Monthly Threat Actor Group Intelligence Report, October 2022 (KOR)

2022년 9월 21일에서 2022년 10월 20일까지 NSHC ThreatRecon팀에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다. 이번 10월에는 총 28개의 해킹 그룹들의 활동이 확인되었으며, SectorA 그룹들이 30%로 가장 많았으며, SectorJ와 SectorE 그룹들의 활동이 그 뒤를 이었다.

이번 10월에 발견된 해킹 그룹들의 해킹 활동은 정부부처와 정보통신 산업군에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 동아시아(East Asia)와 유럽(Europe)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.

1. SectorA 그룹 활동 특징

2022년 10 월에는 총 5 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA05, SectorA06, SectorA07 그룹이다.

SectorA01 그룹은 대만, 영국, 인도, 체코, 헝가리, 러시아, 미국, 한국, 네덜란드, 벨기에에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 방산, 금융, 언론, 제약, 항공 등 여러 산업군에 종사하고 있는 관계자를 대상으로 공격을 수행하였다. 초기 침투(Initial Access) 방식으로 이력서로 위장한 ISO 이미지 압축 파일을 사용했으며, PE(Portable Executable) 형식의 악성코드와 텍스트 파일이 같이 포함되어 있다. 최종적으로 더미다 프로텍터(Themida Protector)로 보호된 DLL 파일을 추가로 생성 및 동작하여, 시스템 제어권을 탈취하는 전술을 사용하고 있다.

SectorA02 그룹은 이번 활동에서 PE(Portable Executable) 형식의 악성코드를 배포했다. 악성코드가 정상적으로 실행될 경우 C2 서버에서 추가 악성코드를 다운로드 및 실행하는 기능을 수행하며, 최종적으로 감염된 시스템 정보, 사용자 입력 값 등을 탈취하고 인코딩 후 C2 서버로 전송하는 기능을 수행한다.

SectorA05 그룹은 한국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부 기관, 연구소, 언론, 정당, 학교 등의 산업군에 종사하는 관계자를 대상으로 공격을 수행하였다. 이들은 한국에서 발생한 모바일 메신저 서비스 장애와 관련하여 이를 악용하기 위한 스피어피싱(Spear Phishing) 이메일을 발송했다. 최종적으로 더미다 프로텍터(Themida Protect)로 코드가 보호되고 있는 악성코드를 통해 시스템 제어권을 탈취하는 전술을 사용하고 있다.

SectorA06 그룹은 러시아, 미국, 영국, 스위스, 홍콩, 호주에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 압축 파일에 미끼 문서와 패스워드 파일로 위장하고 있는 바로가기(LNK) 형식의 악성코드를 배포했다. 최종적으로 시작프로그램 폴더에 악성코드를 생성하여, 감염된 시스템에서 지속성(persistence)을 유지하고 WMI(Windows Management Instrumentation) 명령을 사용해 시스템 정보를 수집하는 기능들을 수행한다.

SectorA07 그룹은 한국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 암호화폐 기업 이슈로 위장한 MS 워드(Word) 악성코드를 배포했으며, 악의적인 VBA 스크립트가 포함된 템플릿(Template) 파일을 다운로드 받아 실행하는 템플릿 인젝션(Template Injection) 기법을 사용한다. 최종적으로 VBA 스크립트에서 WMI(Windows Management Instrumentation) 명령을 사용해 OS버전, 컴퓨터 이름, 네트워크 정보를 수집해 C2서버로 전송하는 기능을 수행한다.

현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적은 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.

2. SectorB 그룹 활동 특징

2022년 10 월에는 총 5 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB01, SectorB03, SectorB04, SectorB22, SectorB58 그룹이다.

SectorB01 그룹은 미국, 스리랑카에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부 기관 관계자들을 대상으로 드롭박스(Dropbox), 구글 드라이브(Google Drive) 등의 클라우드 스토리지(Cloud storage)를 악용해 ISO 이미지 파일 형식의 악성코드를 배포하였다. 정상 프로그램으로 악성 DLL 파일을 로드 후 실행하는 DLL 사이드 로딩(DLL Side Loading) 방식을 사용했으며, 최종적으로 키로깅(Keylogging), 화면 캡처(Screen Capture), 파일 업로드 및 다운로드 등의 기능을 수행한다.

SectorB03 그룹은 미국, 중국, 베트남, 홍콩, 일본, 알바니아, 아랍에미리트에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부 기관, 전자, 의료 분야의 시스템을 대상으로 공격을 수행하였다. Log4J 취약점을 악용해 파일 업로드, 다운로드를 포함한 다양한 기능을 가진 웹 쉘(Web Shell)을 업로드하여 초기 접근 권한을 얻었다. 최종적으로 감염된 시스템을 계속 모니터링하며 정보를 수집하고 시스템 제어권을 탈취한다.

SectorB04 그룹은 이번 활동에서 Log4J 취약점 취약점을 악용해 초기 접근 권한을 얻었다. 이후 파워쉘(PowerShell) 명령으로 추가 악성코드를 시스템 내부에 생성 및 실행시켰으며, 코발트 스트라이크(Cobalt Strike), 임패킷(Impacket) 등의 도구들을 공격 과정에 사용했다. 최종적으로 랜섬웨어를 사용해 중요 파일을 암호화하여 시스템 운영을 방해하기 위한 목적으로 분석된다.

SectorB22 그룹은 루마니아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 압축 파일에 악성코드와 바로가기(LNK) 형식의 파일을 함께 배포했다. 감염 사실을 숨기기 위해 미끼 문서를 보여주며, 최종적으로 감염된 시스템을 계속 모니터링하며 정보를 수집하고 시스템 제어권을 탈취하는 전술을 사용하고 있다.

SectorB58 그룹은 중국, 신장 위구르 자치구에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 중국의 소수 민족 커뮤니티에서 활동하는 인물들을 공격 대상으로 삼았으며, 위구르어로 번역된 알카에다(Al-Qaida) 군사 과정을 주제로 위장한 안드로이드 악성코드를 사용했다. 최종적으로 감염된 스마트폰의 SMS, 연락처, 통화 기록 및 위치 정보 등의 정보 탈취를 시도했다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

2022년 10 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC08 그룹이다.

SectorC01 그룹은 독일, 터키, 미국, 이탈리아, 슬로바키아에서 이들의 활동이 발견되었다. 해당 그룹은 OECD(Organization for Economic Co-operation and Development) 회의 통역 안내사항에 대한 문서로 위장한 MS 파워포인트(PowerPoint) 악성코드를 사용했으며, 최종적으로 오픈 소스 원격 제어 도구인 엠파이어(Empire)를 사용하여 시스템 제어를 시도했다.

SectorC08 그룹은 우크라이나, 독일, 벨라루스, 러시아에서 이들의 활동이 발견되었다. 해당 그룹은 러시아와 우크라이나의 정부 기관 문서로 위장한 악성코드를 사용했으며, 최종적으로 원격 제어 도구인 울트라 VNC(UltraVNC)를 사용하여 정보탈취를 시도했다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

4. SectorD 그룹 활동 특징

2022년 10 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD11 그룹이다.

SectorD11 그룹은 이란, 중국에서 이들의 활동이 발견되었다. 해당 그룹은 번역 기사를 제공하는 사이트로 위장한 피싱 사이트를 통해 안드로이드 악성코드를 유포했으며, SMS 정보, 사진, 통화 녹음 등 공격 대상의 정보 탈취를 시도했다.

SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.

5. SectorE 그룹 활동 특징

2022년 10 월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE04, SectorE05 그룹이다.

SectorE01 그룹은 프랑스에서 이들의 해킹 활동에 발견되었다. 해당 그룹은 MS 워드(Word) 형식의 문서형 악성코드를 배포했다. 악성코드는 IBAN(International Bank Account Number) 목록 및 세부정보, 서약서로 위장하고 있으며, 악의적인 VBA 스크립트가 포함된 템플릿(Template) 파일을 다운로드 받아 실행하는 템플릿 인젝션(Template Injection) 기법을 사용한다. 최종적으로 받아온 템플릿 파일에 의해 시스템 정보를 수집하는 기능을 수행할 것으로 분석된다.

SectorE02 그룹은 싱가포르, 파키스탄, 방글라데시, 중국, 프랑스에서 이들의 해킹 활동에 발견되었다. 해당 그룹은 MS 워드(Word), MS 엑셀(Excel), MS 파워포인트(PowerPoint), RTF(Rich Text Format) 형식의 다양한 문서형 악성코드를 배포했다. 문서형 악성코드는 “미얀마 감옥에 수감된 방글라데시인 송환”, “공동대표이사 및 부국장”, “카슈미르(Kashmir)” 등 공격 대상의 흥미를 끌 수 있는 제목으로 위장하여 실행을 유도한다. 최종적으로 C2 서버에서 추가 파일을 다운로드 및 동작 시켜 시스템 제어권을 탈취하는 전술을 사용하고 있다.

SectorE04 그룹은 파키스탄, 스리랑카, 영국, 홍콩에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 스리랑카 행정기관에서 발송된 승인된 의료 종사자 목록, 연금 수령 양식 문서로 위장한 MS 워드(Word) 문서를 배포했다. 템플릿 인젝션(Template Injection) 기법을 사용하는 MS 워드(Word) 악성코드는 매크로(Macro)가 포함된 OLE(Object Linking and Embedding) 개체를 C2 서버에서 추가로 받아오며, 공격 대상을 속이기 위해 C2 서버에 사용하는 도메인 주소 이름을 관련 행정기관과 유사하게 사용하는 특징을 가지고 있다.

SectorE05 그룹은 파키스탄에서 이들의 활동이 발견되었다. 해당 그룹은 CHM(Compiled HTML Help) 형식의 악성코드를 공격에 사용했으며, 파키스탄 과다르(Gwadar)의 STM(파키스탄 방산업체) 프로젝트에 대한 제목으로 위장하고 있다. 최종적으로 스케줄러에 등록하여 감염된 시스템에서 지속성(Persistence)을 유지하고, 윈도우 유틸리티를 사용해 C2 서버로 컴퓨터 이름과 사용자 이름을 같이 전송하는 기능을 수행한다.

SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.

6. SectorG 그룹 활동 특징

2022년 10 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH01 그룹이다.

SectorG03 그룹은 이스라엘에서 활동이 발견되었다. 해당 그룹은 IT(Information Technology), 엔지니어링, 법률, 커뮤니케이션, 브랜딩 및 마케팅, 미디어, 정부 기관 등 다양한 분야를 대상으로 다수의 맞춤형(Custom) 악성코드와 도구를 배포하여 정보 탈취 행위를 하였다.

SectorG 해킹 그룹들은 주로 이들을 지원하는 정부와 관련된 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행하였으며, 최근의 SectorG 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부에 반대하는 인물 또는 국가들의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.

7. SectorH 그룹 활동 특징

2022년 10 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH01 그룹이다.

SectorH01 그룹은 한국, 스웨덴, 이탈리아, 자메이카에서 활동이 발견되었다. 해킹 그룹은 파워쉘(PowerShell) 악성코드를 유포하여 키로깅(Keylogging), 화면 캡쳐(Screen Capture) 등의 정보 탈취 행위를 하였다.

SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.

8. Cyber Crime 그룹 활동 특징

2022년 10 월에는 온라인 가상 공간에서 활동하는 총 9 개의 사이버 범죄 그룹이 발견되었으며, 이들은 SectorJ03, SectorJ06, SectorJ09, SectorJ25, SectorJ45, SectorJ53, SectorJ64, SectorJ66, SectorJ68 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ03그룹의 활동은 팔레스타인, 인도, 이라크에서 발견되었다. 해당 그룹은 안드로이드 플랫폼을 대상으로 한 악성코드를 사용하여 SMS 정보, 사진, 통화 녹음 등 피해자의 정보 탈취를 시도했다.

SectorJ06그룹의 활동은 스페인, 포르투갈, 그리스, 러시아, 우크라이나, 독일, 터키, 덴마크, 영국, 미국, 아르메니아, 브라질, 체코, 멕시코, 우루과이, 페루, 인도, 이스라엘, 아랍 에미리트, 사우디 아라비아, 리투아니아, 이라크, 앙골라, 몰도바, 한국에서 발견되었다. 해당 그룹은 원드라이브(OneDrive)의 DLL(Dynamic Library Link) 사이드로딩(Side-loading) 취약점을 이용했으며, 최종적으로 암호화폐를 채굴하는 크립토재커(Cryptojacker)를 사용했다.

SectorJ09그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있다. 이번 활동에서도 기존에 발견되던 것과 유사한 유형의 자바스크립트 악성코드가 확인되었다.

SectorJ25그룹의 활동은 중국, 미국, 러시아, 싱가포르에서 발견되었다. 해당 그룹은 클라우드 및 컨테이너 환경을 대상으로 암호화폐를 채굴하는 크립토재커(Cryptojacker)를 사용했다.

SectorJ45그룹의 활동은 네덜란드, 스웨덴, 한국, 독일, 프랑스, 노르웨이, 태국, 일본, 싱가포르, 스페인에서 발견되었다. 해당 그룹은 지원이 종료된 인터넷 익스플로러(Internet Explorer) 서비스 이용자들을 공격 대상으로 광고 서비스를 악용하는 멀버타이징(Malvertising) 기법을 사용했으며, 최종적으로 시스템의 정보를 수집하고 암호화폐를 채굴했다.

SectorJ53그룹의 활동은 캐나다, 이탈리아, 아랍 에미리트, 미국, 이란, 중국, 독일, 터키, 인도, 영국, 이스라엘, 프랑스, 남아프리카, 홍콩, 한국, 러시아, 지브롤터, 덴마크, 포르투갈, 에티오피아, 코트디부아르, 카자흐스탄, 호주, 스웨덴, 대만, 일본, 아르헨티나, 폴란드, 에스토니아, 네덜란드, 루마니아, 그루지야, 헝가리, 불가리아, 태국, 벨기에, 이라크, 카타르, 멕시코, 그리스, 스페인에서 발견되었다. 해당 그룹은 송장 관련 파일로 위장한 악성코드를 사용했으며, 최종적으로 다운로더 악성코드를 사용하여 추후 코발트 스트라이크(Cobalt Strike) 또는 슬리버(Sliver) 같은 침투 테스트 도구를 다운로드 및 실행할 수 있는 발판을 마련했다.

SectorJ64그룹의 활동은 중국, 스웨덴, 영국에서 발견되었다. 해당 그룹은 취약점에 무방비한 서버들을 공격 대상으로 삼았으며, 최종적으로 암호화폐 채굴을 시도했다.

SectorJ66그룹의 활동은 베트남, 스페인, 포르투갈, 러시아, 독일, 캐나다, 체코, 일본, 칠레, 터키, 우크라이나, 브라질, 폴란드, 인도, 이탈리아, 홍콩, 루마니아, 콜롬비아, 영국, 베네수엘라, 프랑스, 튀니지, 중국, 미국에서 발견되었다. 해당 그룹은 자유롭게 악의적인 활동을 수행할 수 있도록 네트워크 인프라를 제공하는 BPH(Bulletproof hosting) 서비스를 이용한다.

SectorJ68 그룹은 금전적인 목적으로 암호화폐 채굴 및 정보 탈취 등 다양한 기능을 가진 악성코드들을 MaaS(Malware-as-a-Service) 방식으로 판매하고 있다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 RA.global@nshc.net으로 문의해 주시기 바랍니다.