Monthly Threat Actor Group Intelligence Report, August 2022 (KOR)

2022년 7월 21일에서 2022년 8월 20일까지 NSHC ThreatRecon팀에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다. 이번 8월에는 총 20개의 해킹 그룹들의 활동이 확인되었으며, SectorA 그룹들이 43%로 가장 많았으며, SectorE와 SectorC 그룹들의 활동이 그 뒤를 이었다.

이번 8월에 발견된 해킹 그룹들의 해킹 활동은 정부부처와 금융 산업군에 종사하는 관계자 또는 시스템을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 동아시아(East Asia)와 유럽(Europe)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.

1. SectorA 그룹 활동 특징

2022년 8 월에는 총 5 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA05, SectorA06, SectorA07 그룹이다.

SectorA01 그룹은 중국, 영국, 브라질, 터키, 미국, 인도, 싱가포르에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 금융, IT, 항공우주, 제조 등의 산업군에 종사하고 있는 관계자들을 대상으로 특정 암호화폐 거래소의 엔지니어 채용 문서로 위장한 악성코드를 배포했다.

SectorA02 그룹은 한국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 ‘업무연락’, ‘거래내역’ 등의 문서 파일로 위장한 악성코드를 배포하였으며, 한국의 인력 파견 서비스 기업의 웹 서버를 장악해 C2 서버로 악용하고 있다.

SectorA05 그룹은 한국, 미국에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 NFT(Non-Fungible Token) 보상 토큰 공지 내용으로 위장한 스피어 피싱(Spear Phishing) 이메일을 발송했다.

SectorA06 그룹은 홍콩, 영국, 미국, 인도, 중국, 이탈리아, 러시아에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 금융 산업에 종사하고 있는 관계자들을 대상으로 윈도우 바로가기(LNK) 파일 형식의 악성코드를 배포했다. 해당 악성코드는 공격 대상이 관심을 가질 만한 채용, 급여 협상, 수익 분배 등의 파일명으로 위장하고 있다.

SectorA07 그룹은 러시아, 한국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 템플릿 인젝션(Template Injection) 기법을 사용하는 MS 워드(Word) 형식의 악성코드를 배포했다. 해당 워드 형식의 악성코드는 한국의 특정 대학교에서 작성한 문서로 한국의 특정 보안솔루션으로 검증한 안전한 문서로 위장하고 있다.

현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적은 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.

2. SectorB 그룹 활동 특징

2022년 8 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은SectorB03 그룹이다.

SectorB03 그룹은 체코, 필리핀, 태국, 베트남, 영국, 중국, 벨기에, 헝가리, 싱가포르에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 특정 비디오 채팅 앱(Video Chatting App) 서버를 장악하여, 사용자가 정상적인 경로에서 다운로드 받은 설치 프로그램에서 다른 악성코드를 추가로 받아오도록 변조하였다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

2022년 8 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC08, SectorC14 그룹이다.

SectorC08 그룹은 우크라이나, 미국, 러시아, 필리핀, 독일, 스웨덴, 스페인, 인도, 프랑스에서 이들의 활동이 발견되었다. 우크라이나 관련 문서로 위장한 MS 워드 파일 형식의 악성코드를 사용했으며, 최종적으로 원격 제어 도구인 울트라VNC(UltraVNC)를 사용했다.

SectorC14그룹은 미국, 영국에서 이들의 활동이 발견되었다. 해당 그룹은 국방, 비정부 기구 (NGO), 정부간 국제 기구(IGO) 등을 대상으로 소셜 네트워크(Social Network) 서비스를 사용하여 공격 대상과 신뢰를 구축하는 사회공학(Social Engineering) 기법을 사용했다. 그리고, 공격 대상을 피싱 사이트 접속을 유도하여 공격 대상의 메일 계정 로그인 정보를 탈취하였다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

4. SectorE 그룹 활동 특징

2022년 8 월에는 총 5 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE03, SectorE04, SectorE05 그룹이다.

SectorE01 그룹은 파키스탄, 루마니아, 인도, 중국에서 이들의 해킹 활동에 발견되었다. 해당 그룹은 이번 활동에서 템플릿 인젝션 기법을 사용하는 정부 및 국방부 문서로 위장한 MS 워드 파일 형식의 악성코드를 배포했다.

SectorE02 그룹은 우크라이나, 파키스탄, 싱가포르, 네덜란드, 방글라데시, 인도, 오스트리아, 러시아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 회의록 양식, 부품 재고 부족, 편지 등의 제목으로 위장한 MS 워드 파일과 RTF(Rich Text Format) 등의 문서형 악성코드를 배포했다.

SectorE03 그룹은 해당 그룹은 이번 활동에서 PE(Portable Executable) 형식의 악성코드를 공격 대상 시스템에 설치하고 시스템 제어권을 탈취하는 전술을 사용하고 있다.

SectorE04 그룹은 필리핀에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 2022년 회의록 PDF 파일로 위장한 바로가기 파일 형식의 악성코드를 압축한 파일을 배포했다.

SectorE05 그룹은 파키스탄, 미국, 인도, 영국, 뉴질랜드에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 정교하게 만들어진 가짜 웹 사이트에서 공격 대상이 직접 안드로이드 악성코드를 다운로드 하도록 유도하였다.

SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다.

5. SectorF 그룹 활동 특징

2022년 8 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorF01 그룹이다.

SectorF01 그룹은 중국, 홍콩, 터키, 베트남, 이탈리아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 규제 및 법률 위반 관련 자료 및 마케팅 광고 등의 제목으로 위장한 MS 워드 파일 형식의 악성코드를 배포했다.

SectorF 해킹 그룹은 이들을 지원하는 정부와 인접한 국가들의 정치, 외교 및 군사 활동과 같은 고급 정보를 수집하기 위한 목적과, 자국의 경제 발전을 위한 첨단 기술 관련 고급 정보 탈취를 위한 목적을 갖는 것으로 분석된다.

6. Cyber Crime 그룹 활동 특징

2022년 8 월에는 온라인 가상 공간에서 활동하는 총 6 개의 사이버 범죄 그룹이 발견되었으며, 이들은 SectorJ01, SectorJ04, SectorJ14, SectorJ20, SectorJ26, SectorJ31 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ01그룹의 활동은 미국에서 발견되었다. 해당 그룹은 송장 관련 파일로 위장한 XLL(마이크로소프트 엑셀의 추가 기능 파일) 형식의 악성코드를 사용했으며, 시스템 기본 정보, 프로세스 목록 등 다양한 정보를 수집하여 C2 서버에 전송한다.

SectorJ04그룹의 활동은 오스트리아, 독일에서 발견되었다. 해당 그룹은 의료 및 건강 관련 회사를 대상으로 피싱 메일을 전송했으며, 이력서로 위장한 바로가기 파일을 압축하여 IMG 형식의 압축 파일을 첨부했다.

SectorJ14그룹의 활동은 프랑스, 미국에서 발견되었다. 해당 그룹은 여러 국가들을 대상으로 안드로이드 스마트폰의 정보를 탈취하기 위한 목적으로, 크롬(Chrome) 웹 브라우저로 위장한 안드로이드 악성코드를 사용했다.

SectorJ20그룹의 활동은 말레이시아, 미국, 중국, 네덜란드, 리투아니아, 불가리아, 나이지리아에서 발견되었다. 해당 그룹은 스피어 피싱 메일에 포함한 원드라이브(OneDrive) 링크를 전달하여, 바로가기 파일 형식의 악성코드가 압축된 ISO 파일을 다운로드 받도록 유도했다.

SectorJ26그룹의 활동은 미국, 독일, 프랑스에서 발견되었다. 해당 그룹은 법률 회사 및 항공 업체를 대상으로 비용 청구서, 이력서 또는 법률 관련 문서로 위장한 MS 워드 파일 형식의 악성코드를 첨부한 스피어 피싱 메일을 전달했다.

SectorJ31그룹의 활동은 독일, 헝가리, 네덜란드에서 발견되었다. 해당 그룹은 공격 대상 조직의 개인 구글 계정 자격 증명을 획득한 후, 외부에 노출된 VPN 서버의 인증을 통해 공격 대상 조직의 시스템 내부에 접근했다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.