Monthly Threat Actor Group Intelligence Report, September 2021

이 문서는 2021년도 8월 21일에서 2021년 9월 20일까지 발견된 해킹 그룹 활동과 관련된 이슈를 설명하고 이와 관련된 침해사고 정보와 ThreatRecon Platform 내 위협 이벤트 정보를 포함합니다.

1. SectorA 그룹 활동 특징

올해 9 월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA04, SectorA05 그룹이다.

SectorA01 그룹의 활동은 미국, 터키, 대만, 영국, 일본, 한국에서 발견되었다. 해당 그룹은 바로가기 파일 형식(LNK)의 악성코드를 지속적으로 유포하고 있다. 사용자의 의심을 피하기 위해 투자은행 및 증권회사로 위장된 문서 외에도 다양한 형태의 문서로 위장하였으며, 과거에 사용한 문서 이미지를 지속적으로 사용하는 것으로 확인된다.

SectorA02 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 이번 활동에서 뉴스 및 미디어 분야에 종사하고 있는 관계자를 대상으로 공격을 수행하였다. SNS(Social Networking Service)를 통해 접근하여 사전 정보를 수집하였으며, 공격 대상이 관심을 가질 만한 주제로 위장된 악성코드를 유포하였다.

SectorA04 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 이번 활동에서 특정 공공기관 및 관공서를 대상으로 공격을 수행하였다. 공격 대상의 홈페이지에 악성 스크립트를 삽입하는 워터링 홀(watering hole) 방식을 사용하였으며 홈페이지에 접근한 사용자는 추가 악성코드에 감염될 것으로 분석된다.

SectorA05 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 이번 활동에서 싱크탱크(Think tank)의 주요 분야에 종사하고 있는 관계자를 대상으로 공격을 수행하였다. 공격에서 활용된 MS 워드 문서는 템플릿 인젝션(Template Injection)을 주로 활용하여 매크로 스크립트를 포함한 워드 파일과 추가 페이로드를 받아와 동작 시킨다.

현재까지 지속되는 SectorA 해킹 그룹들의 목적은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위함이며, 이와 더불어 전 세계를 대상으로 재화 확보를 위한 해킹 활동을 병행한다. 이들의 해킹 활동은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 활동은 당분간 변화 없이 진행될 것으로 판단된다.

2. SectorB 그룹 활동 특징

올해 9 월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB01, SectorB04, SectorB22, SectorB43 그룹이다.

SectorB01 그룹의 활동은 캐나다, 인도, 영국, 프랑스, 오스트리아, 룩셈부르크, 홍콩, 바레인, 미국, 한국, 싱가포르에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 정부기관, 학계, 종교, IT 등 다양한 분야에 종사하고 있는 관계자를 대상으로 공격을 수행하였다. 닷넷(.NET) 로더를 사용하여 감염된 사용자 시스템의 메모리에 악성코드를 로드하여 동작한다.

SectorB04 그룹의 활동은 영국, 미국, 홍콩, 독일, 프랑스, 인도에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 취약점을 악용하여 제조, 금융, 여행 및 관광 등 다양한 분야에 공격을 수행하였다. MS 익스체인지(Microsoft Exchange) 서버를 통해 공격 대상의 네트워크에 연결 후 지속적으로 공격 대상을 모니터링한다.

SectorB22 그룹의 활동은 일본, 영국, 미국에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 특정 국가의 국무회의 및 헌법과 관련된 파일로 위장하여 공격을 수행하였다. 압축 파일로 전달된 악성코드는 사용자의 의심을 피하기 위해 DLL 사이드 로딩(DLL Side Loading) 기법을 사용해 정상 프로그램에 악성 DLL을 로드하여 동작한다.

SectorB43 그룹의 활동은 러시아에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 악성코드가 지속적으로 주기적으로 업데이트가 되고 있는 점이 확인되었다. 업데이트가 됨에 따라 지속적으로 기능이 추가되며 다양한 RAT(Remote Administration Tool) 기능을 수행하게 된다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

올해 9 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC08, SectorC13 그룹이다.

SectorC08 그룹의 활동은 우크라이나, 독일에서 이들의 활동이 발견되었다. 이번 활동에서도 템플릿 인젝션(Template Injection)을 사용하는 MS 워드(Word) 파일 형식의 악성코드가 발견되었다. 또한 특정 포털사이트를 사칭하는 도메인도 확인되었으며, 피싱 페이지를 통해 계정 탈취뿐 아니라, 공격 대상이 어떤 정보를 검색하는지도 수집했다.

SectorC13 그룹의 활동은 캐나다, 폴란드, 독일, 영국, 말레이시아, 미국, 스위스, 카자흐스탄, 인도에서 이들의 활동이 발견되었다. 이번 활동에서 템플릿 인젝션(Template Injection)을 사용하는 MS 워드 문서가 발견되었으며, 국방 관련 내용을 포함시킨 문서는 특정 국제 컨퍼런스 참석자를 대상으로 유포되었다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동 목적은 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

4. SectorD 그룹 활동 특징

올해 9 월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 해당 그룹은 SectorD03, SectorD10, SectorD11, SectorD18 그룹이다.

SectorD03 그룹의 활동은 알제리, 중국, 폴란드, 미국, 영국, 베트남, 튀니지에서 이들의 활동이 발견되었다. 이번 활동에서 정보 탈취용 악성코드와 CPU 전용 채굴 소프트웨어인 CPUminer 도구를 사용했다.

SectorD10 그룹의 활동은 스웨덴에서 이들의 활동이 발견되었다. 해당 그룹은 사용자 정보를 수집하기 위해 대학의 도서관, 포털 페이지들로 위장한 피싱 사이트를 사용했다.

SectorD11 그룹의 활동은 이란, 미국, 알제리, 이라크, 뉴질랜드에서 이들의 활동이 발견되었다. 해당 그룹은 메신저, 뉴스 미디어 등의 다양한 주제를 사용하는 안드로이드 악성코드를 사용했으며, 특정 민족 또는 산업에서 사용하는 어플리케이션으로 위장한 악성코드를 사용하여 공격 대상을 타겟팅(Targeting)하는 양상을 보였다.

SectorD18 그룹의 활동은 파키스탄, 독일, 미국에서 이들의 활동이 발견되었다. 해당 그룹은 인보이스(Invoice)문서로 위장한 MS 워드(Word) 파일 형식의 악성코드를 사용했으며, 최종적으로 백도어 기능을 수행하는 악성파일을 드랍 및 실행한다.

SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.

5. SectorE 그룹 활동 특징

올해 9월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE02, SectorE04, SectorE05 그룹이다.

SectorE02 그룹의 활동은 룩셈부르크, 독일에서 발견되었다. 해당 그룹은 지속적으로 안드로이드 악성코드를 사용하여 공격이 이루어지고 있다. 유포된 악성코드는 동일한 패키지 이름을 가지고 있으며 주로 채팅 앱으로 위장하는 특징을 가지고 있다.

SectorE04 그룹의 활동은 파키스탄, 중국, 인도, 대만, 독일에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 미국과 파키스탄의 관계에 대한 주제를 가진 MS 워드(Word) 악성코드를 사용했으며 템플릿 인젝션(Template Injection)과 취약점을 사용하여 추가적인 파일을 받아와 동작 시킨다.

SectorE05 그룹의 활동은 파키스탄, 미국에서 발견되었다. 해당 그룹은 특정 내용을 포함하고 있는 편지라는 제목으로 악성코드를 유포하였으며 CVE-2018-0798 취약점을 사용하여 감염된 시스템에 추가 파일을 생성한다. 생성된 파일은 추가 파일을 레지스트리에 등록하여 지속성을 유지하고 감염된 시스템을 모니터링한다.

기존에 SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다.

6. SectorH 그룹 활동 특징

올해 9 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH01, SectorH03 그룹이다.

SectorH01 그룹의 활동은 독일, 러시아, 캐나다, 우크라이나, 미국, 카타르, 한국, 중국, 이탈리아, 남아프리카공화국에서 발견되었다. 해당 그룹은 특정 국가의 무역업체로 위장하였으며 주문 목록과 배송 날짜에 대한 내용이 포함되어 있다. 공격 대상이 악성 MS 엑셀(Excel) 문서를 열어보도록 유도하여 폼북(Formbook)으로 알려진 악성코드를 배포하였다.

SectorH03 그룹의 활동은 싱가포르, 이란, 아프가니스탄, 인도, 미국, 영국, 파키스탄에서 발견되었다. 해당 그룹은 남아시아와 중동의 여러 기업을 대상으로 공격을 발견되었다. 특정 국가와의 개발 협정 및 블랙리스트 등 다양한 주제를 사용한 악성 MS 워드(Word), 엑셀(Excel) 파일을 열어 보도록 유도하며 궤이사 RAT(Quasar RAT)로 알려진 악성코드를 배포하였다. 이외에도 군부대 유통체인과 관련된 어플리케이션과 특정 웹 브라우저의 업데이트 파일로 위장한 악성코드를 배포하기도 하였다.

SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.

7. SectorP 그룹 활동 특징

올해 9 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorP02 그룹이다.

SectorP02 그룹의 활동은 칠레, 남아프리카공화국, 인도네시아, 캐나다, 맥시코, 체코, 파나마, 핀란드, 나이지리아, 미국, 아르헨티나, 브라질, 한국, 에콰도르, 콜롬비아에서 발견되었다. 해당 그룹은 남미의 다양한 기업을 대상으로 한 스팸 캠페인을 통해서 RAT(Remote Access Trojan) 악성코드를 배포하였다.

SectorP 해킹 그룹의 해킹 활동은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동이 병행되고 있다. 특히, 인접한 국가들과 외교적, 정치적 그리고 종교적 마찰이 계속되고 있어, 해킹 활동 목적에 따라 주변 국가들의 정부, 군사 및 정치 활동 관련 고급 정보들을 탈취하기 위한 활동들은 향후에도 지속적으로 수행할 것으로 분석된다.

8. SectorS 그룹 활동 특징

올해 9 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorS01 그룹이다.

SectorS01 그룹의 활동은 칠레, 남아프리카공화국, 인도네시아, 캐나다, 맥시코, 체코, 파나마, 핀란드, 나이지리아, 미국, 아르헨티나, 브라질, 한국, 에콰도르, 콜롬비아에서 발견되었다. 해당 그룹은 콜롬비아를 포함한 남미의 다양한 기업을 대상으로 한 스팸 캠페인을 통해서 RAT(Remote Access Trojan) 악성코드를 배포하였다.

현재까지 지속되는 SectorS 해킹 그룹의 해킹 활동 목적은 베네수엘라와 지역적으로 인접한 남아메리카 지역의 국가들에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다.

9. Cyber Crime 그룹 활동 특징

올해 9 월에는 온라인 가상 공간에서 활동하는 총 9 개의 사이버 범죄 그룹이 발견되었으며, 이들은 SectorJ01, SectorJ03, SectorJ06, SectorJ09, SectorJ10, SectorJ14, SectorJ20, SectorJ25, SectorJ26 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적 이윤 확보를 위해 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ01 그룹의 활동은 미국에서 이들의 활동이 발견되었다. 해당 그룹은 지난 활동에서 MS 엑셀(Excel) 파일 형식의 악성코드를 사용해서 JS 스크립트를 드랍 및 실행시켰지만, 이번 활동에서는 JS 스크립트를 압축 포맷 형식으로 배포했다.

SectorJ03 그룹의 활동은 이탈리아, 이스라엘, 페루, 팔레스타인에서 이들의 활동이 발견되었다. 해당 그룹은 특정 국가의 행정기관 교육 인증서로 위장한 악성코드를 사용했으며, 메신저 앱으로 위장한 안드로이드 악성코드를 사용해서 정보 탈취를 시도했다.

SectorJ06 그룹의 활동은 인도, 스페인, 프랑스, 이스라엘, 한국, 싱가폴, 중국, 영국, 캐나다, 미국, 이탈리아, 말레이시아, 아르헨티나, 파키스탄에서 이들의 활동이 발견되었다. 해당 그룹은 마이크로소프트 윈도우에 영향을 미치는 MSHTML 원격 코드 실행 취약점을 사용했으며, 공격 대상 시스템에 코발트 스트라이크(Cobalt Strike)를 배포했다.

SectorJ09 그룹의 활동은 캐나다, 프랑스, 체코, 필리핀, 아랍에미레이트, 싱가폴, 미국에서 이들의 활동이 발견되었다. 해당 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있으며, 이번 활동에서 기존에 발견되던 것과 동일한 유형의 자바스크립트 악성코드가 확인되었다.

SectorJ10 그룹의 활동은 폴란드, 인도에서 해킹 활동이 발견되었다. 해당 그룹은 파워쉘 스크립트 파일 내에 존재하는 바이너리 형태의 PE 포맷의 악성코드를 드랍 및 실행시켰으며, 최종 페이로드는 백도어 악성코드이다.

SectorJ14 그룹의 활동은 대만, 일본에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 일본 운송 회사의 안드로이드 앱으로 위장한 악성코드를 사용했으며, 사진 촬영, 오디오 녹음, 통화 기록 도용, SMS 도용, 연락처 데이터 도용 등 스파이 앱의 기능을 수행한다.

SectorJ20 그룹의 활동은 영국에서 이들의 활동이 발견되었다. 해당 그룹은 운전면허증, 여권 관련 첨부파일로 위장한 바로가기(LNK) 파일 형식의 악성코드를 사용 중이며, 이번 활동에서도 여권 관련 첨부파일로 위장한 악성코드가 발견되었다.

SectorJ25 그룹의 활동은 이탈리아, 인도네시아, 터키, 영국, 캐나다, 이스라엘, 미국, 네덜란드, 독일, 한국, 중국, 러시아에서 이들의 활동이 발견되었다. 해당 그룹은 리눅스 기반 시스템을 대상으로 크립토 재킹(Crypto jacking) 공격을 하고 있으며, 다운로더 스크립트에 의해 설치된 악성코드는 암호화폐 채굴, 스캐닝, 정보 수집 등 다양한 기능을 수행한다.

SectorJ26 그룹의 활동은 한국, 스웨덴, 중국, 미국, 프랑스, 불가리아, 독일, 캐나다, 이탈리아, 파키스탄, 나이지리아, 일본, 홍콩, 호주, 영국, 멕시코, 룩셈부르크, 이스라엘, 온두라스, 과테말라, 헝가리, 스페인, 네덜란드, 브라질, 콜롬비아, 인도, 체코, 터키, 싱가포르, 인도네시아, 말레이시아, 그리스, 파나마, 루마니아, 이집트, 스위스, 뉴질랜드, 세르비아, 모로코, 폴란드, 사우디 아라비아, 태국, 아일랜드, 베트남, 오스트리아, 자메이카, 러시아에서 이들의 활동이 발견되었다. 해당 그룹은 매크로가 삽입된 MS 워드(Word) 파일 형식의 악성코드를 압축파일(ZIP) 형태로 피싱메일에 첨부하여 배포했으며, 압축파일에는 암호를 설정하여 보안 장비 우회를 시도했다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 RA.global@nshc.net으로 문의해 주시기 바랍니다.