Monthly Threat Actor Group Intelligence Report, November 2021

이 문서는 2021년도 10월 21일에서 2021년 11월 20일까지 발견된 해킹 그룹 활동과 관련된 이슈를 설명하고 이와 관련된 침해사고 정보와 ThreatRecon Platform 내 위협 이벤트 정보를 포함합니다.

1. SectorA 그룹 활동 특징

올해 11 월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA05 그룹이다.

SectorA01 그룹의 베트남, 미국, 에스토니아, 아일랜드, 세르비아, 터키에서 발견되었다. 해당 그룹은 리버스 엔지니어(Reverse engineer), 악성코드 분석가(Malware Analyst) 등 보안 연구원이 자주 사용하는 바이너리 코드 분석 도구로 위장한 악성코드를 공격에 활용하였다.

SectorA02 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 이번 활동에서 MS 워드(Word) 파일 형식의 악성코드를 유포하였으며, 매크로 스크립트가 삽입되어 있어 추가로 파일을 생성하고 동작한다.

SectorA05 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 이번 활동에서 취약점을 포함한 워드(Word) 파일 형식의 악성코드를 유포하였으며, 대북 관련 내용을 포함하고 있다.

현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.

2. SectorB 그룹 활동 특징

올해 11 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB03 그룹이다.

SectorB03 그룹의 중국, 체코, 미국에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 암호 관리 솔루션의 취약점을 사용해 방위 산업, 에너지, 교육, 컨설팅 서비스 등 다양한 기술 분야의 종사자를 대상으로 악성코드를 포함한 페이로드(Payload)를 배포한 것으로 확인된다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

올해 11 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC08, SectorC13 그룹이다.

SectorC08 그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 템플릿 인젝션(Template Injection)을 사용하는 MS 워드(Word) 파일 형식의 악성코드를 사용했으며, 특정 국가의 군 검찰청을 대상으로 기소 관련 문서와 연관성 있는 주제를 사용했다.

SectorC13 그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 템플릿 인젝션(Template Injection)을 사용하는 MS 워드(Word) 문서를 사용했으며, 특정 국가의 인구 조사 관련 내용과 정전 협정 관련 주제를 사용했다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 러시아와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

4. SectorD 그룹 활동 특징

올해 11 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 해당 그룹은 SectorD04 그룹이다.

SectorD04그룹의 활동은 미국, 독일, 룩셈부르크, 우크라이나, 캐나다, 루마니아, 벨라루스, 네덜란드, 이탈리아, 이스라엘, 폴란드, 일본, 베트남, 아일랜드, 싱가포르, 홍콩, 영국, 인도, 아르헨티나, 중국, 대만, 아랍 에미리트, 스웨덴, 러시아, 팔레스타인, 태국, 오스트리아, 에티오피아, 덴마크, 그리스, 콜롬비아, 사우디 아라비아, 체코에서 발견되었다. 해당 그룹은 랜섬웨어(Ransomware)를 배포하였으며, 암호로 보호된 저장소에 파일을 복사한 후 암호를 설정하고 원본 파일을 삭제하는 방식을 사용했다.

SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행하였으며, 최근의 SectorD 해킹 그룹들의 해킹 활동 목적은 이란 정부에 반대하는 인물 또는 국가들의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

5. SectorE 그룹 활동 특징

올해 11월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE04 그룹이다.

SectorE01 그룹의 활동은 파키스탄, 스리랑카, 중국, 러시아, 몰디브, 네팔, 영국, 인도, 일본에서 발견되었다. 해당 그룹은 이번 활동에서 MS RTF(Rich Text Format) 파일 형식의 악성코드를 유포했으며 “공군 UN 임무”와 같은 국방 관련 파일로 위장하고 있다.

SectorE02 그룹의 활동은 파키스탄, 독일, 미국에서 발견되었다. 해당 그룹은 지속적으로 안드로이드 악성코드를 사용하여, 장기간에 걸쳐 다양한 정보를 수집하기 위해 인권 운동가들을 대상으로 공격을 수행하였다. 주로 메신저 앱으로 위장한 악성코드를 사용하여 사용자의 휴대폰에 저장된 사진과 파일을 수집하고 메시지 등을 모니터링하였다.

SectorE04 그룹의 활동은 파키스탄에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 자산 신고와 관련된 파일로 위장한 바로가기 파일 형식(LNK)의 악성코드를 사용하였다.

현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.

6. SectorH 그룹 활동 특징

올해 11 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH01, SectorH03 그룹이다.

SectorH01 그룹의 활동은 프랑스, 터키, 네덜란드, 인도, 체코, 캐나다, 미국, 영국, 오스트리아에서 발견되었다. 해당 그룹은 이번 활동에서 다수의 VBScript(Visual Basic Script)를 공격에 활용하였다.

SectorH03 그룹의 활동은 미국, 네덜란드, 독일, 영국, 인도, 러시아, 루마니아, 인도네시아에서 발견되었다. 해당 그룹은 이번 활동에서 시사 뉴스를 미끼로 활용하여 다중 플랫폼을 대상으로 RAT(Remote Administration Tool) 형태의 악성코드를 배포하였다. 이외에도 군 장교의 복무 기록과 군사 훈련 조직 관련 주소록 등으로 위장한 RAT 형태의 악성코드를 배포하였다.

SectorH 해킹 그룹의 해킹 활동은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 여러가지 외교적 마찰이 계속되고 있어, 목적에 따라 인도 정부 기관의 군사 및 정치 관련 고급 정보들을 탈취하기 위한 활동들을 향후에도 지속적으로 수행할 것으로 분석된다.

7. SectorP 그룹 활동 특징

올해 11 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorP02 그룹이다.

SectorP02 그룹의 활동은 캐나다에서 발견되었다. 해킹 그룹은 이번 활동에서 텔레그램(Telegram) 채팅 앱으로 위장한 안드로이드용 악성코드를 공격에 활용하였다.

현재까지 지속되는 SectorP 해킹 그룹의 해킹 활동은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동이 병행되고 있다. 특히, 인접한 국가들과 외교적, 정치적 그리고 종교적 마찰이 계속되고 있어, 해킹 활동 목적에 따라 주변 국가들의 정부, 군사 및 정치 활동 관련 고급 정보들을 탈취하기 위한 활동들은 향후에도 지속적으로 수행할 것으로 분석된다.

8. Cyber Crime 그룹 활동 특징

올해 11 월에는 온라인 가상 공간에서 활동하는 총 11 개의 사이버 범죄 그룹이 발견되었으며, 이들은 SectorJ04, SectorJ06, SectorJ09, SectorJ14, SectorJ25, SectorJ26, SectorJ27, SectorJ28, SectorJ30, SectorJ31, SectorJ32 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ04 그룹의 활동은 베트남, 태국, 영국, 일본, 도미니카 공화국, 미국, 콜롬비아, 브라질, 러시아, 독일, 싱가포르, 헝가리, 중국, 네덜란드, 라트비아, 불가리아, 우크라이나, 세이셸, 인도네시아, 멕시코, 대만, 홍콩, 아르헨티나, 아르메니아, 파키스탄, 인도, 시리아 아랍 공화국, 방글라데시, 필리핀, 마다가스카르, 나이지리아, 벨라루스, 적도 기니, 페루, 프랑스, 남아프리카, 이탈리아, 에콰도르에서 발견되었다. 해당 그룹은 MS 엑셀(Excel) 파일 형식의 악성코드를 사용하였으며, 사용자가 콘텐츠 사용을 클릭할 경우 정상적인 엑셀 기능 중 하나인 Auto_Open 기능을 사용하여 MSI 파일 형식의 악성코드를 다운로드 및 실행한다.

SectorJ06 그룹의 활동은 미국, 한국, 콜롬비아, 일본, 이스라엘, 독일, 그리스, 프랑스, 말레이시아, 영국, 인도, 대만, 체코, 파키스탄, 이탈리아, 캐나다, 브라질, 러시아에서 발견되었다. 해당 그룹은 피싱 메일에 MS 워드(Word) 또는 MS 엑셀(Excel) 파일 형식의 악성코드를 첨부하여 유포하였다. 사용자가 콘텐츠 사용을 클릭할 경우 삽입되어 있는 매크로(Macro)가 동작하며, 최종적인 목표는 시스템에 류크(Ryuk), 콘티(Conti), 이모텟(Emotet) 등의 악성코드를 설치하는 것이다.

SectorJ09 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있으며, 이번 활동에서 기존에 발견되던 것과 동일한 유형의 자바스크립트 악성코드가 확인되었다.

SectorJ14 그룹의 활동은 터키, 이집트, 일본에서 발견되었다. 해당 그룹은 구글 크롬 안드로이드 앱으로 위장한 악성코드를 사용했으며, Amazon VPC에서 호스팅한 무료 동적 DNS서비스인 Duck DNS으로 다수의 URL을 생성하여 안드로이드 악성코드를 배포했다. 해당 악성코드는 스마트폰에서 다양한 정보를 탈취하는 기능을 수행한다.

SectorJ25 그룹의 활동은 중국, 한국, 영국, 러시아, 헝가리에서 발견되었다. 해당 그룹은 리눅스 기반 시스템을 대상으로 크립토재킹(Cryptojacking) 공격을 하고 있으며, 다운로드 기능을 가진 스크립트에서 설치한 악성코드는 암호화폐 채굴, 스캐닝, 정보 수집 등 다양한 기능을 수행한다.

SectorJ26 그룹의 활동은 미국, 독일, 이탈리아, 대한민국, 프랑스, 인도, 우크라이나, 영국, 홍콩, 중국, 남아프리카, 카타르, 캐나다, 캄보디아, 베네수엘라, 싱가포르, 폴란드, 스페인, 터키, 세르비아, 루마니아, 노르웨이, 스웨덴, 그리스, 일본, 콜롬비아, 브라질, 멕시코, 모로코, 대만, 도미니카 공화국, 네덜란드, 페루, 베트남, 나이지리아에서 발견되었다. 해당 그룹은 매크로가 삽입된 MS 워드(Word) 파일 형식의 악성코드를 사용했으며, hta 형식의 스크립트를 생성 및 실행하여 최종적으로 백도어 형태의 악성코드를 설치하여 시스템 권한을 탈취한다.

SectorJ27 그룹의 활동은 러시아, 호주, 아일랜드, 독일, 말레이시아, 프랑스, 영국, 폴란드, 벨라루스, 미국, 카자흐스탄, 일본, 그리스, 한국, 콜롬비아, 포르투갈, 인도네시아, 터키, 라트비아, 헝가리, 이란, 태국에서 발견되었다. 해당 그룹은 렘코스(Remcos) 및 나노코어(NanoCore)와 같은 RAT 형태의 악성코드를 배포하며, 이번 활동에서는 필리핀의 단체를 사칭하여 운송, 제조, 제약, 에너지 기업 등 다양한 산업군을 대상으로 공격을 시도했다.

SectorJ28 그룹의 활동은 영국, 세르비아, 대한민국, 미국, 중국, 프랑스, 캐나다, 스페인, 독일, 아일랜드, 네덜란드, 인도, 모로코, 이스라엘, 러시아 연방, 이라크, 우크라이나, 이탈리아, 베트남, 그루지야, 호주, 핀란드, 대만에서 발견되었다. 해당 그룹은 주로 인보이스로 위장한 피싱 메일로 드리덱스(Dridex) 악성코드를 배포했지만, 이번 활동에서는 넷플릭스(Netfix)의 인기 컨텐츠인 오징어 게임(Squid Game) 테마로 위장한 피싱 메일을 사용했다.

SectorJ30 그룹의 활동은 미국, 콜롬비아, 인도, 이탈리아, 오스트리아, 이스라엘, 프랑스, 캐나다, 튀니지, 독일, 모리셔스, 포르투갈, 싱가포르, 영국, 아일랜드, 말레이시아, 루마니아, 이란, 일본, 호주에서 발견되었다. 해당 그룹은 프랑스의 제약, 제조, 운송 산업군을 대상으로 공격 활동을 지속하고 있으며, 코발트 스트라이크(Cobalt Strike)와 칵봇(QakBot)을 사용하여 최종적으로 프로락(ProLock) 랜섬웨어를 배포했다.

SectorJ31 그룹의 활동은 독일, 프랑스, 미국, 러시아 연방, 이탈리아, 태국, 스페인, 우크라이나, 싱가포르, 아르헨티나, 중국에서 발견되었다. 해당 그룹은 파이브핸즈(FiveHands) 랜섬웨어를 배포했으며, 피해 기업의 규모에 따라 가상화폐인 비트코인(BTC) 수량을 조절했다.

SectorJ32 그룹의 활동은 네덜란드에서 발견되었다. 해당 그룹은 정부기관, 모바일, 핀테크 등 다양한 산업군의 조직으로부터 탈취한 데이터를 다크넷(Darknet) 등에서 판매하는 방식을 사용하며, 이번 활동에서는 가상화폐 거래소로 위장한 피싱 사이트를 생성하여, 해당 피싱 웹사이트에서 이용자들의 가상화폐 지갑 정보를 입력하도록 유도했다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 RA.global@nshc.net으로 문의해 주시기 바랍니다.