Monthly Threat Actor Group Intelligence Report, November 2022 (KOR)

2022년 10월 21일에서 2022년 11월 20일까지 NSHC ThreatRecon팀에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다. 이번 11월에는 총 29개의 해킹 그룹들의 활동이 확인되었으며, SectorA 그룹들이 40%로 가장 많았으며, SectorJ와 SectorB 그룹들의 활동이 그 뒤를 이었다.

이번 11월에 발견된 해킹 그룹들의 해킹 활동은 정부부처와 연구기관에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 동아시아(East Asia)와 유럽(Europe)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.

1. SectorA 그룹 활동 특징

2022년 11 월에는 총 5 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA05, SectorA06, SectorA07 그룹이다.

SectorA01 그룹은 한국, 영국, 루마니아, 미국, 아르메니아, 터키, 이집트에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 보안 프로그램을 무력화하고 내부 시스템에 침투하기 위한 목적으로 전자서명 및 데이터 암/복호화 솔루션의 취약점을 악용했다. 이후 추가 악성코드를 내부 시스템에서 동작 시켜 시스템 제어권을 탈취하는 전술을 사용하고 있다.

SectorA02 그룹은 한국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 언론사 및 대북 관련 종사자를 대상으로 MS 워드(Word) 악성코드를 배포했다. 공격에 사용된 문서는 공격 대상이 관심을 가질 수 있도록 한국에서 발생한 이태원 참사, 경제사회연구원에서 작성한 이슈 보고서, 북방한계선(Northern Limit Line, NLL)과 같은 주제로 위장했다.

SectorA05 그룹은 한국, 프랑스에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부 기관, 연구소, 에너지, 언론 산업군에 종사하는 관계자를 대상으로 뉴스 설문지 및 이력서와 같은 양식으로 위장한 MS 워드(Word) 문서를 배포했다. 해당 문서는 법제처에서 제공한 문서를 악의적으로 수정해 재배포한 것으로 분석된다.

SectorA06 그룹은 일본에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 패스워드(Password) 파일로 위장한 윈도우 바로가기(LNK) 형식의 악성코드를 배포했다. 최종적으로 msiexec(윈도우 인스톨러 유틸리티)를 사용해 C2 서버에서 MSI(Microsoft Installer) 파일을 다운로드 및 동작 시켜 정보를 수집하고 시스템 제어권을 탈취하는 전술을 사용하고 있다.

SectorA07 그룹은 미국, 싱가포르에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 CHM(Compiled HTML Help) 형식의 파일을 공격에 사용했으며, 중국 국가주석과 관련된 주제로 위장하고 있다. 최종적으로 파워쉘(PowerShell) 명령을 사용해 감염된 시스템의 컴퓨터 및 사용자 이름 정보를 수집하고 C2 서버로 전송하는 기능을 수행한다.

현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적은 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.

2. SectorB 그룹 활동 특징

2022년 11 월에는 총 5 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB04 SectorB05 SectorB22, SectorB31, SectorB38 그룹이다.

SectorB04 그룹은 일본에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부 및 외교 기관 관계자들을 대상으로 공격을 수행하였다. 초기 침투 방식(Initial Access)으로 일미 동맹 주제를 제목으로 위장한 MS 워드(Word) 악성코드를 사용했다. 최종적으로 추가 악성코드를 생성 후 DLL 사이드 로딩(DLL Side Loading) 방식으로 동작 시키며, 감염된 시스템에서 정보를 수집해 내부 시스템으로 침투하기 위한 발판을 마련한다.

SectorB05 그룹은 중국, 미국, 러시아, 시리아, 신장 위구르 자치구에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 중국의 소수 민족 커뮤니티에서 활동하는 인물들을 대상으로 안드로이드(Android) 악성코드를 배포했다. 배포된 악성코드는 비디오 공유 플랫폼, 화상 통화, 음성 채팅, 번역기, 사전, 종교 등 사용 빈도가 높고 공격 대상이 관심을 가질 수 있는 앱으로 위장하고 있다. 최종적으로 감염된 스마트폰의 SMS, 연락처, 통화 기록 및 위치 정보 등의 정보 탈취 기능을 수행한다.

SectorB22 그룹은 폴란드, 필리핀, 미얀마, 태국, 미국, 캐나다, 홍콩, 인도, 호주, 대만, 일본에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부 기관, 학계, 재단 및 연구 분야에 종사하고 있는 관계자들을 대상으로 스피어 피싱(Spear Phishing) 이메일을 발송했다. 초기 침투 방식(Initial Access)으로 사용된 이메일 본문에는 구글 드라이브(Google Drive) 링크를 통해 악성코드를 다운로드 하도록 유도한다. 최종적으로 악성코드는 프로세스 정보, 사용자 및 컴퓨터 이름, 운영체제 정보를 수집해 C2 서버로 전송하는 기능을 수행한다.

SectorB31 그룹은 온라인 종합 쇼핑몰 및 정보 사이트와 관련된 파일명으로 위장한 압축 파일에 악성코드를 첨부 후 배포했다. 최종적으로 감염된 시스템을 계속 모니터링하며 시스템 정보를 탈취한다.

SectorB38 그룹은 호주에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 MS 워드(Word) 형식의 문서형 악성코드를 배포했다. 악성코드는 베트남어로 작성된 정보통신응용기술 및 수요조사와 관련된 내용으로 위장하고 있다. 실행 시 템플릿 인젝션 기법을 사용해 악의적인 매크로(Macro)가 포함된 템플릿(Template) 파일을 다운로드 받아오는 기능을 수행한다. 최종적으로 C2 서버에서 DLL 파일을 받아와 rundll32.exe(윈도우 응용 프로그램) 파일로 동작 시켜 시스템 제어권을 탈취하는 전술을 사용하고 있다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

2022년 11 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC08, SectorC13 그룹이다.

SectorC08 그룹은 우크라이나, 리투아니아, 러시아에서 이들의 활동이 발견되었다. 해당 그룹은 정부기관의 행정문서, 보안규정 문서로 위장한 악성코드를 사용했으며, 최종적으로 원격 제어 도구인 울트라 VNC(UltraVNC)를 사용하여 정보탈취를 시도했다.

SectorC13 그룹은 러시아, 벨라루스에서 이들의 활동이 발견되었다. 해당 그룹은 외무부를 대상으로 피싱 메일을 전송했으며, 외교저널로 위장하여 템플릿 인젝션(Template Injection) 기법을 사용하는 MS 워드(Word) 악성코드 실행을 유도했다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

4. SectorD 그룹 활동 특징

2022년 11 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD11 그룹이다.

SectorD11 그룹은 독일에서 이들의 활동이 발견되었다. 해당 그룹은 음악 재생 어플로 위장한 안드로이드 악성코드를 배포했으며, SMS 정보, 사진, 통화 녹음 등 공격 대상의 정보 탈취를 시도했다.

SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.

5. SectorE 그룹 활동 특징

2022년 11 월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE04 그룹이다.

SectorE01 그룹은 PE(Portable Executable) 형식의 악성코드를 배포했다. 악성코드는 특정 회사의 디지털 서명 정보를 악용하고 있는 것으로 확인된다. 악성코드 실행 시 WMI(Windows Management Instrumentation) 명령을 사용해 감염된 시스템에 설치된 소프트웨어 및 서비스 정보를 수집 후 C2 서버로 전송하는 기능을 수행한다.

SectorE02 그룹은 독일, 오만, 미국, 네덜란드에서 이들의 해킹 활동에 발견되었다. 해당 그룹은 MS 워드(Word) 및 RTF(Rich Text Format) 형식의 문서형 악성코드를 배포했으며, “품질 보증 프로그램”, “방문 프로그램”, “업데이트” 등 공격 대상의 흥미를 끌 수 있는 제목으로 위장했다. 악성코드 실행 시 악의적인 매크로(Macro) 스크립트를 통해 추가 악성코드를 다운로드 및 실행하는 기능을 수행한다.

SectorE04 그룹은 영국, 파키스탄, 불가리아, 홍콩에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 초기 침투(Initial Access)방식으로 ISO 이미지 파일을 공격 대상에게 전달하는 방식을 사용했다. ISO 이미지 파일은 내부에 윈도우 바로가기(LNK) 파일, 미끼문서, PE(Portable Executable) 형식 악성코드로 구성되어 있다. 최종적으로 악성코드는 C2서버에서 악성코드를 받아오는 기능을 수행하며, 추가 악성코드로 시스템 제어권을 탈취하는 전술을 사용하고 있다.

SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.

6. SectorF 그룹 활동 특징

2022년 11 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorF01 그룹이다.

SectorF01 그룹은 대만, 영국, 중국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 취약점을 악용해 공격 대상 시스템의 초기 접근 권한을 획득 후 ELF(Executable and Linkable Format) 형식의 악성코드를 시스템 내부에 생성 및 실행했다. 최종적으로 코발트 스트라이크(Cobalt Strike) 및 미미카츠(Mimikatz)와 같은 도구를 사용해 정보를 탈취하고 시스템 제어권을 탈취하는 전술을 사용하고 있다.

SectorF 해킹 그룹들은 주로 이들을 지원하는 정부와 인접한 국가들의 정치, 외교 및 군사 활동과 같은 고급 정보를 수집하기 위한 목적과 자국의 경제 발전을 위한 첨단 기술 관련 고급 정보 탈취를 위한 목적을 갖는 것으로 분석된다.

7. SectorH 그룹 활동 특징

2022년 11 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.

SectorH03 그룹은 파키스탄에서 활동이 발견되었다. 해당 그룹은 어도비(Adobe) PDF 문서로 위장한 윈도우 바로가기(LNK) 파일을 배포하여 공격 활동을 하였다. 해당 바로가기 파일은 초기 침투 단계에서 공격 대상 시스템에 추가 공격의 발판을 만들려는 목적으로 다른 악성코드를 다운로드 및 실행하는 기능의 파일로 분석된다.

SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.

8. Cyber Crime 그룹 활동 특징

2022년 11 월에는 온라인 가상 공간에서 활동하는 총 10 개의 사이버 범죄 그룹이 발견되었으며, 이들은 SectorJ03, SectorJ05, SectorJ06, SectorJ25, SectorJ26, SectorJ39, SectorJ44, SectorJ73, SectorJ75, SectorJ81 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ03 그룹의 활동은 팔레스타인, 카타르에서 발견되었다. 해당 그룹은 공격 대상을 속이기 위해 하마스(Hamas) 테마를 사용한 MS 워드(Word) 문서를 미끼로 사용했으며, 공격 대상의 시스템에서 정보 탈취를 시도했다.

SectorJ05 그룹의 활동은 인도, 네덜란드, 스위스, 아일랜드, 미국, 루마니아에서 발견되었다. 해당 그룹은 구글(Google) 업데이트 파일로 위장한 악성코드를 사용했으며, 공격 대상의 시스템 정보를 수집하고 공격자의 명령에 따라 추가 악성코드를 다운로드 및 실행한다.

SectorJ06 그룹의 활동은 브라질, 미국에서 발견되었다. 해당 그룹은 금전적인 이윤을 확보하기 위해 알려진 취약점이 아직 조치되지 않은 취약한 서버들을 대상으로 랜섬웨어(Ransomware) 공격을 시도했다.

SectorJ25 그룹의 활동은 중국, 이스라엘에서 발견되었다. 해당 그룹은 클라우드 및 컨테이너 환경을 대상으로 암호화폐를 채굴하는 크립토재커(Cryptojacker)를 사용했다.

SectorJ26 그룹의 활동은 한국, 인도, 캐나다, 미국, 독일, 리투아니아, 멕시코, 태국, 콜롬비아, 케냐, 이탈리아, 스웨덴, 홍콩, 싱가포르, 네덜란드, 파키스탄, 영국에서 발견되었다. 해당 그룹은 세금 계산서 PDF 파일로 위장한 악성코드를 사용했으며, 최종적으로 백도어 악성코드를 사용하여 시스템 권한을 탈취한다.

SectorJ39 그룹의 활동은 우크라이나, 중국, 스페인, 캐나다, 아랍 에미리트, 영국, 팔레스타인, 체코에서 발견되었다. 해당 그룹은 PDF Reader 업데이트 파일로 위장한 악성코드를 사용했으며, 최종적으로 백도어 악성코드를 사용하여 시스템 권한을 탈취한다.

SectorJ44 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 금전적인 이윤을 확보하기 위해 Surtr 랜섬웨어(Ransomware)를 사용했으며, 시스템에 있는 파일들을 암호화한 이후 랜섬노트(Ransom Note)를 생성하여 금전적인 문제를 논의할 수 있는 연락 수단을 전달한다.

SectorJ73 그룹의 활동은 미국, 덴마크, 키프로스에서 발견되었다. 해당 그룹은 금전적인 이윤을 위해 교육 분야 산업군을 대상으로 Zeppelin 랜섬웨어(Ransomware)를 사용했으며, 백도어 악성코드를 함께 사용하여 데이터를 수집 및 유출을 시도했다.

SectorJ75 그룹의 활동은 스웨덴, 볼리비아, 미국에서 발견되었다. 해당 그룹은 네트워크 스캐닝 소프트웨어(Network Scanning Software)로 위장한 악성코드를 사용했으며, 최종적으로 Somnia 랜섬웨어(Ransomware)를 사용했다.

SectorJ81 그룹의 활동은 인도네시아, 중국에서 발견되었다. 해당 그룹은 경품 당첨으로 클릭을 유도하는 피싱 사이트를 사용했으며, 공격 대상이 링크를 클릭할 경우 광고 사이트로 리디렉션(Redirection)하여 광고 수익을 얻거나, 안드로이드 악성코드를 배포했다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 RA.global@nshc.net으로 문의해 주시기 바랍니다.