Monthly Threat Actor Group Intelligence Report, April 2022 (KOR)

2022년 3월 21일에서 2022년 4월 20일까지 수집된 데이터와 정보를 바탕으로 NSHC ThreatRecon팀에서 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.
이번 4월에는 총 31개의 해킹 그룹들이 확인되었으며, SectorA 그룹들의 활동이 24%로 가장 두드러 졌고 SectorC와 SectorJ 그룹들의 활동이 그 뒤를 이었다.


이들은 정부부처와 정보통신 산업군에 종사하고 있는 관계자 또는 시스템을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 유럽(Europe)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.

1. SectorA 그룹 활동 특징

2022년 4 월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA05, SectorA06, SectorA07 그룹이다.

SectorA01 그룹의 활동은 브라질, 독일, 미국에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 기업의 채용담당자로 위장하였으며, 금융, 뉴스 그리고 IT 분야에 종사하고 있는 관계자를 대상으로 스피어 피싱(Spear Phishing) 이메일을 발송했다.

SectorA05 그룹의 활동은 한국, 일본, 미국, 중국, 오스트리아에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 방송국 관계자로 위장하였으며, 북한 인권 활동 조직 및 운동가를 대상으로 스피어 피싱 이메일을 발송했다.

SectorA06 그룹의 활동은 영국, 중국, 한국, 미국, 일본에서 해킹 활동이 발견되었다. 해당 그룹은 도움말 파일 형식인 CHM(Compiled HTML File) 파일을 공격에 사용하였다.

SectorA07 그룹의 활동은 한국, 일본, 캐나다, 독일에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 특정 기업으로 위장 후 스피어 피싱 이메일을 발송했다. 메일 본문에는 공격 대상이 관심을 가질 수 있는 ‘고객정보’, ‘대출’, ‘탈세제보’, ‘고소장’, ‘계약서’ 등의 다양한 주제와 함께 첨부된 MS워드(Word) 문서의 실행을 유도한다.

현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.

2. SectorB 그룹 활동 특징

2022년 4 월에는 총 5 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB14, SectorB22, SectorB26, SectorB33, SectorB50 그룹이다.

SectorB14 그룹의 활동은 한국, 중국, 싱가포르에서 발견되었다. 해당 그룹은 이번 활동에서 윈도우 바로가기(LNK) 파일을 공격에 사용하였으며, 정상적으로 실행될 경우 C2 서버에서 파워쉘(PowerShell) 스크립트를 받아와 실행한다.

SectorB22 그룹의 활동은 스페인, 태국, 캐나다, 중국, 그리스, 베트남, 몽골, 홍콩, 미얀마, 러시아, 키프로스, 남아프리카에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 유럽 및 동남아시아에 위치하고 있는 정부 기관과 연구기관 관계자를 대상으로 공격을 수행하였다.

SectorB26 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 이번 활동에서 윈도우 및 맥 OS 사용자를 대상으로 다중 플랫폼 악성코드를 공격에 사용하였다.

SectorB33 그룹의 활동은 인도, 프랑스, 튀니지, 파키스탄, 싱가포르, 오스트리아, 네덜란드, 캐나다, 핀란드, 홍콩, 한국, 미국, 이탈리아, 스페인에서 발견되었다. 해당 그룹은 이번 활동에서 Log4Shell 취약점을 악용하여 금융, 학계 그리고 여행 산업에 속한 기업의 시스템을 대상으로 공격을 수행하였다.

SectorB50 그룹의 활동은 우크라이나, 터키, 인도, 러시아, 필리핀, 중국, 미국에서 발견되었다. 해당 그룹은 이들은 이번 활동에서 “OSCE 회의”, “군대” 등 국방외교와 관련된 주제로 위장된 MS 워드 문서를 공격에 사용하였다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

2022년 4 월에는 총 6 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC02, SectorC04, SectorC05, SectorC08, SectorC13, SectorC15 그룹이다.

SectorC02그룹의 활동은 우즈베키스탄, 인도네시아, 멕시코, 인도, 일본에서 이들의 활동이 발견되었다. 해당 그룹은 안드로이드(Android) 운영체제의 프로세스 매니저로 위장한 악성코드를 사용하여 정보 탈취를 시도했다. 해당 안드로이드 악성코드는 일반적인 안드로이드 악성코드와 유사하게 안드로이드 기반 스마트폰의 정보 탈취를 위한 다양한 기능을 가지고 있다.

SectorC04그룹의 활동은 인도, 영국, 미국, 스페인, 필리핀, 오스트리아, 방글라데시, 스위스, 러시아, 이탈리아, 프랑스, 그리스, 중국, 호주, 아르헨티나, 독일에서 이들의 활동이 발견되었다. 해당 그룹은 ISO 이미지 파일에 포함된 LNK파일로 악성 DLL파일을 로드(Load)하여 침투테스트 도구인 슬리버(Sliver) 또는 코발트 스트라이크(Cobalt Strike)를 설치한 후 시스템의 제어권을 탈취하는 전술을 사용하고 있다. 이번 활동에서는 정보 업데이트 문서로 위장한 ISO 파일 형태의 악성코드를 사용했다.

SectorC05그룹의 활동은 벨기에, 일본, 우크라이나, 미국에서 발견되었다. 해당 그룹은 이번 활동에서는 에너지 공급 업체를 대상으로 공격을 시도했다. 해당 공격은 윈도우(Windows), 리눅스(Linux), 솔라리스(Solaris) 등 다양한 운영체제를 대상으로 디스크 파괴 기능을 가진 와이퍼(wiper)가 사용되었다.

SectorC08 그룹의 활동은 헝가리, 루마니아, 우크라이나, 러시아, 인도, 라트비아, 네덜란드, 이탈리아, 뉴질랜드, 이란, 터키에서 이들의 활동이 발견되었다. 해당 그룹은 템플릿 인젝션(Template Injection)을 사용하는 MS 워드 파일 형식의 악성코드를 사용하여, PE(Portable Executable) 형식의 악성코드를 공격 대상 시스템에 설치하고 시스템 제어권을 탈취하는 전술을 사용하고 있다. 이번 활동에서도 우크라이나어를 사용한 문서가 발견되었으며, 특정 정부 관련 문서나, 군 관련 문서로 위장한 MS 워드 파일 형식의 악성코드가 발견되었다.

SectorC13 그룹의 활동은 몰도바, 미국에서 이들의 활동이 발견되었다. 해당 그룹은 템플릿 인젝션을 사용하는 MS 워드 문서를 사용했으며, 국방위원회 관련 내용으로 위장한 워드 문서와 증권거래위원회 양식으로 위장한 엑셀 문서가 발견되었다.

SectorC15 그룹의 활동은 루마니아, 우크라이나, 오스트리아, 네덜란드, 러시아, 홍콩에서 발견되었다. 해당 그룹은 고(GO) 프로그래밍 언어를 사용하여 개발한 악성코드들을 사용하여 컴퓨터의 기본 정보들을 수집하고, C2 서버로부터 전달받은 명령을 수행하거나 파일 업로드 및 다운로드 등 다양한 기능을 수행한다. 이번 활동에서는 천연가스, 은행, 방송국을 대상으로 매크로가 포함된 MS 엑셀(Excel) 형식의 문서를 피싱 이메일에 첨부하여 전달했다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

4. SectorD 그룹 활동 특징

2022년 4 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD05 그룹이다.

SectorD05그룹의 활동은 미국에서 이들의 활동이 발견되었다. 해당 그룹은 Microsoft Exchange ProxyShell 취약점을 악용하여 파일 업로드 및 다운로드와 파워쉘 커맨드를 사용할 수 있는 웹 쉘을 실행한다.

SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.

5. SectorE 그룹 활동 특징

2022년 4 월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE04, SectorE05, SectorE06 그룹이다.

SectorE04 그룹은 이번 활동에서 템플릿 인젝션을 사용하는 MS 워드 문서를 공격에 사용하였다.

SectorE05 그룹의 활동은 스리랑카에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 도움말 파일 형식인 CHM 파일 형태의 악성코드를 공격에 사용하였다.

SectorE06 그룹의 활동은 미국, 파키스탄, 알제리, 사우디 아라비아에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 안드로이드 운영체제 대상으로 악성코드를 유포하기 위해 정교하게 만들어진 피싱 웹 사이트를 구축하고 다운로드 및 실행을 유도한다.

SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다.

6. SectorH 그룹 활동 특징

2022년 4 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.

SectorH03 그룹은 인도, 홍콩, 스웨덴, 파키스탄, 러시아에서 활동이 발견되었다. 해당 그룹은 이번 활동에서 사용자의 의심을 피하기 위해 “정신 건강 조사”, “수류탄 시뮬레이터 초안”, “대학 과제” 문서와 “군대 사진”을 미끼로 사용하였으며, 피해자 시스템에 악성코드를 설치하여 정보를 탈취하는 행위를 하였다.

이외에도 이번 활동에서 해킹 그룹은 구글 캘린더로 위장한 악성코드를 사용하였으며, 피해자 단말기에서 통화 기록, 연락처, SMS 메시지 등의 민감한 정보를 탈취하는 행위를 하였다.

SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.

7. Cyber Crime 그룹 활동 특징

2022년 4 월에는 온라인 가상 공간에서 활동하는 총 9 개의 사이버 범죄 그룹이 발견되었으며, 이들은 SectorJ04, SectorJ09, SectorJ14, SectorJ22, SectorJ26, SectorJ35, SectorJ45, SectorJ46, SectorJ48 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ04그룹의 활동은 이스라엘, 이탈리아, 한국, 카자흐스탄, 프랑스, 인도, 영국, 쿠바, 호주, 일본, 체코, 미국, 아일랜드, 중국, 사우디 아라비아에서 발견되었다. 해당 그룹은 기업 정보 탈취 및 금전적인 목적을 가지고 원격제어 악성코드 또는 랜섬웨어를 피싱 메일로 공격 대상에게 전달하는 전술을 사용하고 있다. 이번 활동에서는 결제 관련 메일로 위장한 피싱 메일에 ISO 파일 형태의 악성코드를 첨부하여 전달했다.

SectorJ09그룹의 활동은 터키, 몰도바, 팔레스타인, 루마니아, 덴마크에서 발견되었다. 해당 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집하는 해킹 방식을 유지하고 있다. 이번 활동에서 기존에 발견되던 것과 동일한 유형의 자바스크립트 악성코드가 확인되었으며, 랜섬웨어를 사용하여 기업을 공격하는 활동도 발견되었다.

SectorJ14그룹의 활동은 미국, 영국, 한국, 일본, 독일, 프랑스에서 발견되었다. 해당 그룹은 2018년도부터 다국어 사용 및 멀티 플랫폼을 대상으로 활동하고 있으며, 이들은 금전적인 목적으로 해킹활동을 하는 것으로 확인되고 있다. 이번 활동에서는 우체국 앱으로 위장한 안드로이드 악성코드를 배포했으며, 해당 악성코드는 안드로이드 기반 스마트폰의 정보를 탈취하는 기능을 수행한다.

SectorJ22그룹의 활동은 러시아, 미국, 홍콩에서 발견되었다. 해당 그룹은 특정 기업들을 대상으로 정교하게 작성된 피싱 메일을 보내고, 백도어를 통해 악성 자바 스크립트를 다운로드 및 실행시키는 활동을 수행한다. 이번 활동에서는 계약서 관련 내용으로 위장한 피싱 메일을 배포했다.

SectorJ26그룹의 활동은 우크라이나, 아일랜드, 뉴질랜드, 스페인, 중국, 이스라엘, 미국, 중국, 일본, 말레이시아, 캐나다, 홍콩, 영국, 한국에서 발견되었다. 해당 그룹은 서식지 탐사 관련 내용으로 위장한 피싱 메일에 MS 워드 형식의 악성코드를 첨부하여 배포했다.

SectorJ35그룹의 활동은 오스트리아, 아일랜드에서 발견되었다. 해당 그룹은 랜섬웨어를 사용하지 않고, 시스템 권한 탈취 후 금전적인 목적으로 데이터 유출을 시도한다. 이번 활동에서는 메타스플로잇(Metasploit), 임패킷(Impacket) 등 오픈 소스 도구를 사용하여 데이터 유출 및 측면 이동을 시도했다.

SectorJ45그룹의 활동은 일본, 미국, 이집트, 영국, 싱가폴, 이탈리아, 중국, 필리핀, 대만, 홍콩, 러시아에서 발견되었다. 해당 그룹은 광범위한 봇 넷 인프라를 구축하기 위해 크롬(Chrome), 텔레그램(Telegram) 등 많은 사람들이 사용하는 정상 프로그램으로 위장하여 악성코드를 배포한다. 이번 활동에서는 왓츠앱(WhatsApp), 어도비(Adobe) 관련 프로그램으로 위장했다.

SectorJ46그룹의 활동은 아르헨티나, 우크라이나, 일본, 벨라루스, 불가리아, 칠레, 미국, 베트남, 리투아니아, 케냐, 파나마, 폴란드, 터키, 독일, 프랑스, 크로아티아, 덴마크, 이스라엘, 러시아에서 발견되었다. 해당 그룹은 금전적인 목적으로 피싱 메일 또는 취약한 웹페이지를 통해 악성코드를 배포하며, 암호화폐 및 신용카드 등 금융 관련 정보들을 탈취한다. 이번 활동에서는 정부기관으로 위장하여, 암호가 설정된 압축파일을 첨부하여 피싱 메일을 배포했다.

SectorJ48그룹의 활동은 인도, 러시아, 호주, 캐나다, 우크라이나, 영국, 미국, 인도, 싱가폴, 독일, 중국에서 발견되었다. 해당 그룹은 철강 회사로 위장하여, 악성 매크로가 삽입된 MS 엑셀 형식의 문서 파일을 메일에 첨부하여 배포했으며, 이메일 서버 관련 소프트웨어의 취약점을 악용하여 특정 정부 기관을 노린 활동도 발견되었다.

8. SectorS 그룹 활동 특징

2022년 4 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorS01 그룹이다.

SectorS01 그룹은 스웨덴, 브라질, 인도, 이탈리아, 타이완, 말레이시아, 영국, 벨기에, 우크라이나, 튀니지, 독일, 프랑스, 멕시코, 이스라엘, 콜롬비아, 미국, 네덜란드, 에콰도르, 코스타리카, 러시아, 이란, 폴란드에서 활동이 발견되었다. 해킹 그룹은 이번 활동에서 사용자의 의심을 피하기 위해 “영수증”, “압류 통지” 문서로 위장하여 피해자 시스템에 악성코드를 설치하여 정보 탈취 행위를 수행하였다.

현재까지 지속되는 SectorS 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가들에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다.

9. SectorT 그룹 활동 특징

2022년 4 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorT01 그룹이다.

SectorT01 그룹은 우크라이나, 폴란드에서 활동이 발견되었다. 해당 그룹은 이번 활동에서 “프로필 사진”으로 위장한 악성코드를 사용하였으며, 피해자 시스템에 악성코드를 설치하여 정보를 탈취하는 행위를 수행하였다.

현재까지 지속되는 SectorT 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가들에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.