일 형식(LNK)의 악성코드를 지속적으로 유포하고 있다. 사용자의 의심을 피하기 위해 특정 블록 체인 회사와 관련된 문서로 위장하거나 개발자의 가이드 문서로 위장하였다.

SectorA02 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 이번 활동에서 통일과 관련된 분야에 종사하고 있는 관계자들을 대상으로 공격을 수행하였다. 한국의 특정 공공기관 연구원으로 사칭한 스피어 피싱 이메일은 메일 본문의 악성 링크를 실행하도록 유도하며 공격 대상의 정보 수집을 목적으로 한다.

SectorA05 그룹의 활동은 한국, 미국, 러시아에서 발견되었다. 해당 그룹은 이번 활동에서 국방, 외교안보, 대학 등 한국의 주요 분야에 종사하고 있는 관계자를 대상으로 공격을 수행하였다. 공격에서 MS 워드 문서의 매크로 스크립트와 템플릿 인젝션(Template Injection)을 주로 활용하여 추가 악성코드를 받아와 동작 시킨다. 악성코드는 동작 과정에서 특정 인터넷 포털 업체에서 운영하는 블로그 서비스를 악용하여 C2 서버로 활용하며, 게시글에 첨부된 페이로드를 읽어와 동작 시킨다.

현재까지 지속되는 SectorA 해킹 그룹들의 목적은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위함이며, 이와 더불어 전 세계를 대상으로 재화 확보를 위한 해킹 활동을 병행한다. 이들의 해킹 활동은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 활동은 당분간 변화 없이 유지될 것으로 판단된다.

2. SectorB 그룹 활동 특징

올해 7 월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB08, SectorB22, SectorB25 그리고 SectorB27 그룹이다.

SectorB08 그룹의 활동은 대만에서 발견되었다. 이번 활동에서 발견된 MS 워드(Word) 악성 코드는 매크로 스크립트를 포함하고 있었으며, 이는 정상 프로그램을 사용하여 Base64 인코딩 된 데이터를 디코딩 후 배치(Batch) 파일을 생성한다.

SectorB22 그룹의 활동은 베트남, 한국, 중국에서 발견되었다. 이번 활동에서 지난 2020년 12월에 발생한 베트남에서 발생한 공급망 공격(Supply Chain Attack)에 사용된 것과 유사한 악성코드가 발견되었다. 동일한 해킹 그룹이 작성한 것으로 확인되는 악성코드는 NLS(National Language Support) 확장자로 위장한 서비스 DLL 파일이라는 특징을 가지며, 두 해킹 활동에서 발견된 악성코드가 모두 유사한 소스 코드를 사용함이 확인되었다.

SectorB25 그룹의 활동은 러시아, 일본, 프랑스, 영국에서 발견되었다.  해당 그룹은 “항공우주 관련 비부서 전문가 위원회 성명”을 주제로 하고 수식 편집기 취약점을 포함하는 RTF(Rich Text File)를 사용했다. 해당 문서는 로얄 로드(Royal Road)로 알려진 악성 문서 제작 도구로 작성되었으며 실행 시 “8.t” 파일명을 사용하는 인코딩 된 데이터가 쉘코드를 통해 디코딩 된다.

SectorB27 그룹의 활동은 미국, 러시아, 중국에서 발견되었다. 해당 그룹의 이번 활동에서 특정 소프트웨어 회사에서 서명한 윈도우 루트킷(Rootkit) 악성코드가 발견되었으며 해당 악성코드는 온라인 게임 산업 대상 공격을 수행했을 것으로 알려져 있다. 그 외에도 여러 회사의 디지털 인증서를 사용해 서명된 악성코드가 추가적으로 발견되었다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

올해 7 월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC04, SectorC08 그리고 SectorC09 그룹이다.

SectorC01 그룹의 활동은 중국, 인도네시아, 러시아, 미국, 포르투갈에서 발견되었다. 해당 그룹은 MS 익스체인지 서버(MS Exchange Server) 취약점 CVE-2020-0688, CVE-2020-17144 등을 포함한 원격 코드 실행 취약점과 무차별 대입 공격을 통해 내부 시스템에 접근하는 방식을 주로 사용한 것으로 알려졌다.

SectorC04 그룹의 이번 활동에서 CVE-2021-1879 취약점을 사용해 사파리(Safari) 브라우저를 사용하는 iOS 사용자를 대상으로 해킹 활동을 수행했다.

SectorC08 그룹의 활동은 우크라이나와 헝가리, 미국에서 발견되었다. 이번 활동에서도 템플릿 인젝션(Template Injection)을 사용하는 MS 워드 문서가 발견되었으며, ‘세관 신청서’, ‘경찰 사건 보고서’, ‘군부 내 COVID-19 상황’과 같이 우크라이나와 관련한 다양한 주제가 사용되었다.

SectorC09 그룹의 활동은 우크라이나에서 발견되었다. 이번 활동에서 매크로 스크립트가 포함된 MS 워드(Word) 문서가 발견되었으며 문서는 우크라이나의 “군 회계 정보”와 관련한 주제로 작성되었다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동 목적은 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

4. SectorD 그룹 활동 특징

올해 7 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 해당 그룹은 SectorD01, SectorD15 그룹이다.

SectorD01 그룹의 활동은 미국,  영국, 파키스탄에서 발견되었다. 해당 그룹은 지난번 공격과 유사한 매크로가 삽입된 MS 엑셀(Excel) 파일 형식의 악성코드를 사용하여 공격 대상의 시스템 정보 탈취를 시도했다.

SectorD15 그룹의 활동은 인도, 우크라이나, 영국, 미국에서 발견되었다. 해당 그룹은 미국의 방위 및 항공 우주 산업 관련 군인 및 회사를 대상으로 사회공학적 기법을 사용하여 공격 대상과 신뢰를 구축한 후 직접 공격 대상에게 키로거 및 백도어 악성코드를 전달하는 방법을 사용했다.

SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.

5. SectorE 그룹 활동 특징

올해 7 월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE04 그리고 SectorE06 그룹이다.

SectorE01 그룹의 활동은 파키스탄에서 발견되었다. 해당 그룹은 매크로 스크립트가 포함된 MS 워드 악성코드를 사용하였으며 사용자의 의심을 피하기 위해 결혼 정보와 관련된 문서로 위장하였다.

SectorE02 그룹의 활동은 인도네시아, 스리랑카, 중국, 오스트레일리아, 독일, 벨기에, 캐나다, 영국에서 발견되었다. 해당 그룹은 파키스탄의 테러리즘 및 불안정화에 대한 내용을 가지고 있는 MS 워드 악성코드를 사용했다. 템플릿 인젝션(Template Injection) 기법을 사용하는 악성코드는 C2 서버에서 페이로드를 추가로 다운로드 받아와 악성 행위를 수행한다.

SectorE04 그룹의 활동은 파키스탄에서 발견되었다. 해당 그룹은 파키스탄의 특정 관공서를 주제로 하는 MS 워드(Word) 악성 코드를 사용했으며 취약점을 포함하고 있어 RTF(Rich Text File)을 다운로드 받아와 동작 시킨다.

SectorE06 그룹의 활동은 루마니아에서 발견되었다. 해당 그룹은 안드로이드 악성코드를 사용하여 특정 회사에서 제작된 것으로 위장하고 있으며, 특정 키 를 사용하여 복호화 후 동작한다.

기존에 SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다.

6. SectorF 그룹 활동 특징

올해 7 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorF01 그룹이다.

SectorF01 그룹의 활동은 중국, 인도네시아에서 발견되었다. 해당 그룹은 상용 침투 테스트 도구인 코발트 스트라이크(Cobalt Strike)를 악용한 악성코드를 사용했으며, 시스템에 추가 악성코드를 로드하기 위한 로더로써 역할을 수행한다. 악성코드는 난독화된 쉘코드에 의해 추가 파일을 다운로드 받아와 동작 시킨다.

현재까지 SectorF 해킹 그룹은 이들을 지원하는 정부와 근접한 국가들의 정치, 외교 및 군사 활동과 같은 고급 정보를 수집하기 위한 목적과, 자국의 경제 발전을 위한 첨단 기술 관련 고급 정보 탈취를 위한 목적을 갖는 것으로 분석된다.

7. SectorH 그룹 활동 특징

올해 7 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.

SectorH03 그룹의 활동은 인도, 영국, 중국, 홍콩, 독일에서 발견되었다. 해당 그룹은 이번 활동에서 사용자의 의심을 피하기 위하여 코로나(COVID-19) 주제 관련 이미지 및 문서를 실행하는 실행 압축 파일(SFX) 형식의 악성코드를 공격에 활용하였다.

SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.

8. Cyber Crime 그룹 활동 특징

올해 7 월에는 온라인 가상 공간에서 활동하는 총 7 개의 사이버 범죄 그룹이 발견되었으며, 이들은 SectorJ01, SectorJ06, SectorJ09, SectorJ14, SectorJ20, SectorJ24, SectorJ25 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적 이윤 확보를 위해 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ01 그룹의 활동은 캐나다, 인도, 한국, 미국, 독일, 중국에서 발견되었다. 해당 그룹은 보호된 문서로 위장한 MS 워드(Word) 파일 형식의 악성코드를 사용했으며, 공격 대상이 문서 본문의 특정 위치를 더블 클릭할 경우 오브젝트에 의해 바로가기 파일(LNK)이 실행된다.

SectorJ06 그룹의 활동은 프랑스, 캐나다, 한국, 영국, 네덜란드, 미국, 덴마크에서 발견되었다.  해당 그룹은 이번 활동에서 랜섬웨어를 유포했으며, 금전적인 이윤 확보를 위해 랜섬웨어를 배포하는 방식을 지속적으로 사용하고 있다.

SectorJ09 그룹의 활동은 중국, 이탈리아, 아제르바이잔, 인도, 미국, 우크라이나, 아일랜드, 스페인, 독일, 알바니아, 터키, 카타르, 라트비아, 스위스, 리투아니아, 시리아, 태국, 프랑스, 러시아, 이란, 홍콩, 카자흐스탄, 루마니아, 콜롬비아, 벨라루스, 멕시코, 영국, 네덜란드, 과테말라, 스웨덴, 몰도바, 니카라과, 호주, 슬로베니아, 한국, 리비아, 체코, 폴란드, 캐나다, 싱가포르, 헝가리, 나이지리아, 조지아, 이집트에서 발견되었다.

해당 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있으며, 이번 활동에서 기존에 발견되던 것과 동일한 유형의 자바스크립트 악성코드가 확인되었다.

SectorJ14 그룹의 활동은 일본, 한국에서 발견되었으며, 해당 그룹은 이번 활동에서 일본의 특정 운송 회사 앱으로 위장한 안드로이드 악성코드를 사용했다.

SectorJ20 그룹의 활동은 인도, 러시아, 영국에서 발견되었다. 해당 그룹은 운전면허증, 여권 관련 첨부파일로 위장한 바로가기(LNK) 파일 형식의 악성코드를 사용 중이며, 이번 활동에서도 여권 관련 첨부파일로 위장한 악성코드가 발견되었다.

SectorJ24 그룹의 활동은 스페인, 인도, 영국, 미국에서 발견되었다. 해당 그룹은 다운로드 링크를 포함한 PDF 파일 형식의 악성코드를 사용했으며, 비밀번호가 설정된 압축 파일(RAR) 형식의 추가 악성코드를 다운로드 받도록 유도했다.

SectorJ25 그룹의 활동은 홍콩, 중국, 호주, 네덜란드, 이스라엘, 우크라이나, 캐나다, 미국, 영국, 러시아에서 발견되었다. 해당 그룹은 리눅스 기반 시스템을 대상으로 크립토 재킹(Crypto jacking) 공격을 하고 있으며, 다운로더 스크립트에 의해 설치된 악성코드는 암호화폐 채굴, 스캐닝, 정보 수집 등 다양한 기능을 수행한다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 RA.global@nshc.net으로 문의해 주시기 바랍니다.