Monthly Threat Actor Group Intelligence Report, June 2022 (KOR)
2022년 5월 21일에서 2022년 6월 20일까지 수집된 데이터와 정보를 바탕으로 NSHC ThreatRecon팀에서 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.
이번 6월에는 총 34개의 해킹 그룹들이 확인되었으며, SectorE와 SectorJ 그룹들의 활동이 각각 27%로 가장 많았으며, SectorC와 SectorA 그룹들의 활동이 그 뒤를 이었다.
이번 6월에 발견된 해킹 그룹들의 해킹 활동은 정부부처와 정보통신 산업군에 종사하고 있는 관계자 또는 시스템을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 유럽(Europe)과 동아시아(East Asia)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.
1. SectorA 그룹 활동 특징
2022년 6 월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA02, SectorA05, SectorA06 그룹이다.
SectorA02 그룹의 활동은 한국에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 대북 관련 종사자를 대상으로 스피어 피싱(Spear Phishing) 이메일을 발송했다. 발송한 이메일은 방송국 작가로 위장 후 대담을 진행한다는 내용과 한글(HWP) 문서형 악성코드가 첨부파일에 포함되어 있다.
SectorA05 그룹의 활동은 한국, 필리핀, 인도, 홍콩, 중국에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 방송국 관계자를 대상으로 스피어 피싱 이메일을 발송했다.
SectorA06 그룹의 활동은 캐나다, 캄보디아에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 민주주의와 관련된 내용으로 위장한 윈도우 바로가기(LNK) 파일 형식의 악성코드를 사용했다.
현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.
2. SectorB 그룹 활동 특징
2022년 6 월에는 총 7 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB07, SectorB25, SectorB31, SectorB34, SectorB38, SectorB42, SectorB56 그룹이다.
SectorB07 그룹의 활동은 룩셈부르크, 파키스탄, 일본, 호주에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 취약점을 악용한 문서 악성코드를 공격 대상에게 전달 후 변조된 웹 서버로 접근하게 만들었으며, BASE64로 인코딩 된 악성 스크립트를 함께 배포하여 시스템 제어권을 탈취하는 전술을 사용하고 있다.
SectorB25 그룹의 활동은 미국, 러시아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 러시아어로 작성된 RTF(Rich Text Format) 형식의 악성코드를 공격에 사용했다.
SectorB31 그룹의 활동은 러시아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 VBA 매크로 스크립트가 포함된 워드(Word) 문서를 공격에 사용하였다. 워드 악성코드는 러시아어로 작성된 특정 참조 및 세션 문서로 위장하고 있으며, 매크로 활성화 버튼을 클릭하도록 유도한다.
SectorB34 그룹의 활동은 필리핀, 인도, 네팔, 러시아, 벨라루스에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 MS 문서에서 임의의 명령을 실행할 수 있는 취약점을 공격에 사용했다.
SectorB38 그룹의 활동은 태국, 중국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 다수의 정부 기관 관계자에게 스피어 피싱 이메일을 발송했다. 메일에는 워드 악성코드가 포함된 압축 파일과 압축 파일의 비밀번호가 첨부되어 있다.
SectorB42 그룹의 활동은 캄보디아, 러시아, 베트남, 미국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 전세계 많은 국가의 정부 기관과 금융, 통신 등 다양한 산업군에 속해 있는 기업들을 대상으로 특정 악성코드를 사용하여 공격을 수행하였다.
SectorB56 그룹의 활동은 이번 활동에서 방화벽 장비의 원격 코드 실행 취약점을 악용하여 정교한 공격을 수행하였다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
2022년 6 월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC02, SectorC04, SectorC05, SectorC08 그룹이다.
SectorC02그룹의 활동은 룩셈부르크에서 이들의 활동이 발견되었다. 해당 그룹은 NATO, EU와 관련된 웹페이지로 위장한 URL을 사용했으며, 전쟁관련 뉴스를 스크랩한 문서로 위장한 MS 워드 악성코드가 발견되었다.
SectorC04그룹의 활동은 미국, 루마니아에서 이들의 활동이 발견되었다. 해당 그룹은 스페인의 일부 지역에서 사용하는 카탈루냐어를 악성코드 파일명으로 사용했으며, 법령 관련 파일로 악성코드를 위장했다. 최종적으로 다운로더 기능을 가진 악성 DLL 파일이 실행된다.
SectorC05그룹의 활동은 싱가포르, 이탈리아, 캐나다, 우크라이나에서 발견되었다. 해당 그룹은 우크라이나 미디어 관련 조직을 대상으로 취약점을 악용한 악성 문서를 사용했다. 최종적으로 시스템에 설치되는 악성코드는 시스템에서 중요한 정보를 훔치거나 추가 악성코드를 다운로드 할 수 있는 백도어 기능을 가지고 있다.
SectorC08 그룹의 활동은 우크라이나, 네덜란드, 중국, 러시아, 폴란드, 핀란드에서 이들의 활동이 발견되었다. 해당 그룹은 우크라이나 검찰 및 행정문서 관련 파일로 위장한 악성코드와 러시아 국방부 문서로 위장한 MS 워드 파일 형식의 악성코드를 사용했으며, 최종적으로 오픈 소스 원격 제어 도구를 통해 시스템 원격제어를 시도했다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.
4. SectorD 그룹 활동 특징
2022년 6 월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD05, SectorD10, SectorD14, SectorD22 그룹이다.
SectorD05그룹의 활동은 이스라엘에서 발견되었다. 해당 그룹은 메일 계정 탈취를 위해 이스라엘의 공무원, 군인 등을 대상으로 스피어 피싱 이메일을 발송했다.
SectorD10그룹의 활동은 미국에서 발견되었다. 해당 그룹은 공격 대상 정보를 수집하기 위해 대학의 도서관, 포털 페이지들로 위장한 피싱 사이트를 사용했다.
SectorD14그룹의 활동은 미국, 아랍 에미레이트에서 발견되었다. 해당 그룹은 이스라엘의 온라인 신문사에서 작성한 기사의 PDF 파일로 위장한 악성코드를 사용했다.
SectorD22그룹의 활동은 미국, 인도에서 발견되었다. 해당 그룹은 채용 담당자로 위장하여 스피어 피싱 이메일을 발송했으며, 최종적으로 시스템 내부의 금융 정보 및 자격 증명 정보를 탈취하는 기능을 가진 악성코드를 사용했다.
SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.
5. SectorE 그룹 활동 특징
2022년 6 월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE04, SectorE05 그룹이다.
SectorE01 그룹의 활동은 영국, 파키스탄, 중국, 캐나다, 카타르에서 이들의 해킹 활동에 발견되었다. 해당 그룹은 이번 활동에서 VBA 매크로 스크립트가 포함된 MS 엑셀 문서를 공격에 활용하였으며, 정부기관과 관련된 내용으로 위장하고 있다.
SectorE02 그룹의 활동은 파키스탄, 인도네시아, 카타르에서 이들의 해킹 활동에 발견되었다. 해당 그룹은 이번 활동에서 MS 워드와 RTF 파일 등 다양한 형식의 문서형 악성코드를 배포했다.
SectorE04 그룹의 활동은 중국, 파키스탄, 영국, 독일, 인도, 미국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 MS 워드와 RTF 파일 등 다양한 형식의 문서형 악성코드를 배포했으며, 안보조약, 뉴스 등의 주제로 위장하고 있다.
SectorE05 그룹의 활동은 중국, 파키스탄, 미국, 터키에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 임직원 교육 내용으로 위장하고 있는 CHM(Compiled HTML Help) 파일 공격에 사용하였다.
SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다.
6. SectorF 그룹 활동 특징
2022년 6 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorF01 그룹이다.
SectorF01 그룹은 이번 활동에서 안드로이드 운영체제 사용자를 대상으로 특정 브라우저 앱으로 위장한 악성코드를 공격에 활용하였다.
SectorF 해킹 그룹은 이들을 지원하는 정부와 인접한 국가들의 정치, 외교 및 군사 활동과 같은 고급 정보를 수집하기 위한 목적과, 자국의 경제 발전을 위한 첨단 기술 관련 고급 정보 탈취를 위한 목적을 갖는 것으로 분석된다.
7. SectorH 그룹 활동 특징
2022년 6 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.
SectorH03 그룹은 인도에서 활동이 발견되었다. 해킹 그룹은 이번 활동에서 방위산업 수출 검토 주제의 파워포인트(PowerPoint) 문서 파일을 배포하였으며, RAT(Remote Administration Tool) 기능을 가진 악성코드를 피해자 시스템에 설치하였다. 설치한 악성코드는 피해자 시스템에서 시스템 정보, 키로깅(Keylogging), 화면 캡쳐 등의 정보를 탈취하는 악의적인 활동을 하였다.
SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.
8. Cyber Crime 그룹 활동 특징
2022년 6 월에는 온라인 가상 공간에서 활동하는 총 10 개의 사이버 범죄 그룹이 발견되었으며, 이들은 SectorJ03, SectorJ06, SectorJ09, SectorJ20, SectorJ25, SectorJ38, SectorJ44, SectorJ48, SectorJ53, SectorJ56 그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ03그룹의 활동은 팔레스타인에서 발견되었다. 해당 그룹은 악성 매크로가 존재하는 MS 워드 형식의 악성코드를 사용했으며, 팔레스타인과 관련된 파일로 위장하여 해당 악성코드 실행을 유도했다.
SectorJ06그룹의 활동은 중국, 이스라엘, 싱가포르, 프랑스, 미국에서 발견되었다. 해당 그룹은 취약한 MS 익스체인지(Exchange) 서버를 공격 대상으로 삼거나, 이미 탈취된 자격 증명 정보를 바탕으로 내부 시스템에 침입했으며, 다양한 오픈소스 도구들을 활용했다.
SectorJ09그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있다. 이번 활동에서 기존에 발견되던 것과 동일한 유형의 자바스크립트 악성코드가 확인되었다.
SectorJ20그룹의 활동은 러시아, 핀란드, 벨라루스, 루마니아, 일본, 에스토니아, 프랑스, 이탈리아, 홍콩, 나이지리아, 방글라데시, 인도네시아, 알바니아, 벨기에, 아르메니아, 이스라엘, 영국, 인도, 몰타, 콜롬비아, 캐나다, 우크라이나, 미국, 네덜란드, 스위스, 필리핀, 키프로스, 폴란드, 스페인, 독일에서 발견되었다. 해당 그룹은 스테가노그래피(Steganography) 기법을 악용한 이미지를 사용했으며, 로더 악성코드로 이미지에 숨겨진 백도어 악성코드를 실행했다.
SectorJ25그룹의 활동은 중국, 홍콩, 미국, 대만, 영국, 러시아, 한국에서 발견되었다. 해당 그룹은 도커 엔진(Docker Engine)에서 원격 접속을 허용하는 2375 포트가 열린 서버를 대상으로 삼았으며, 채굴 소프트웨어를 시스템에 설치하여 크립토 재킹(Crypto jacking) 공격을 시도했다.
SectorJ38그룹의 활동은 독일, 우크라이나, 미국, 중국에서 발견되었다. 해당 그룹은 취약점을 악용하여 아직 패치하지 않은 대상에게 랜섬웨어 공격을 시도했다.
SectorJ44그룹의 활동은 페루에서 발견되었다. 해당 그룹은 기존 사용하던 랜섬웨어와 유사한 코드를 가진 새로운 랜섬웨어를 사용했으며, 기존 랜섬웨어와 유사하게 네트워크 리소스와 랜섬노트 문자열을 RC4 알고리즘으로 암호화했다.
SectorJ48그룹의 활동은 미국, 오스트리아, 아일랜드, 프랑스, 영국, 러시아, 우크라이나에서 발견되었다. 해당 그룹은 우크라이나 국세청 벌금 관련 압축파일로 위장했으며, 최종적으로 침투 테스트 도구로 사용되는 코발트 스트라이크(Cobalt Strike)를 사용했다.
SectorJ53그룹의 활동은 중국, 뉴질랜드, 이탈리아, 폴란드, 스페인, 터키, 스웨덴, 에스토니아, 아일랜드, 인도, 러시아, 미국, 캐나다, 프랑스, 홍콩, 슬로베니아, 영국, 태국, 노르웨이, 독일, 대만, 싱가포르, 일본, 카자흐스탄, 이집트, 몰디브, 한국에서 발견되었다. 해당 그룹은 송장 관련 내용의 스피어 피싱 이메일을 발송하여, 코발트 스트라이크 또는 슬리버(Sliver) 같은 침투 테스트 도구를 다운로드 및 실행할 수 있게 하는 다운로더 악성코드를 배포했다.
SectorJ56그룹의 활동은 일본, 싱가포르, 아일랜드, 루마니아, 프랑스, 이탈리아, 영국, 말레이시아, 아르헨티나, 인도, 캐나다, 세르비아, 폴란드, 에스토니아, 독일, 스웨덴, 미국, 이스라엘에서 발견되었다. 해당 그룹은 스레드 하이재킹(Thread Hijacking) 한 이메일을 통해 지인에게 온 이메일로 위장하여 악성코드 실행을 유도했으며, 최종적으로 실행되는 악성코드는 시스템 내부의 금융 정보 및 자격 증명 정보를 탈취하는 기능을 가지고 있다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.