Monthly Threat Actor Group Intelligence Report, January 2022 (KOR)

이 문서는 2021년도 12월 21일에서 2022년 1월 20일까지 발견된 해킹 그룹 활동과 관련된 이슈를 설명하고 이와 관련된 침해사고 정보와 ThreatRecon Platform 내 위협 이벤트 정보를 포함합니다.

1. SectorA 그룹 활동 특징

2022년 1 월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA02, SectorA05, SectorA07 그룹이다.

SectorA02 그룹의 활동은 한국에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 대북 분야 종사자를 대상으로 공격을 수행하였으며, 카드사의 요금 명세서로 위장한 피싱 메일을 사용하였다.

SectorA05 그룹의 활동은 한국, 불가리아에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 대북과 관련된 제목으로 위장하여 한글 파일 형태(HWP)의 악성코드를 유포하였다.

SectorA07 그룹의 활동은 러시아에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 특정 국가의 정부기관 및 외무부 관계자를 대상으로 스피어 피싱(Spear Phishing) 메일을 전달했다.

현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.

2. SectorB 그룹 활동 특징

2022년 1 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB03, SectorB43 그룹이다.

SectorB03 그룹의 활동은 한국, 미국, 중국, 영국, 브라질, 홍콩, 일본, 세르비아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 “소프트웨어 엔지니어”, ”유지보수 엔지니어”, “이력서” 등 IT 업계 종사자가 관심을 가질 수 있는 테마를 사용했다.

SectorB43 그룹의 활동은 파키스탄, 인도, 베트남, 러시아, 일본에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 이터널블루(EternalBlue)를 활용하여 특정 국가의 민간 기업을 대상으로 공격을 수행하였다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

2022년 1 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC08 그룹이다.

SectorC08 그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 템플릿 인젝션(Template Injection)을 사용하는 MS 워드(Word) 파일 형식의 악성코드를 사용하여 PE(Portable Executable) 형식의 악성코드를 공격 대상 시스템에 설치하고 시스템 제어권을 탈취하는 전술을 사용하고 있다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

4. SectorD 그룹 활동 특징

2022년 1 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD02, SectorD05 그룹이다.

SectorD02그룹의 활동은 사우디아라비아, 러시아, 이란, 미국, 아르메니아, 터키, 오스트리아, 독일에서 발견되었다. 해당 그룹은 특정 대학 워크샵과 관련된 문서로 위장한 악성코드를 배포하였으며, 감염 시스템의 기본 환경 정보를 수집했다.

SectorD05그룹은 Log4j 취약점을 악용했으며, 시스템에 침투한 이후 CharmPower라는 새로운 파워쉘(PowerShell) 기반 백도어를 사용하여 시스템 정보 수집이나 명령제어 같은 추가 악성행위를 수행했다.

SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.

5. SectorE 그룹 활동 특징

2022년 1월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE04, SectorE05 그룹이다.

SectorE01 그룹의 활동은 중국, 불가리아에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 특정 국가의 행정기관으로 위장하여 RTF(Rich Text File) 형식의 악성코드를 유포하였다.

SectorE02 그룹의 활동은 파키스탄, 방글라데시에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 사용자의 의심을 피하기 위해 채팅 앱으로 위장한 안드로이드(Android) 악성코드를 공격에 활용하였다.

SectorE04 그룹의 활동은 파키스탄, 영국, 스리랑카, 싱가포르에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 “해군”, “코로나” 등의 테마를 사용하여 MS 워드(Word) 형식의 악성코드를 공격에 활용하였다.

SectorE05 그룹의 활동은 파키스탄, 방글라데시, 영국, 홍콩에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 경찰 관계자를 대상으로 스피어 피싱(Spear Phishing) 메일을 전달했다.

SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다.

6. SectorH 그룹 활동 특징

2022년 1 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH01, SectorH03 그룹이다.

SectorH01 그룹의 활동은 독일에서 발견되었다. 해킹 그룹은 이번 활동에서 악성 매크로가 포함된 파워포인트(PowerPoint) 문서 파일을 공격에 활용하여 피해자 시스템에서 추가 악성코드를 다운로드한 다음 실행하여 악성 행위를 하였다.

SectorH03 그룹의 활동은 프랑스, 스웨덴, 이스라엘, 예멘, 벨라루스, 아르헨티나, 팔레스타인, 우크라이나, 러시아, 모로코, 네덜란드, 이란, 인도, 타이완에서 발견되었다. 해킹 그룹은 이번 활동에서 공군 선발 절차, 우주과학기술원, 미사일 시스템을 위한 회의록 등의 다양한 주제를 활용한 문서를 공격에 활용하였다. 해당 문서를 실행 시 추가 악성코드를 다운로드한 다음 실행하여 시스템 정보, 클립보드 데이터, 화면 캡쳐 등의 정보를 수집하는 악의적인 행위를 하였다.

SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.

7. Cyber Crime 그룹 활동 특징

2022년 1 월에는 온라인 가상 공간에서 활동하는 총 6 개의 사이버 범죄 그룹이 발견되었으며, 이들은 SectorJ03, SectorJ06, SectorJ09, SectorJ10, SectorJ20, SectorJ26 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ03 그룹의 활동은 스페인, 팔레스타인, 중국, 이스라엘, 요르단에서 발견되었다. 해당 그룹은 안드로이드 플랫폼을 대상으로 한 악성코드를 사용하여 SMS 정보, 사진, 통화 녹음 등 피해자의 정보 탈취를 시도했다.

SectorJ06 그룹의 활동은 미국, 이스라엘에서 발견되었다. 해당 그룹은 RSA 암호화 키를 사용하여 암호화하는 Diavol 랜섬웨어를 사용했으며, 암호화된 파일은 “.lock64” 파일 확장자를 추가했다.

SectorJ09 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있다. 이번 활동에서 기존에 발견되던 것과 동일한 유형의 자바스크립트 악성코드가 확인되었다.

SectorJ10 그룹의 활동은 미국에서 발견되었다. 해당 그룹은 금융 기업을 대상으로 화이트 래빗(White Rabbit)이라 불리는 새로운 랜섬웨어를 사용한 것으로 확인되었다.

SectorJ20 그룹의 활동은 독일에서 발견되었다. 해당 그룹은 여권으로 위장한 바로가기 파일을 사용하였으며, 바로가기 파일 실행 시 사용자가 정상 파일로 인식하도록 PDF 파일을 다운로드하여 실행하며, 정보수집 등 추가 악성행위를 위해 추가 악성코드를 다운로드 및 실행한다.

SectorJ26 그룹의 활동은 중국, 불가리아, 러시아, 미국, 사우디 아라비아, 인도, 아제르바이잔, 독일, 일본, 스페인, 노르웨이, 영국, 터키, 이란, 이집트, 캐나다, 그루지야, 이탈리아, 파키스탄, 멕시코, 베트남, 리투아니아, 리비아, 스웨덴, 말레이시아, 폴란드, 네덜란드, 콜롬비아, 프랑스, 홍콩, 아일랜드, 싱가포르, 모로코, 미얀마, 카타르, 몰도바에서 발견되었다. 해당 그룹은 매크로가 삽입된 MS 워드(Word) 파일 형식의 악성코드를 사용했으며, hta 형식의 스크립트를 생성 및 실행하여 최종적으로 백도어 악성코드를 설치하여 시스템 권한을 탈취한다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 RA.global@nshc.net으로 문의해 주시기 바랍니다.