Monthly Threat Actor Group Intelligence Report, December 2021

이 문서는 2021년도 11월 21일에서 2021년 12월 20일까지 발견된 해킹 그룹 활동과 관련된 이슈를 설명하고 이와 관련된 침해사고 정보와 ThreatRecon Platform 내 위협 이벤트 정보를 포함합니다.

1. SectorA 그룹 활동 특징

2021년 12 월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA05, SectorA06 그룹이다.

SectorA01 그룹의 활동은 영국, 싱가포르, 한국, 스페인에서 해킹 활동이 발견되었다. 해당 그룹은 특정 기업의 채용 문서로 위장하여 악성코드를 유포하였으며 템플릿 인젝션(Template Injection) 기법을 사용하여 외부 서버에서 템플릿을 다운로드 받아와 악성 행위를 수행하게 된다.

SectorA05 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 이번 활동에서 다수의 공격 대상에게 스피어 피싱(Spear Phishing) 이메일을 전달했다.

SectorA06 그룹의 활동은 홍콩, 미국에서 발견되었다. 해당 그룹은 이번 활동에서 손익계산서와 관련된 파일로 위장한 바로가기 파일 형식(LNK)의 악성코드를 사용하였다.

현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.

2. SectorB 그룹 활동 특징

2021년 12 월에는 총 5 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB03, Sector09, SectorB22, SectorB35, SectorB43 그룹이다.

SectorB03 그룹의 활동은 홍콩, 덴마크, 네덜란드에서 발견되었다. 해당 그룹은 이번 활동에서 기업용 IT 운영 및 서비스 관리 소프트웨어의 취약점을 사용하여 의료, 금융, 전자 및 IT 산업을 표적으로 공격했다.

SectorB09 그룹의 활동은 중국에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 주간 업무보고서로 위장한 MS 엑셀(Excel) 파일 형식의 악성코드를 사용하였다.

SectorB22 그룹의 활동은 베트남, 대만, 미얀마, 러시아에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 디자인 및 영상 편집을 위한 특정 프로그램의 라이브러리 파일로 위장하여 압축 파일 형태로 악성코드를 전달하였다.

SectorB35 그룹의 활동은 미국에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 특정 소프트웨어의 프레임워크에서 임의의 코드를 실행할 수 있는 RCE(Remote Code Execution) 취약점을 사용했다.

SectorB43 그룹의 활동은 몽골에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 특집 뉴스를 주제로 하여 수식 편집기 취약점을 포함한 RTF(Rich Text File) 형식의 악성코드를 사용했다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

2021년 12 월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC04, SectorC08, SectorC13 그룹이다.

SectorC04 그룹의 활동은 인도, 영국, 미국, 벨기에, 캐나다, 스웨덴, 카타르, 뉴질랜드, 싱가포르, 프랑스에서 발견되었다. 해당 그룹은 ISO 이미지 파일에 포함된 LNK 파일로 악성 DLL 파일을 로드하여 모의 해킹 도구인 슬리버(Sliver) 또는 코발트 스트라이크(Cobalt Strike)를 설치한 후 시스템의 제어권을 탈취하는 동일한 전술을 사용하고 있다.

SectorC08 그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 템플릿 인젝션(Template Injection)을 사용하는 MS 워드(Word) 파일 형식의 악성코드를 사용하여 PE(Portable Executable) 형식의 악성코드를 공격 대상 시스템에 설치하고 시스템 제어권을 탈취하는 전술을 사용하고 있다.

SectorC13 그룹의 활동은 우크라이나, 헝가리, 세르비아에서 발견되었다. 해당 그룹은 템플릿 인젝션(Template Injection)을 사용하는 MS 워드 문서를 사용했으며, 러시아 정치인의 업무 보고서 관련 내용으로 위장한 워드 문서가 발견되었다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

4. SectorE 그룹 활동 특징

2021년 12월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE04 그리고 SectorE05 그룹이다.

SectorE01 그룹의 활동은 영국에서 발견되었다. 해당 그룹은 이번 활동에서 보험 관련 양식으로 위장하고 닷넷 프레임워크(.Net Framework) 취약점을 포함한 RTF(Rich Text File) 형식의 악성코드를 사용했다.

SectorE02 그룹의 활동은 영국, 파키스탄, 미국에서 발견되었다. 해당 그룹은 이번 활동에서 MS 파워포인트(PowerPoint) 형식의 파일을 공격에 활용하였다. 파워포인트를 통해 생성되는 악성코드는 2021년 2월부터 동일한 디지털 서명(Digital Signature)을 계속 사용하여 유포되고 있다.

SectorE04 그룹의 활동은 일본에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 스팸 필터 설정과 관련된 파일명으로 위장한 MS 워드(Word) 파일을 공격에 활용하였다. 워드 파일은 템플릿 인젝션(Template Injection) 기법을 사용하여 외부 서버에서 템플릿을 다운로드 한 후 악성행위를 수행하게 된다.

SectorE05 그룹의 활동은 파키스탄, 중국, 영국에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 특정 민간항공위원회와 공문서로 위장한 CHM(Compiled HTML Help) 파일 형식의 악성코드를 유포하였다.

현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 파키스탄 정부와 관련된 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.

5. SectorH 그룹 활동 특징

2021년 12 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH01, SectorH03 그룹이다.

SectorH01 그룹의 활동은 이란, 브라질, 태국, 영국, 에콰도르, 미국, 이스라엘, 캐나다, 나이지리아, 이탈리아, 인도네시아, 러시아, 벨라루스, 리투아니아, 우크라이나, 헝가리, 콜롬비아, 인도, 우루과이, 아일랜드, 슬로베니아, 독일, 멕시코, 한국에서 발견되었다. 해킹 그룹은 이번 활동에서 견적요청, 구매 주문서, 지급 명세서, 예약취소 요청 등의 다양한 주제를 사용한 피싱(Phishing) 이메일을 통해 에이전트 테슬라(Agent Tesla)로 알려진 악성코드를 배포하여 민감한 정보 탈취 행위를 하였다.

SectorH03 그룹의 활동은 이집트, 스웨덴, 멕시코, 사우디아라비아, 우크라이나, 미국, 네덜란드, 오만, 프랑스, 브라질, 러시아, 루마니아, 방글라데시, 인도, 파키스탄에서 발견되었다. 해당 그룹은 이번 활동에서 사용자의 의심을 피하기 위해 인도의 국방대학 군사 문서, 사무국 비망록, 휴직 규정 등으로 위장한 악성코드를 배포하여 정보 탈취 행위를 하였다. 이외에도 유투브(YouTube) 앱으로 위장하여 안드로이드용 악성코드를 배포하여 휴대용 단말기에서 민감한 정보를 탈취하였다.

SectorH 해킹 그룹의 해킹 활동은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 인접한 인도와 여러가지 외교적 마찰이 계속되고 있어, 목적에 따라 인도 정부 기관의 군사 및 정치 관련 고급 정보들을 탈취하기 위한 활동들을 향후에도 지속적으로 수행할 것으로 분석된다.

6. SectorL 그룹 활동 특징

2021년 12 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorL01 그룹이다.

SectorL01 그룹은 사용자의 의심을 피하기 위해 정상 설치 프로그램으로 위장한 악성코드를 배포하여 악성 행위를 하였다.

현재까지 지속되는 SectorL 해킹 그룹의 해킹 활동 목적은 인접한 국가에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.

7. Cyber Crime 그룹 활동 특징

2021년 12 월에는 온라인 가상 공간에서 활동하는 총 8 개의 사이버 범죄 그룹이 발견되었으며, 이들은 SectorJ01, SectorJ03, SectorJ04, SectorJ06, SectorJ09, SectorJ25, SectorJ26, SectorJ28 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ01 그룹의 활동은 네덜란드에서 발견되었다. 해당 그룹은 보호된 문서로 위장한 MS 워드(Word) 파일 형식의 악성코드를 사용했으며, 공격 대상이 문서 본문의 특정 위치를 더블 클릭할 경우 오브젝트에 의해 악성코드가 시스템에 설치 및 실행된다.

SectorJ03 그룹의 활동은 팔레스타인, 브라질, 이스라엘에서 발견되었다. 해당 그룹은 안드로이드 플랫폼을 대상으로 한 악성코드를 사용하여 SMS 정보, 사진, 통화 녹음 등 피해자의 정보 탈취를 시도했다.

SectorJ04 그룹의 활동은 헝가리, 미국, 그리스, 인도, 프랑스, 이탈리아, 캐나다, 독일, 시리아, 크로아티아, 스페인, 중국, 이라크, 네덜란드, 싱가포르, 콜롬비아, 영국에서 발견되었다. 해당 그룹은 MS 워드(Word) 파일 형식의 악성코드를 사용했으며, 사용자가 콘텐츠 사용을 클릭할 경우 VBS 스크립트에 의해 HTA 파일이 드랍 및 실행되며, 최종적으로 아이스드아이디(IcedID) 악성코드를 실행한다.

SectorJ06 그룹의 활동은 스페인, 네덜란드, 스위스, 미국, 인도, 스웨덴, 이탈리아, 독일, 프랑스, 중국, 우크라이나, 홍콩, 대한민국, 영국, 필리핀, 카자흐스탄, 러시아, 칠레, 남아프리카, 아르헨티나, 헝가리, 뉴질랜드, 멕시코, 폴란드에서 발견되었다. 해당 그룹은 IKEA 기업 임직원을 대상으로 공격을 시도한 것으로 알려졌으며, 이들은 이메일을 통해 MS 엑셀(Excel) 파일 형식의 악성코드를 전달하여 랜섬웨어(Ransomware)를 배포했다.

SectorJ09 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있다. 이번 활동에서 기존에 발견되던 것과 동일한 유형의 자바스크립트 악성코드가 확인되었다.

SectorJ25 그룹의 활동은 미국, 인도, 중국, 한국, 러시아, 베트남, 호주, 싱가포르, 프랑스, 방글라데시, 체코, 브라질, 스페인, 터키, 스위스, 인도네시아, 벨기에, 루마니아, 우크라이나, 네덜란드, 폴란드, 일본, 이탈리아, 영국, 핀란드, 그리스, 홍콩, 독일, 시리아, 보스니아, 스웨덴, 멕시코, 아르헨티나, 스리랑카에서 발견되었다. 해당 그룹은 리눅스(Linux) 기반 시스템을 대상으로 취약점을 사용하여 무스틱(Muhstik) 및 미라이(Mirai) 악성코드를 배포하거나, 킨싱(Kinsing) 악성코드를 사용하여 크립토재킹(Crypto jacking) 공격을 시도했다.

SectorJ26 그룹의 활동은 이탈리아, 캐나다, 인도, 미국, 한국, 스웨덴, 인도네시아, 대만, 독일, 중국, 홍콩, 푸에르토리코, 브라질, 싱가포르, 일본, 칠레, 스페인, 아르헨티나, 베트남, 필리핀, 말레이시아, 멕시코, 에콰도르에서 발견되었다. 해당 그룹은 매크로가 삽입된 MS 워드(Word) 파일 형식의 악성코드를 사용했으며, hta 형식의 스크립트를 생성 및 실행하여 최종적으로 백도어 악성코드를 설치하여 시스템 권한을 탈취한다.

SectorJ28 그룹의 활동은 인도, 미국, 스위스, 이탈리아, 영국, 스페인, 한국, 독일, 아일랜드, 오스트리아, 포르투갈에서 발견되었다. 해당 그룹은 매크로가 삽입된 MS 엑셀(Excel) 파일 형식의 악성코드를 휴가 테마를 사용한 피싱 메일에 첨부했으며, 최종적으로 드리덱스(Dridex) 악성코드를 시스템에 설치하여 데이터 탈취 및 랜섬웨어 설치를 시도한다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 RA.global@nshc.net으로 문의해 주시기 바랍니다.