Monthly Threat Actor Group Intelligence Report, October 2021
이 문서는 2021년도 9월 21일에서 2021년 10월 20일까지 발견된 해킹 그룹 활동과 관련된 이슈를 설명하고 이와 관련된 침해사고 정보와 ThreatRecon Platform 내 위협 이벤트 정보를 포함합니다.
1. SectorA 그룹 활동 특징
올해 10 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA05 그룹이다.
SectorA01 그룹의 활동은 미국, 중국, 영국, 대만, 일본, 홍콩, 한국에서 발견되었다. 해당 그룹은 9월에 이어 10월에도 바로가기 파일 형식(LNK)의 악성코드를 지속적으로 유포하고 있는 것으로 확인된다.
SectorA05 그룹의 활동은 한국, 일본, 대만, 폴란드에서 발견되었다. 해당 그룹은 이번 활동에서 PIF(Program Information File) 파일 형태의 악성코드를 사용하였으며 코로나19 바이러스와 관련된 파일로 위장하고 있다.
현재까지 지속되는 SectorA 해킹 그룹들의 목적은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위함이며, 이와 더불어 전 세계를 대상으로 재화 확보를 위한 해킹 활동을 병행한다. 이들의 해킹 활동은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 활동은 당분간 변화 없이 진행될 것으로 판단된다.
2. SectorB 그룹 활동 특징
올해 10 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB09, SectorB46 그룹이다.
SectorB09 그룹의 활동은 이번 활동에서 특정 기업을 대상으로 공격을 수행하였으며 MFC(Microsoft Foundation Class) 라이브러리를 사용하는 악성코드를 사용했다. 악성코드는 감염된 시스템의 정보수집과 추가 악성코드를 다운받고 실행할 수 있는 기능이 포함되어 있다.
SectorB46 그룹의 활동은 러시아에서 발견되었다. 해당 그룹은 이번 활동에서 윈도우 커널 드라이브의 제로 데이(Zero-Day) 취약점을 악용하여 방위 산업, 외교 기관 등의 관계자들을 대상으로 공격을 수행하였다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
올해 10 월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC08, SectorC12, SectorC13 그룹이다.
SectorC08 그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 템플릿 인젝션(Template Injection)을 사용하는 MS 워드(Word) 파일 형식의 악성코드가 발견되었으며, 특정 국가의 주요기관 및 국방부와 연관성 있는 주제를 사용했다.
SectorC12 그룹의 활동은 우크라이나, 스페인, 러시아, 중국, 일본, 카자흐스탄에서 발견되었다. 해당 그룹은 고(Go) 언어로 제작된 악성코드도 사용했으며, MS 워드 문서로 위장하기 위해 아이콘을 변경하고 휴가지와 관련된 파일명을 사용하여 공격 대상이 실행하도록 유도했다.
SectorC13 그룹의 활동은 캐나다, 폴란드, 독일, 영국, 말레이시아, 미국, 스위스, 카자흐스탄, 인도에서 발견되었다. 해당 그룹은 템플릿 인젝션(Template Injection)을 사용하는 MS 워드 문서가 발견되었으며, 특정 국가의 연방의회 관련 문서로 위장했다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동 목적은 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
4. SectorD 그룹 활동 특징
올해 10 월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 해당 그룹은 SectorD01, SectorD05, SectorD10 그룹이다.
SectorD01 그룹의 활동은 중국, 이스라엘에서 발견되었다. 해당 그룹은 중동의 항공우주 및 통신 산업의 기업들을 대상으로 하는 RAT(Remote Administration Tool) 형태의 악성코드를 배포하여, 공격 대상 시스템의 제어권 탈취를 시도했다.
SectorD05 그룹의 활동은 네덜란드에서 발견되었다. 해당 그룹은 메신저, 뉴스 미디어 등의 다양한 주제를 사용하는 안드로이드 악성코드를 사용하고 있으며, 이번 활동에서는 VPN 앱으로 위장한 안드로이드 악성코드를 사용했다.
SectorD10 그룹은 사용자 정보를 수집하기 위해 대학의 도서관, 포털 페이지들로 위장한 피싱 사이트를 사용하고 있으며, 이번 활동에서는 스페인의 대학 도서관으로 위장한 피싱 페이지를 사용했다.
SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.
5. SectorE 그룹 활동 특징
올해 10월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE02, SectorE03, SectorE04, SectorE05 그룹이다.
SectorE02 그룹의 활동은 파키스탄, 독일, 미국에서 발견되었다. 해당 그룹은 지속적으로 안드로이드 악성코드를 사용하여 장기간에 걸쳐 정보를 수집하고 있으며, 인권 운동가들을 대상으로 공격을 수행하였다. 주로 메신저 앱으로 위장된 악성코드를 사용하여 사용자의 휴대폰에 저장된 사진과 파일을 수집하고 메시지 등을 모니터링하였다.
SectorE03 그룹의 활동은 인도네시아에서 발견되었다. 해당 그룹은 MS 워드(Word) 파일 형식의 악성코드를 유포하였으며, 매크로 스크립트에 의해 추가 파일을 다운로드 후 실행한다. 최종 페이로드는 감염된 시스템에서 정보 수집 목적으로 파일 확장자를 검사하여 파일을 수집하는 기능 또한 포함되어 있다.
SectorE04 그룹의 활동은 인도네시아에서 발견되었다. 해당 그룹은 템플릿 인젝션(Template Injection)을 사용하는 MS 워드(Word) 파일 형식의 악성코드를 사용하였다.
SectorE05 그룹의 활동은 중국, 파키스탄에서 발견되었다. 해당 그룹은 정부 부처, 에너지, 금융 산업 등을 대상으로 공격을 수행하였으며, 공격 과정에서 CHM(Compiled HTML Help) 파일과 RTF(Rich Text Format) 파일 형식으로 악성코드를 유포하였다.
기존에 SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다.
6. SectorH 그룹 활동 특징
올해 10 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH01, SectorH03 그룹이다.
SectorH01 그룹의 활동은 터키, 스위스, 루마니아, 사우디아라비아, 캐나다, 중국, 한국, 스페인, 영국, 미국에서 발견되었다. 해당 그룹은 이번 활동에서 구매주문서로(PO) 관련 파일명으로 위장한 MS 파워포인트(PowerPoint) 파일을 공격에 활용하였다.
SectorH03 그룹의 활동은 인도, 러시아, 미국, 파키스탄, 싱가포르, 중국, 한국에서 발견되었다. 해당 그룹은 이번 활동에서 특정 파일 공유 서비스의 소프트웨어 파일과 뉴스 앱으로 위장했으며 크림슨(Crimson)으로 알려진 윈도우 및 안드로이드 버전의 악성코드를 공격에 활용하였다.
SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.
7. SectorP 그룹 활동 특징
올해 10 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorP02 그룹이다.
SectorP02 그룹의 활동은 프랑스에서 발견되었다. 해당 그룹은 이번 활동에서 메신저 앱과 보안 앱으로 위장한 안드로이드 악성코드를 공격에 활용하였다.
SectorP 해킹 그룹의 해킹 활동은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동이 병행되고 있다. 특히, 인접한 국가들과 외교적, 정치적 그리고 종교적 마찰이 계속되고 있어, 해킹 활동 목적에 따라 주변 국가들의 정부, 군사 및 정치 활동 관련 고급 정보들을 탈취하기 위한 활동들은 향후에도 지속적으로 수행할 것으로 분석된다.
8. Cyber Crime 그룹 활동 특징
올해 10 월에는 온라인 가상 공간에서 활동하는 총 7 개의 사이버 범죄 그룹이 발견되었으며, 이들은 SectorJ01, SectorJ03, SectorJ04, SectorJ09, SectorJ12, SectorJ25, SectorJ26 그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적 이윤 확보를 위해 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ01 그룹의 활동은 미국에서 발견되었다. 해당 그룹은 설문지로 위장한 자바스크립트를 사용했다. 지난 활동에서 해당 그룹은 MS 엑셀(Excel) 파일 형식의 악성코드를 사용해서 자바스크립트를 생성 및 실행시켰지만, 최근 활동에서는 자바스크립트를 압축 포맷 형식으로 배포하고 있는 것이 특징이다.
SectorJ03 그룹의 활동은 이스라엘, 팔레스타인에서 이들의 활동이 발견되었다. 해당 그룹은 팔레스타인과 이스라엘 간 정치, 이념적 갈등 관련 내용을 포함한 문서로 위장한 악성코드를 사용했다.
SectorJ04 그룹의 활동은 영국, 미국, 이탈리아, 한국, 호주, 인도, 캐나다, 오스트리아, 프랑스, 독일, 중국, 스웨덴, 이란, 이집트, 싱가포르, 스페인, 브라질, 네덜란드, 스위스, 리히텐슈타인, 아랍 에미리트, 일본, 노르웨이, 이스라엘에서 이들의 활동이 발견되었다. 해당 그룹은 다양한 산업군을 대상으로 악의적인 기능을 포함한 매크로 스크립트가 워드 문서를 첨부한 스팸 메일(Spam Mail)을 이용하여 클롭(CLOP) 랜섬웨어를 유포하고 있으며, 스팸 메일에는 인보이스 관련 내용, 코로나 관련 직업 정보 업데이트 상황 등 다양한 주제를 사용했다.
SectorJ09 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있으며, 이번 활동에서 기존에 발견되던 것과 동일한 유형의 자바스크립트 악성코드가 확인되었다.
SectorJ12 그룹의 활동은 독일, 프랑스, 이탈리아, 영국에서 발견되었다. 해당 그룹은 이탈리아 물류, 택배 기업으로 위장한 스팸 메일을 배포했으며, 해당 스팸 메일에는 악의적인 기능을 수행하는 매크로 스크립트가 포함된 MS 엑셀(Excel) 파일 형식의 악성코드를 첨부했다.
SectorJ25 그룹의 활동은 독일, 네덜란드, 미국, 한국, 스웨덴, 이탈리아, 프랑스, 대만, 중국, 스위스, 캐나다, 러시아에서 발견되었다. 해당 그룹은 리눅스 기반 시스템을 대상으로 크립토 재킹(Crypto jacking) 공격을 하고 있으며, 다운로더 스크립트에 의해 설치된 악성코드는 암호화폐 채굴, 스캐닝, 정보 수집 등 다양한 기능을 수행한다.
SectorJ26 그룹의 활동은 프랑스, 대만, 미국, 말레이시아, 싱가포르, 중국, 이탈리아, 스페인, 라트비아, 멕시코, 한국, 이란, 팔레스타인, 독일, 아제르바이잔, 포르투갈, 오스트리아, 스웨덴, 스위스, 캐나다, 벨기에, 인도, 과테말라, 일본, 요르단, 폴란드, 루마니아, 영국, 가나, 룩셈부르크, 호주, 네덜란드, 뉴질랜드, 파키스탄, 태국, 튀니지, 이스라엘, 아르헨티나, 나이지리아, 아랍 에미리트, 러시아, 체코에서 발견되었다. 해당 그룹은 매크로가 삽입된 MS 워드(Word) 파일 형식의 악성코드를 사용했으며, hta 형식의 스크립트를 생성 및 실행하여 최종적으로 백도어 기능의 악성코드를 설치하여 시스템 권한을 탈취한다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.