Monthly Threat Actor Group Intelligence Report, September 2022 (KOR)

2022년 8월 21일에서 2022년 9월 20일까지 NSHC ThreatRecon팀에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다. 이번 9월에는 총 25개의 해킹 그룹들의 활동이 확인되었으며, SectorA 그룹이 32%로 가장 많았으며, SectorE와 SectorJ 그룹들의 활동이 그 뒤를 이었다.

이번 9월에 발견된 해킹 그룹들의 해킹 활동은 정부부처와 정보통신 산업군에 종사하는 관계자 또는 시스템을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 동아시아(East Asia)와 유럽(Europe)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.

1. SectorA 그룹 활동 특징

2022년 9 월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA05, SectorA06, SectorA07 그룹이다.

SectorA01 그룹은 한국, 인도, 헝가리, 미국, 캐나다, 일본, 터키, 스페인, 아일랜드에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 뉴스 및 미디어 산업에 종사하고 있는 관계자를 대상으로 스피어 피싱(Spear Phishing) 공격을 수행하였다. 사회 공학 기법(Social Engineering)과 함께 메신저 앱을 통해 전달된 악성코드는 C2서버와 통신으로 시스템 정보 수집, 원격 데스크톱(RDP, Remote Desktop Protocol) 연결, 파일 업로드 및 다운로드 등의 기능들을 수행한다.

SectorA05 그룹은 한국, 베트남, 필리핀, 홍콩, 미국에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 정부기관, 국방, 언론사 및 주요 싱크탱크(Think Tank) 관계자들을 대상으로 공격을 수행하였다. 공격 대상에게 악성코드를 전달하기 위해 포털사이트의 대용량 파일 첨부 서비스를 사용하여 한글(HWP) 및 워드(Word) 등 문서 형식의 악성코드들을 전달했으며, 최종적으로 문서 내부에 포함되어 있는 OLE(Object Linking and Embedding) 개체를 사용하여 추가 악성코드를 다운로드 및 실행하고 시스템 권한 및 정보 탈취 등을 시도한다.

SectorA06 그룹은 홍콩, 영국, 미국, 인도, 중국, 이탈리아, 러시아에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 투자 및 금융 산업에 종사하고 있는 관계자들을 대상으로 스피어 피싱(Spear Phishing) 이메일을 공격에 활용하였다. 메일 본문에는 악성코드 다운로드 링크와 공격 대상이 관심을 가질 수 있는 성과 분배와 관련한 내용을 포함하여 악성코드 실행을 유도했으며, 최종적으로 공격 대상의 시스템 정보 등을 수집한 후 C2 서버로 전송하는 기능을 수행한다.

SectorA07 그룹은 러시아, 한국, 프랑스, 스웨덴에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 러시아 대사관 관계자를 대상으로 스피어 피싱(Spear Phishing) 이메일을 공격에 활용하였다. 공격 대상에게 전달한 이메일은 대사관 직원이 실제로 보낸 것처럼 사칭하였으며, 악성 매크로(Macro) 스크립트를 포함한 PPT(PowerPoint) 악성코드를 첨부 파일로 전달했다. 최종적으로 스케줄러에 등록하여 C2 서버에 지속적으로 시스템 정보를 전송하는 기능을 수행한다.

현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적은 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.

2. SectorB 그룹 활동 특징

2022년 9월에는 총 5 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB01, SectorB07, SectorB09, SectorB22, SectorB58 그룹이다.

SectorB01 그룹은 몽골, 대만, 러시아, 베트남, 싱가포르, 네덜란드, 독일, 홍콩, 미국, 중국, 키프로스에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 정부기관, 금융, 통신, 언론 등 여러 산업 분야의 종사자들을 대상으로 악성코드를 배포하였다. 알려진 악성코드와 정상 프로그램으로 악성 DLL 파일을 로드 후 실행하는 DLL 사이드 로딩(DLL Side Loading) 방식을 함께 사용하였으며, 키로깅(Keylogging), 화면 캡처(Screen Capture), 파일 업로드 및 다운로드 등의 기능을 수행한다.

SectorB07 그룹은 대만, 태국, 싱가포르, 독일, 호주, 말레이시아, 미국, 이스라엘에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 정부기관, 에너지 및 제조 부문에 종사하고 있는 관계자에게 피싱(Phishing) 공격을 시도했으며, 피싱 웹 페이지에 자바스크립트(JavaScript)를 삽입하여 방문자들을 대상으로 악성코드를 배포했다. 최종적으로 공격 대상의 브라우저 정보들을 수집하여 C2 서버로 전송하는 기능을 수행하며, C2 서버에서 전송하는 플러그인(Plugin)에 따라 다양한 악의적인 기능들을 수행할 수 있게 된다.

SectorB09 그룹은 일본, 미국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 내부 네트워크 침투를 목적으로 리눅스 OS를 대상으로 공격하기 위해 ARM 기반의 악성코드를 사용했다. 최종적으로 악성코드는 C2 서버와 통신이 성공할 경우, 감염된 시스템의 컴퓨터 이름, 프로세스 ID, 로그인 사용자 이름 등의 정보를 수집해 C2서버로 전송하는 기능을 수행한다.

SectorB22 그룹은 캐나다, 미국, 미얀마, 베트남에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 정부기관 관계자들을 대상으로 우크라이나 경제 상황, 수리남 공화국 대사관 사칭, EU 마약 범죄 관련 등 공격 대상이 관심을 가질 수 있는 제목의 압축 파일에 악성코드를 압축하여 배포했다. 최종적으로 감염된 시스템을 모니터링하며 정보를 수집하고 시스템 제어권을 탈취하는 전술을 사용하고 있다.

SectorB58 그룹은 중국, 신장 위구르 자치구에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 중국의 소수 민족 커뮤니티에서 활동하는 사람들을 공격 대상으로 삼았다. 이들은 안드로이드(Android) 악성코드를 사용하여, 최종적으로 감염된 휴대폰의 SMS, 연락처, 통화 기록 및 위치 정보 등의 정보 탈취를 시도했다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

2022년 9 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC05, SectorC08 그룹이다.

SectorC05그룹은 우크라이나에서 이들의 활동이 발견되었다. 해당 그룹은 우크라이나 남부 항구도시 오데사(Odessa)지역의 군사행정 문서로 위장한 악성코드를 사용했으며, 최종적으로 원격 제어 도구를 사용하였다.

SectorC08 그룹은 우크라이나, 중국에서 이들의 활동이 발견되었다. 해당 그룹은 우크라이나의 내무부, 보안국 등 정부기관 문서로 위장한 악성코드를 사용했으며, 최종적으로 사용한 악성코드를 이용하여 시스템 정보 수집 및 파일 탈취를 시도했다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

4. SectorD 그룹 활동 특징

2022년 9 월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD02, SectorD05, SectorD14, SectorD20 그룹이다.

SectorD02그룹은 이스라엘에서 이들의 활동이 발견되었다. 해당 그룹은 Log4j취약점이 패치 되지 않은 서버를 공격 대상으로 삼았으며, 이번 활동에서 취약한 SysAid Server instance에 대한 익스플로잇(Exploit)을 통해 원격 제어 상용 소프트웨어를 설치를 시도했다.

SectorD05그룹은 이집트, 요르단, 이스라엘, 인도, 아랍에미리트에서 이들의 활동이 발견되었다. 해당 그룹은 해운 및 해양 산업군의 조직들을 공격 대상으로 삼아 피싱(Phishing) 공격을 시도했으며, 해당 공격 대상 조직의 메일 서버 정보를 탈취하여 추가 공격을 위한 정보를 수집하는 것으로 판단된다.

SectorD14그룹은 슬로바키아, 미국, 알바니아, 그리스, 러시아, 베트남, 한국, 사우디 아라비아, 브라질, 독일, 스위스에서 이들의 활동이 발견되었다. 해당 그룹은 자바 업데이트로 위장한 악성코드를 사용했다. 해당 악성코드는 파일 업로드 및 추가 명령 코드를 실행할 수 있는 기능뿐만 아니라 공격 대상의 현재 화면을 캡처하는 기능을 가지고 있다.

SectorD20그룹은 카자흐스탄, 한국, 미국, 영국, 호주, 캐나다에서 이들의 활동이 발견되었다. 해당 그룹은 공격 대상 시스템의 접근 권한을 얻기 위해 프록시쉘(ProxyShell) 취약점이나 Log4j 취약점을 사용했으며, 최종적으로 비트락커(BitLocker)를 활성화하여 데이터를 암호화하고 랜섬 노트(Ransom Note)를 생성했다.

SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.

5. SectorE 그룹 활동 특징

2022년 9 월에는 총 5 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE03, SectorE04, SectorE05 그룹이다.

SectorE01 그룹은 파키스탄, 인도, 중국에서 이들의 해킹 활동에 발견되었다. 해당 그룹은 이번 활동에서 정부기관 및 국방, 경찰 분야에 종사하고 있는 관계자들을 대상으로 RTF(Rich Text Format) 형식의 문서형 악성코드를 배포했다. 최종적으로 시스템 정보를 탈취하고 추가 악성코드를 다운로드 및 실행하여 시스템 제어권을 탈취하는 전술을 사용하고 있다.

SectorE02 그룹은 우크라이나, 파키스탄, 싱가포르, 네덜란드, 방글라데시, 인도, 오스트리아, 러시아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 회의록 양식, 부품 재고 부족, 편지 등의 제목으로 위장한 MS 워드(Word) 파일과 RTF(Rich Text Format) 등의 문서형 악성코드를 배포했다. 최종적으로 추가 악성코드를 생성 및 실행하여 시스템 제어권을 탈취하는 전술을 사용하고 있다.

SectorE03 그룹은 해당 그룹은 이번 활동에서 중국, 홍콩, 러시아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 정부기관에서 사용하는 문서와 이력서와 같은 특정 양식으로 위장한 MS 워드(Word) 형식의 악성코드를 배포했다. 최종적으로 DLL 파일을 추가로 생성 및 동작 시키며, 감염된 시스템, 특정 확장자를 가진 파일, 네트워크 정보들을 수집 후 C2로 전송하는 기능을 수행한다.

SectorE04 그룹은 파키스탄, 네덜란드에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 정부기관 문서로 위장한 MS 워드(Word) 문서를 배포했다. 템플릿 인젝션(Template Injection) 기법을 사용하는 워드(Word) 문서는 매크로가 포함된 파일을 C2 서버에서 추가로 받아오며, 공격 대상을 속이기 위해 C2 서버에서 사용하는 도메인도 해당 정부기관과 유사하게 사용했다.

SectorE05 그룹은 중국, 알바니아에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 CHM(Compiled HTML Help) 형식의 악성코드를 공격에 사용했으며, CHM 파일은 중국 의료기기 컨퍼런스의 초청장과 우주 협력 기구에 대한 회의 제목으로 위장하고 있다. 최종적으로 스케줄러에 등록하여 감염된 시스템에서 지속성(Persistence)을 유지하고 윈도우 유틸리티를 사용해 C2 서버로 컴퓨터 이름과 사용자 이름을 같이 전송하는 기능을 수행한다.

SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.

6. SectorH 그룹 활동 특징

2022년 9 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.

SectorH03 그룹은 인도, 미국에서 활동이 발견되었다. 해킹 그룹은 이번 활동에서 정부, 군대, 국방 기관을 대상으로 국방부 직원의 수업료 안내 서류로 위장한 윈도우 바로가기(LNK) 파일을 사용하여 공격 활동을 하였으며, 피해자 시스템에서 정보 탈취 목적으로 키로깅(Keylogging), 클립보드 데이터, 화면 캡쳐 등의 악성 행위를 하였다.

SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.

7. Cyber Crime 그룹 활동 특징

2022년 9 월에는 온라인 가상 공간에서 활동하는 총 4 개의 사이버 범죄 그룹이 발견되었으며, 이들은 SectorJ09, SectorJ25, SectorJ26, SectorJ48 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ09그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있다. 이번 활동에서도 기존에 발견되던 것과 유사한 유형의 자바스크립트 악성코드가 확인되었다.

SectorJ25그룹의 활동은 미국, 영국에서 발견되었다. 해당 그룹은 리눅스 기반 시스템을 대상으로 쉘(Shell) 형식의 악성코드를 사용했으며, 추가 명령 수행 및 크립토 재킹(Crypto jacking) 공격을 시도했다.

SectorJ26그룹의 활동은 미국, 캐나다, 독일, 룩셈부르크에서 발견되었다. 해당 그룹은 TIC (Testing, Inspection and Certification) 문서로 위장한 MS 워드(Word) 형식의 악성코드를 사용했으며, 최종적으로 코발트 스트라이크(Cobalt Strike)를 설치하여 시스템 권한 및 정보 탈취를 시도했다.

SectorJ48그룹의 활동은 터키, 프랑스, 영국, 미국, 이탈리아, 러시아, 베트남, 태국, 일본에서 발견되었다. 해당 그룹은 NGO(Nongovernmental Organization) 및 정부기관 또는 호텔을 포함한 다양한 산업군을 공격 대상으로 삼았으며, 최종적으로 코발트 스트라이크(Cobalt Strike)를 설치하여 시스템 권한 및 정보 탈취를 시도했다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.