Monthly Threat Actor Group Intelligence Report, March 2022 (KOR)
이 문서는 2022년도 2월 21일에서 2022년 3월 20일까지 발견된 해킹 그룹 활동과 관련된 이슈를 설명하고 이와 관련된 침해사고 정보와 ThreatRecon Platform 내 위협 이벤트 정보를 포함합니다.
1. SectorA 그룹 활동 특징
2022년 3 월에는 총 5 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA02, SectorA03, SectorA05, SectorA06, SectorA07 그룹이다.
SectorA02 그룹의 활동은 한국에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 한국의 중앙행정기관 관계자로 위장하여 공격을 수행하였다. 피싱 웹사이트를 구축하여 정보를 수집하였으며, 공격 대상이 관심을 가질 수 있도록 한글 파일 형태(HWP)의 미끼 문서를 함께 사용하였다.
SectorA03 그룹의 활동은 마카오에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 스피어 피싱(Spear Phishing) 이메일을 활용하여 마카오에 위치한 호텔, 숙박업, 레스토랑 등 20개 업체에 대한 관계자를 대상으로 공격을 수행하였다.
SectorA05 그룹의 활동은 한국, 홍콩에서 해킹 활동이 발견되었다. 해당 그룹은 정부기관에서 발송한 전자문서로 위장한 다수의 피싱(Phishing) 이메일을 공격에 활용하였다.
SectorA06 그룹의 활동은 한국, 일본, 프랑스, 싱가포르, 미국, 영국에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 도움말 파일 형식인 CHM(Compiled HTML File) 파일을 공격에 활용하였다.
SectorA07 그룹의 활동은 한국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 제품소개서로 위장한 MS 워드(Word) 문서를 공격에 활용하였다.
현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.
2. SectorB 그룹 활동 특징
2022년 3 월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB01, SectorB09, SectorB22 그룹이다.
SectorB01 그룹의 활동은 미국, 홍콩, 영국, 중국, 베트남에서 발견되었다. 해당 그룹은 이번 활동에서 Log4j 취약점과 동물 건강 비상 보고 진단 시스템의 취약점을 악용하여 시스템에 침투한다. 이후 PE(Portable Executable) 형식의 악성코드를 공격 대상 시스템에 설치하고 시스템 제어권을 탈취하기 위해 오픈소스 도구를 공격에 주로 사용했다.
SectorB09 그룹의 활동은 대만, 한국에서 발견되었다. 해당 그룹은 이번 활동에서 ELF(Executable and Linkable Format) 파일 형식의 악성코드를 사용해 감염 시스템의 정보를 수집하고 C2 서버의 명령에 따라 파일 송수신, 원격 쉘 명령, 프록시 모드 등의 기능을 수행하며 악성코드를 제어한다.
SectorB22 그룹의 활동은 러시아, 루마니아, 홍콩, 체코, 슬로바키아, 미국, 벨기에, 폴란드에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 스피어 피싱(Spear Phishing) 이메일에 압축 파일을 첨부하여 유럽의 외교 기관 관계자를 대상으로 다수의 공격을 수행하였다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
2022년 3 월에는 총 6 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC04, SectorC05, SectorC08, SectorC15, SectorC16 그룹이다.
SectorC01그룹의 활동은 우크라이나에서 이들의 활동이 발견되었다. 해당 그룹은 내부 메일 시스템에 저장된 메일을 읽거나 외부로 유출하기 위해 정교하게 작성된 피싱 메일과 피싱 사이트를 사용하는 전술을 사용하고 있다. 이번 활동에서는 우크라이나의 미디어 관련 회사의 사용자들을 대상으로 대규모 자격 증명 피싱 캠페인을 수행했다.
SectorC04그룹의 활동은 대만, 인도에서 이들의 활동이 발견되었다. 해당 그룹은 ISO 이미지 파일에 포함된 LNK파일로 악성 DLL파일을 로드하여 침투테스트 도구인 슬리버(Sliver) 또는 코발트 스트라이크(Cobalt Strike)를 설치한 후 시스템의 제어권을 탈취하는 전술을 사용하고 있다. 이번 활동에서는 COVID-19 및 인도 대통령과의 회담 관련 내용으로 위장한 악성 PDF 파일을 사용했다.
SectorC05그룹의 활동은 미국에서 발견되었다. 해당 그룹은 IoT(Internet of Things) 기기, 라우터 및 저장 장치를 대상으로 하는 봇넷을 제작한 것으로 알려져 있으며, 대부분의 IoT 장치의 기본 운영 체제는 리눅스로 되어 있어 ELF 파일 형식의 악성코드를 주로 사용한다. 이번 활동에서는 특정 기업의 라우터 장치를 공격 대상으로 삼는 봇넷을 사용했다.
SectorC08 그룹의 활동은 우크라이나, 영국, 베트남, 미국, 스페인에서 이들의 활동이 발견되었다. 해당 그룹은 템플릿 인젝션(Template Injection)을 사용하는 MS 워드(Word) 파일 형식의 악성코드를 사용하여, PE(Portable Executable) 형식의 악성코드를 공격 대상 시스템에 설치하고 시스템 제어권을 탈취하는 전술을 사용하고 있다. 이번 활동에서는 우크라이나 관련 뉴스 목록이나, 우크라이나 소셜 네트워크 모니터링 관련 문서로 위장한 MS 워드(Word) 파일 형식의 악성코드를 사용했다.
SectorC15 그룹의 활동은 우크라이나, 프랑스, 영국, 중국, 네덜란드, 키프로스, 싱가포르, 자메이카, 독일, 캐나다, 덴마크, 스페인, 필리핀, 세르비아, 몰도바, 터키, 사우디 아라비아, 러시아, 미국, 이탈리아에서 이들의 활동이 발견되었다. 해당 그룹은 고(Go) 프로그래밍 언어를 사용하여 개발된 악성코드를 우크라이나 사이버 보안과 관련된 피싱 이메일에 첨부하여 공격 대상에게 전달했다.
SectorC16 그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 바로 가기 파일이 포함된 압축파일을 피싱 메일에 첨부하여 유포했으며, 바로가기 파일을 실행할 경우 컴퓨터에 HTA파일이 다운로드 되어 실행된다. 최종 페이로드(Payload)는 백도어 기능을 가지는 악성코드이다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.
4. SectorD 그룹 활동 특징
2022년 3 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD14 그룹이다.
SectorD14그룹의 활동은 터키, 이스라엘, 캐나다, 튀니지에서 이들의 활동이 발견되었다. 해당 그룹은 인사부서 직원으로 위장하여 공격 대상에게 접근하는 사회공학 기법(Social Engineering)을 사용하고 있으며, 신뢰도를 높이기 위해 소셜 네트워크 서비스(Social Network Service)에 인사부서 직원으로 위장한 허위 계정을 생성하여 공격 대상에게 접근하는 전술을 사용한다. 이번 활동에서는 악성코드의 아이콘을 PDF 아이콘으로 변경하여 정상 PDF인것처럼 위장했다.
SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.
5. SectorE 그룹 활동 특징
2022년 3 월에는 총 5 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE04, SectorE05, SectorE06 그룹이다.
SectorE01 그룹의 활동은 파키스탄에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 드롭박스(Dropbox) 클라우드 스토리지 서비스를 악용하여 엑셀(Excel) 문서 악성코드를 유포하였다.
SectorE02 그룹의 활동은 핀란드, 사우디 아라비아, 미국, 케냐, 영국, 네팔, 홍콩, 중국, 인도에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 다양한 주제로 위장한 MS 워드(Word) 및 엑셀(Excel) 문서를 공격에 활용하였다.
SectorE04 그룹의 활동은 영국, 파키스탄, 인도네시아에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 피싱 웹사이트를 구축하여 공격 대상의 정보를 수집하는 전술을 사용하였다.
SectorE05 그룹의 활동은 영국, 체코, 중국, 인도, 미국에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 2월에 이어 도움말 파일 형식인 CHM(Compiled HTML File) 파일을 공격에 활용하였다.
SectorE06 그룹의 활동은 인도, 미국, 중국, 영국에서 이들의 활동이 발견되었다. 해당 그룹은 군대 관련 문서로 위장한 윈도우 바로가기(LNK) 파일을 포함한 압축 파일을 배포하여 공격 활동을 하였다.
SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다.
6. SectorH 그룹 활동 특징
2022년 3 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.
SectorH03 그룹은 인도, 미국, 중국, 영국에서 활동이 발견되었다. 해킹 그룹은 이번 활동에서 사용자의 의심을 피하기 위해 정부 기관 관련 문서를 미끼로 사용하였으며, 피해자 시스템에 다수의 악성코드를 설치하여 정보 탈취 행위를 하였다.
SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.
7. Cyber Crime 그룹 활동 특징
2022년 3 월에는 온라인 가상 공간에서 활동하는 총 8 개의 사이버 범죄 그룹이 발견되었으며, 이들은 SectorJ03, SectorJ04, SectorJ06, SectorJ09, SectorJ14, SectorJ26, SectorJ42, SectorJ44 그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ03 그룹의 활동은 팔레스타인에서 발견되었다. 해당 그룹은 악성코드의 아이콘을 PDF 아이콘으로 변경하여 정상 PDF인 것처럼 위장했으며, 정상 파일로 보이기 위해 사용자에게 중앙위원회를 사칭한 개막식 일정 관련 내용의 PDF문서를 보여준다.
SectorJ04 그룹의 활동은 미국에서 발견되었다. 해당 그룹은 기업 정보 탈취 및 금전적인 목적을 가지고 원격제어 악성코드 또는 랜섬웨어를 피싱 메일로 공격 대상에게 전달하는 전술을 사용하고 있다.
SectorJ06 그룹의 활동은 미국, 프랑스, 이탈리아에서 발견되었다. 해당 그룹은 피싱 메일에 악성 매크로가 삽입된 MS 워드(Word) 또는 MS 엑셀(Excel) 파일 형식의 악성코드를 첨부하여 유포하며, 금전적인 이익을 위해 최종적으로 시스템에 랜섬웨어를 설치하는 전술을 일관되게 사용하고 있다.
SectorJ09 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있다. 또한 러시아 기업을 공격하기 위한 분산 서비스 거부(DDoS) 도구로 홍보하여 자격 증명 및 암호 화폐 관련 정보를 수집하는 악성코드도 사용했다.
SectorJ14그룹의 활동은 말레이시아, 일본에서 발견되었다. 해당 그룹은 2018년도부터 다국어 사용 및 멀티 플랫폼을 대상으로 활동하고 있으며, 이들은 단지 금전적인 목적으로 해킹활동을 하는 것으로 확인되고 있다.
SectorJ26그룹의 활동은 아르헨티나, 우크라이나, 미국, 한국, 영국, 호주, 필리핀, 스위스, 중국, 캐나다, 이스라엘, 독일, 아일랜드, 네덜란드, 인도, 수리남, 이란, 이탈리아, 프랑스, 스웨덴에서 발견되었다. 해당 그룹은 사업 제안으로 위장한 피싱 메일에 시스템 권한 탈취에 사용하는 백도어(Backdoor) 악성코드를 첨부했으며, 이들은 금전적인 목적으로 랜섬웨어 감염을 시키기 위해 시스템 권한을 획득하고 있는 것으로 판단된다.
SectorJ42 그룹의 활동은 싱가포르, 에스토니아, 홍콩, 한국, 영국, 인도네시아, 일본, 이스라엘, 대만, 중국에서 발견되었다. 해당 그룹은 유닉스 및 리눅스 환경에서 금전적인 목적을 달성하기 위해 ELF 파일 형태의 악성코드를 사용한다. 이번 활동에서는 ATM (Automated Teller Machine) 기기에서 승인되지 않은 현금을 인출하기 위해 ELF 파일 형태의 악성코드를 사용했다.
SectorJ44 그룹의 활동은 중국, 우크라이나, 싱가포르, 한국, 인도, 이란, 미국에서 발견되었다. 해당 그룹은 다른 랜섬웨어를 개발하여 운영중인 것으로 판단된다.
8. SectorS 그룹 활동 특징
2022년 3 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorS01 그룹이다.
SectorS01 그룹은 에콰도르, 영국, 칠레, 미국, 이스라엘, 러시아, 콜롬비아, 한국에서 활동이 발견되었다. 해킹 그룹은 이번 활동에서 세금 신고 문서로 위장한 문서를 미끼로 사용하였으며, 문서에 포함된 악성 링크(Link)를 통해 악성코드를 배포하였다. 피해자 시스템에서 악성코드를 통해 시스템 정보 탈취 및 추가 악성코드를 다운로드 받아 실행하였다.
현재까지 지속되는 SectorS 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가들에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다.
9. SectorT 그룹 활동 특징
2022년 3 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorT01 그룹이다.
SectorT01 그룹은 인도, 루마니아, 중국, 헝가리, 체코, 스웨덴, 리투아니아, 미국, 라트비아, 폴란드, 네덜란드, 우크라이나, 이탈리아, 브라질, 러시아, 세르비아, 슬로바키아, 영국, 몰도바, 한국에서 활동이 발견되었다. 해킹 그룹은 이번 활동에서 COVID-19 관련 문서 등으로 위장한 윈도우 도움말 파일을 배포하여 공격 활동을 하였다. 해당 공격 활동에서 피해자 시스템에 코발트 스트라이크(Cobalt Strike)와 백도어를 설치하여 정보 탈취 활동을 하였다. 이외에도 우크라이나 정부 및 우크라이나 정부 네트워크를 대상으로 와이퍼(Wiper) 악성코드를 배포하여 시스템을 파괴하였다.
추가적으로 우크라이나 군인을 대상으로 피싱(Phishing) 공격 활동을 하였으며, 탈취한 이메일 계정을 악용하여 우크라이나에서 탈출하는 난민의 물류관리 관련 유럽 정부 직원을 대상으로 악성코드를 배포한 공격 활동도 하였다.
현재까지 지속되는 SectorT 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가들에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.