Monthly Threat Actor Group Intelligence Report, May 2022 (KOR)
2022년 4월 21일에서 2022년 5월 20일까지 수집된 데이터와 정보를 바탕으로 NSHC ThreatRecon팀에서 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.
이번 5월에는 총 36개의 해킹 그룹들이 확인되었으며, SectorA 그룹들의 활동이 24%로 가장 많았으며, SectorJ와 SectorC, SectorE 그룹들의 활동이 그 뒤를 이었다.
이번 5월에 발견된 해킹 그룹들의 해킹 활동은 정부부처와 정보통신 산업군에 종사하고 있는 관계자 또는 시스템을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 유럽(Europe)과 동아시아(East Asia)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.
1. SectorA 그룹 활동 특징
2022년 5 월에는 총 5 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA05, SectorA06, SectorA07 그룹이다.
SectorA01 그룹의 활동은 루마니아, 일본, 네덜란드, 스페인에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 에너지 및 군사 분야에 속한 엔지니어링 기업을 대상으로 공격을 수행하였으며, 초기 침투 방식으로 Log4Shell 취약점을 악용하여 시스템을 손상시켰다.
SectorA02 그룹의 활동은 한국, 터키에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 언론사 기자 및 대북 관련 종사자를 대상으로 스피어 피싱(Spear Phishing) 이메일을 발송했다.
SectorA05 그룹의 활동은 한국, 미국, 일본에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 정치 및 외교 분야에 종사하고 있는 관계자를 대상으로 다양한 파일 형식의 악성코드를 배포했다.
SectorA06 그룹의 활동은 한국, 미국에서 해킹 활동이 발견되었다. 해당 그룹은 4월에 이어 도움말 파일 형식인 CHM(Compiled HTML File) 파일을 공격에 활용하였다.
SectorA07 그룹의 활동은 한국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 사건 경위서 및 가상화폐 투자정보와 같은 내용으로 위장한 스피어 피싱 이메일에 악성코드를 첨부한 형태의 공격을 사용하였다.
현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.
2. SectorB 그룹 활동 특징
2022년 5 월에는 총 7 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB04, SectorB20, SectorB22, SectorB23, SectorB31, SectorB34, SectorB53 그룹이다.
SectorB04 그룹의 활동은 네덜란드, 중국, 벨라루스, 러시아, 이탈리아, 터키, 말레이시아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 특정 연구소 임직원을 대상으로 스피어 피싱 이메일을 발송했다.
SectorB20 그룹의 활동은 중국, 베트남, 태국, 싱가포르, 필리핀, 말레이시아, 인도네시아, 캄보디아, 브루나이에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 MS 워드(Word) 문서를 첨부한 스피어 피싱 이메일을 공격에 활용하였다.
SectorB22 그룹의 활동은 베트남에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 보안 소프트웨어 제품으로 위장한 악성코드를 배포하여 시스템 제어권을 탈취하는 전술을 사용하고 있다.
SectorB23 그룹의 활동은 한국에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 도움말 파일 형식인 CHM 파일을 공격에 활용하였으며, 특정 시스템을 사용하는 사람들에게 도움을 제공하기 위한 기술 문서로 위장하고 있다.
SectorB31 그룹의 활동은 러시아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 러시아어로 작성된 MS 워드 문서를 공격에 활용하였다.
SectorB34 그룹의 활동은 인도, 일본, 중국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 취약점을 사용하는 RTF(Rich Text Format) 형식의 악성코드를 사용하였다.
SectorB53 그룹의 활동은 스웨덴, 대만, 미국, 마카오, 홍콩, 중국, 인도, 한국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 리눅스 운영체제를 대상으로 ELF(Executable and Linkable Format) 악성코드를 배포하였다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
2022년 5 월에는 총 6 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC04, SectorC05, SectorC07, SectorC08, SectorC15 그룹이다.
SectorC01그룹의 활동은 러시아, 아일랜드, 콜롬비아, 네덜란드, 아랍에미리트, 우크라이나, 인도네시아, 스페인, 포르투갈, 독일에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 우크라이나를 대상으로 스피어 피싱 이메일을 발송하여 정보 수집 용도의 악성코드를 배포했다.
SectorC04그룹의 활동은 벨기에, 터키, 인도네시아, 러시아, 스웨덴, 캐나다, 오스트리아, 대만에서 이들의 활동이 발견되었다. 해당 그룹은 특정 대사관으로 위장하여 외교부를 대상으로 스피어 피싱 이메일을 발송했다.
SectorC05그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 지난 에너지 공급 업체를 대상으로 한 사이버 공격에서 사용되었던 악성코드 로더의 변종을 사용했다.
SectorC07 그룹의 활동은 독일, 태국, 한국, 미국, 러시아, 영국, 네덜란드, 프랑스, 이탈리아, 포르투갈, 스페인, 볼리비아, 크로아티아, 터키, 아르헨티나, 루마니아, 남아프리카, 멕시코에서 이들의 활동이 발견되었다. 해당 그룹은 보호된 문서로 위장하여 공격 대상이 보호 설정을 해제하도록 유도하였으며, 악성코드를 통해 시스템에 저장되어 있는 금융 관련 정보 및 비밀번호 관련 정보들을 수집했다.
SectorC08 그룹의 활동은 우크라이나, 이스라엘에서 이들의 활동이 발견되었다. 해당 그룹은 폭발물 설치 관련 내용의 스피어 피싱 이메일을 발송하여 시스템 내 모니터링 기능을 포함한 다양한 기능을 가진 백도어 악성코드를 배포했다.
SectorC15 그룹의 활동은 우크라이나, 한국, 중국, 이스라엘, 미국, 싱가포르, 아랍에미리트, 우즈베키스탄, 미얀마, 베트남에서 발견되었다. 해당 그룹은 코로나(COVID-19) 관련 내용의 스피어 피싱 이메일을 발송하여 시스템의 기본 정보들을 수집하고, C2 서버로부터 전달받은 명령을 수행하거나 파일 업로드 및 다운로드 등 다양한 기능을 수행하는 악성코드를 배포했다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.
4. SectorD 그룹 활동 특징
2022년 5 월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD01, SectorD10, SectorD20 그룹이다.
SectorD01그룹의 활동은 요르단에서 발견되었다. 해당 그룹은 직업 기술 교육 기관으로 위장하였으며, 스피어 피싱 이메일을 발송하여 다양한 기능을 가진 백도어 악성코드를 배포했다.
SectorD10그룹의 활동은 미국에서 발견되었다. 해당 그룹은 공격 대상 정보를 수집하기 위해 대학의 도서관, 포털 페이지들로 위장한 피싱 사이트를 사용했다.
SectorD20그룹의 활동은 이란, 말레이시아, 이스라엘, 미국, 프랑스에서 발견되었다. 해당 그룹은 파워쉘(PowerShell) 취약점을 포함한 다양한 취약점들을 악용하여 초기 접근 권한을 얻었으며, 침입한 시스템의 정보 수집과 함께 금전적인 이득을 위한 랜섬웨어(Ransomware) 공격도 병행하고 있다.
SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.
5. SectorE 그룹 활동 특징
2022년 5 월에는 총 5 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE02, SectorE03, SectorE04, SectorE05, SectorE06 그룹이다.
SectorE02 그룹의 활동은 일본, 파키스탄, 영국, 캐나다, 네팔, 미국, 폴란드, 스리랑카, 베트남, 네덜란드에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 MS 워드와 RTF 파일 등 다양한 형식의 문서형 악성코드를 배포했다.
SectorE03 그룹의 활동은 방글라데시에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 VBA 매크로 스크립트가 포함된 MS 엑셀 문서를 공격에 활용하였다.
SectorE04 그룹의 활동은 인도, 오스트레일리아에서 발견되었다. 해당 그룹은 이번 활동에서 템플릿 인젝션(Template Injection)을 사용하는 MS 워드 문서를 공격에 사용하였다.
SectorE05 그룹의 활동은 방글라데시, 파키스탄에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 압축 파일이 첨부된 다수의 스피어 피싱 이메일을 발송했다.
SectorE06 그룹의 활동은 파키스탄, 사우디 아라비아에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 안드로이드(Android) 운영체제 사용자를 대상으로 채팅 앱으로 위장한 악성코드를 공격에 활용하였다.
SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다.
6. SectorH 그룹 활동 특징
2022년 5 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.
SectorH03 그룹은 인도에서 활동이 발견되었다. 해당 그룹은 이번 활동에서 대학교 과제로 위장한 윈도우 바로가기(LNK) 파일, MS 워드 문서 파일을 배포하였으며, RAT(Remote Access Tool)에 해당하는 악성코드를 피해자 시스템에 설치하였다. 설치된 악성코드는 피해자 시스템에서 시스템 정보, 키로깅(Keylogging), 화면 캡쳐, 파일 다운로드 등의 정보를 탈취하는 악의적인 활동을 하였다.
SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.
7. Cyber Crime 그룹 활동 특징
2022년 5 월에는 온라인 가상 공간에서 활동하는 총 8 개의 사이버 범죄 그룹이 발견되었으며, 이들은 SectorJ03, SectorJ09, SectorJ14, SectorJ20, SectorJ38, SectorJ48, SectorJ50, SectorJ53 그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ03그룹의 활동은 팔레스타인, 이스라엘에서 발견되었다. 해당 그룹은 안드로이드 플랫폼을 대상으로 채팅 및 매치&데이팅 앱으로 위장한 악성코드를 사용하여 SMS 정보, 사진, 통화 녹음 등 공격 대상의 정보 탈취를 시도했다.
SectorJ09그룹의 활동은 터키, 몰도바, 팔레스타인, 루마니아, 덴마크에서 발견되었다. 해당 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있다. 이번 활동에서 기존에 발견되던 것과 동일한 유형의 자바스크립트 악성코드가 확인되었다.
SectorJ14그룹의 활동은 한국, 일본, 덴마크에서 발견되었다. 해당 그룹은 우체국과 미디어 관련 안드로이드 앱으로 위장한 악성코드를 사용하여 SMS 정보, 사진, 통화 녹음 등 공격 대상의 정보 탈취를 시도했다.
SectorJ20그룹의 활동은 몰타, 미국에서 발견되었다. 해당 그룹은 스테가노그래피(Steganography) 기법을 악용한 이미지를 사용했으며, 로더 악성코드로 이미지에 숨겨진 백도어 악성코드를 실행했다.
SectorJ38그룹의 활동은 영국, 미국, 호주, 파키스탄에서 발견되었다. 해당 그룹은 가상머신 유틸리티가 DLL 사이드 로딩(DLL Side Loading)에 취약하다는 점을 악용하여 가상머신 유틸리티 내부에 악성 DLL를 로드 했으며, 최종적으로 코발트 스트라이크(Cobalt Strike)를 실행하여 시스템의 제어권을 획득했다.
SectorJ48그룹의 활동은 핀란드, 중국, 우크라이나, 인도, 캐나다, 미국, 아르헨티나에서 발견되었다. 해당 그룹은 보안조치 관련 내용의 스피어 피싱 이메일을 발송하여, 메타스플로잇(Metasploit)으로 제작된 PE(Portable Executable) 형식의 백도어 악성코드를 배포했다.
SectorJ50그룹의 활동은 우크라이나, 미국, 헝가리, 말레이시아, 한국, 일본에서 발견되었다. 해당 그룹은 결제 관련 내용의 스피어 피싱 이메일을 발송하여, 닷넷(.NET)으로 제작된 백도어 악성코드를 배포했다.
SectorJ53그룹의 활동은 네덜란드, 러시아, 프랑스, 체코, 남아프리카, 영국, 인도, 미국, 말레이시아, 룩셈부르크, 한국, 캐나다, 중국에서 발견되었다. 해당 그룹은 송장 관련 내용의 스피어 피싱 이메일을 발송하여, 코발트 스트라이크 또는 슬리버(Sliver) 같은 침투 테스트 도구를 다운로드 및 실행할 수 있게 하는 다운로더 악성코드를 배포했다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.