Monthly Threat Actor Group Intelligence Report, July 2022 (KOR)

2022년 6월 21일에서 2022년 7월 20일까지 NSHC ThreatRecon팀에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.

이번 7월에는 총 31개의 해킹 그룹들이 확인되었으며, SectorJ 그룹들이 22%로 가장 많았으며, SectorA와 SectorE 그룹들의 활동이 그 뒤를 이었다.

이번 7월에 발견된 해킹 그룹들의 해킹 활동은 정부부처와 정보통신 산업군에 종사하는 관계자 또는 시스템을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 유럽(Europe)과 동아시아(East Asia)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.

1. SectorA 그룹 활동 특징

2022년 7 월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA04, SectorA05, SectorA07 그룹이다.

SectorA01 그룹은 일본, 영국, 미국, 한국, 오스트리아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 의료 및 보건 분야에 속한 기업들을 대상으로 랜섬웨어(Ransomware)를 유포하였으며, 내부 의료 정보 등을 암호화한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동을 수행하기 위함으로 분석된다.

SectorA04 그룹은 독일, 헝가리에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 유럽의 소규모 기업들을 대상으로 랜섬웨어를 유포하였으며, 내부 정보를 암호화한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동을 수행하기 위함으로 분석된다.

SectorA05 그룹은 한국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 국방, 외교, 안보, 통일 분야의 대학 교수들과 언론 기자, 연구원을 대상으로 스피어 피싱(Spear Phishing) 이메일을 전달했다.

SectorA07 그룹은 러시아, 말레이시아, 폴란드, 체코, 이스라엘에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 압축 파일이 첨부된 스피어 피싱 이메일을 공격에 사용하였다.

현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적은 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.

2. SectorB 그룹 활동 특징

2022년 7 월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB22, SectorB25, SectorB38 그룹이다.

SectorB22 그룹은 체코, 필리핀, 태국, 베트남, 영국, 중국, 벨기에, 헝가리, 싱가포르에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 회의 보고서, 대사관 보고서, 지침서, 팬데믹(Pandemic) 등 공격 대상이 관심을 가질 수 있는 다양한 주제로 위장한 압축 파일 형태의 악성코드를 사용했다.

SectorB25 그룹은 파키스탄, 영국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 동남아시아 국가의 통신국 직원에게 문서형 악성코드가 첨부된 스피어 피싱 이메일을 전달했다.

SectorB38 그룹은 베트남에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 군부대에서 작성한 전자신문의 내용으로 위장하고 있는 RTF(Rich Text File) 형식의 문서 악성코드를 사용했다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

2022년 7 월에는 총 7 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC02, SectorC04, SectorC05, SectorC08, SectorC14, SectorC15 그룹이다.

SectorC01그룹은 우크라이나에서 이들의 활동이 발견되었다. 해당 그룹은 정보 수집 용도의 닷넷(DOT Net) 기반의 악성코드를 사용했으며, 폴리나(Follina, CVE-2022-30190) 취약점을 악용하는 워드 악성코드를 우크라이나 전쟁 기사로 위장하여 사용했다.

SectorC02그룹은 조지아, 아르헨티나에서 이들의 활동이 발견되었다. 해당 그룹은 군부대를 사칭하는 웹페이지에서 DDoS 도구로 위장한 안드로이드(Android) 악성코드를 배포했다.

SectorC04그룹은 이집트, 우크라이나, 인도, 홍콩, 캐나다, 미국, 노르웨이, 이탈리아, 러시아 연방, 벨기에, 네덜란드, 에스토니아, 말레이시아, 핀란드, 오스트리아에서 이들의 활동이 발견되었다. 해당 그룹은 정부를 사칭하여 PDF 문서를 첨부한 스피어 피싱 이메일을 전달했으며, 코로나(COVID-19) 관련 내용의 PDF 문서는 내부에 존재하는 피싱 링크 클릭을 유도했다.

SectorC05그룹은 우루과이, 우크라이나에서 발견되었다. 해당 그룹은 통신 산업군을 대상으로 법률 지원 및 군부대 관련 내용의 스피어 피싱 이메일을 전달했으며, 최종적으로 백도어 악성코드를 사용했다.

SectorC08 그룹은 우크라이나, 러시아, 인도, 독일에서 이들의 활동이 발견되었다. 해당 그룹은 군비 지급 관련 문서로 위장한 악성코드를 사용하였다. 또한, 국방부 문서로 위장한 MS 워드(Word) 파일 형식의 악성코드와 함께 최종적으로 원격 제어 도구를 사용했다.

SectorC14그룹은 우크라이나, 영국에서 이들의 활동이 발견되었다. 해당 그룹은 국방부의 로그인 페이지로 위장한 피싱 사이트를 사용했다.

SectorC15 그룹은 프랑스, 우크라이나, 미국, 영국, 호주, 독일에서 이들의 활동이 발견되었다. 해당 그룹은 정부기관 직원들을 대상으로 국방 관련 내용의 스피어 피싱 이메일을 발송했으며, 최종적으로 침투 테스트 도구인 코발트 스트라이크(Cobalt Strike)를 사용한다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

4. SectorD 그룹 활동 특징

2022년 7 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD02, SectorD10 그룹이다.

SectorD02그룹은 이스라엘에서 이들의 활동이 발견되었다. 해당 그룹은 항공사 관련 파일로 위장한 윈도우 인스톨러(Windows Installer) 패키지 파일 형식의 악성코드를 사용했다.

SectorD10그룹은 스웨덴, 미국, 영국에서 이들의 활동이 발견되었다. 해당 그룹은 공격 대상 정보를 수집하기 위해 대학의 도서관, 포털 페이지들로 위장한 피싱 사이트를 사용했다.

SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.

5. SectorE 그룹 활동 특징

2022년 7 월에는 총 6 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE02, SectorE03, SectorE04, SectorE05, SectorE06, SectorE07 그룹이다.

SectorE02 그룹은 싱가포르, 체코, 파키스탄, 인도, 카타르, 영국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 제안요청서, 논문 주제로 위장한 RTF 형식의 문서형 악성코드를 사용했다.

SectorE03 그룹은 카타르, 독일, 파키스탄, 스웨덴, 영국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 정부 기관의 관계자를 대상으로 COVID-19 예방 내용을 가진 스피어 피싱 이메일을 전달했다.

SectorE04 그룹은 스리랑카, 파키스탄에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 조선소의 임직원을 대상으로 스피어 피싱 이메일에 문서형 악성코드를 첨부하여 전달했다.

SectorE05 그룹은 중국, 한국에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 취약점을 사용하는 엑셀 문서 악성코드를 공격에 사용하였다.

SectorE06 그룹은 중국, 이탈리아, 팔레스타인에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 안드로이드 운영체제 사용자를 대상으로 안드로이드 악성코드를 공격에 사용했다.

SectorE07 그룹은 이탈리아에서 이들의 활동이 발견되었다. 해당 그룹은 비디오 플랫폼 앱으로 위장한 안드로이드 악성코드를 사용하여 SMS 정보, 사진, 통화 녹음 등 공격 대상의 정보 탈취를 시도했다.

SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다.

6. SectorF 그룹 활동 특징

2022년 7 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorF01 그룹이다.

SectorF01 그룹은 중국, 홍콩에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 리눅스 운영체제를 대상으로 ELF(Executable and Linkable Format) 형식의 악성코드를 사용하였다.

SectorF 해킹 그룹은 이들을 지원하는 정부와 인접한 국가들의 정치, 외교 및 군사 활동과 같은 고급 정보를 수집하기 위한 목적과, 자국의 경제 발전을 위한 첨단 기술 관련 고급 정보 탈취를 위한 목적을 갖는 것으로 분석된다.

7. SectorH 그룹 활동 특징

2022년 7 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH01, SectorH03 그룹이다.

SectorH01 그룹은 한국, 요르단에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 특정 스피어 피싱 이메일을 사용하였으며, 구매 발주서(Purchase Order)로 위장한 파워포인트(PowerPoint) 문서를 배포하였다. 해당 문서를 통해 악성코드를 공격 대상의 시스템에 설치하였으며, 설치된 악성코드는 피해자 시스템에서 시스템 정보, 키로깅(Keylogging), 화면 캡쳐, 클립보드 데이터 수집 등의 정보를 탈취하는 악의적인 행위를 수행하였다.

SectorH03 그룹은 일본, 인도, 미국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 국방부 지침 문서로 위장한 파워포인트 문서 파일을 배포하여 악성코드를 피해자 시스템에 설치하였다. 설치된 악성코드는 피해자 시스템에서 시스템 정보, 키로깅, 화면 캡쳐 등의 정보를 탈취하는 악의적인 행위를 수행하였다.

이외에도 해당 그룹은 군부대 관련 서류로 위장한 윈도우 바로가기(LNK) 파일을 배포하여 악성코드를 피해자 시스템에 설치하였으며, 설치된 악성코드는 피해자 시스템에서 시스템 정보, 키로깅, 클립보드 데이터, 화면 캡쳐 등의 정보 탈취 행위를 하였다.

SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.

8. Cyber Crime 그룹 활동 특징

2022년 7 월에는 온라인 가상 공간에서 활동하는 총 4 개의 사이버 범죄 그룹이 발견되었으며, 이들은 SectorJ06, SectorJ09, SectorJ14, SectorJ53 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ06그룹의 활동은 캐나다, 사우디 아라비아, 일본, 스페인, 싱가포르, 브라질, 이집트, 프랑스, 멕시코, 카타르, 미국, 인도, 체코, 에콰도르, 베트남, 칠레, 스웨덴, 중국, 이탈리아, 인도네시아, 태국, 크로아티아, 홍콩, 말레이시아, 독일, 러시아, 노르웨이, 캄보디아, 우크라이나에서 발견되었다. 해당 그룹은 우크라이나어를 파일명에 사용하여, 세관 신고서로 위장한 악성코드를 ISO 파일로 압축하여 전달했으며, 최종적으로 침투 테스트 도구인 코발트 스트라이크를 사용했다.

SectorJ09그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있다. 이번 활동에서도 기존에 발견되던 것과 유사한 유형의 자바스크립트 악성코드가 확인되었다.

SectorJ14그룹의 활동은 일본, 폴란드, 한국, 영국, 중국, 미국, 프랑스, 독일에서 발견되었다. 해당 그룹은 일본 운송 관련 안드로이드 앱과 AI 채팅 안드로이드 앱으로 위장한 안드로이드 악성코드를 사용하여 안드로이드 기반의 스마트폰의 정보 탈취를 시도하였다.

SectorJ53그룹의 활동은 호주, 태국, 중국, 카자흐스탄, 싱가포르, 네덜란드, 홍콩, 터키, 러시아, 인도, 미국, 독일, 프랑스, 이스라엘, 노르웨이, 우크라이나, 벨라루스, 남아프리카, 뉴질랜드, 폴란드, 영국, 슬로베니아, 이탈리아, 스위스, 캐나다, 대한민국, 니카라과, 대만, 슬로바키아, 오스트리아, 브라질, 보스니아 헤르체고비나, 이집트, 칠레, 일본, 콜롬비아, 나이지리아, 스페인, 키프로스, 그리스, 알바니아, 아제르바이잔, 에스토니아, 말레이시아, 모로코, 스웨덴, 이란, 불가리아, 모리타니, 그루지야, 인도네시아에서 발견되었다. 해당 그룹은 이메일의 본문에 악성코드가 포함된 ISO파일이 업로드 된 구글 스토리지(Google storage) 링크를 클릭하도록 유도했으며, 최종적으로 온라인 뱅킹 로그인 자격 증명을 포함한 금융 정보 탈취를 시도했다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 RA.global@nshc.net으로 문의해 주시기 바랍니다.