Monthly Threat Actor Group Intelligence Report, December 2022 (KOR)
2022년 11월 21일에서 2022년 12월 20일까지 NSHC ThreatRecon팀에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다. 이번 12월에는 총 24개의 해킹 그룹들의 활동이 확인되었으며, SectorA 그룹과 SectorJ 그룹이 각각 26%로 가장 많았으며, SectorC와 SectorE 그룹들의 활동이 그 뒤를 이었다.
2022년 12월에 발견된 해킹 그룹들의 해킹 활동은 정부부처와 정보통신 산업군에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 유럽(Europe)과 동아시아(East Asia) 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.
1. SectorA 그룹 활동 특징
2022년 12월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA02, SectorA05, SectorA06, SectorA07 그룹이다.
SectorA02 그룹은 한국, 스위스에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 언론사 및 NGO(Non-Governmental Organization) 관련 종사자를 대상으로 템플릿 인젝션(Template Injection) 기법을 사용하는 MS 워드(Word) 악성코드를 배포했다. 악성코드는 실행 시 RTF(Rich Text Format) 파일을 다운받아 동작 시키며, 최종적으로 매크로(Macro)가 포함된 OLE(Object Linking and Embedding) 개체를 C2 서버에서 추가로 받아오는 기능을 수행한다.
SectorA05 그룹은 한국, 프랑스에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 방송 통신 및 대학교에 종사하고 관계자를 대상으로 피싱 공격을 수행했으며, 계정 정보 탈취를 목적으로 피싱 페이지를 제작 후 공격 대상의 접속을 유도한 것으로 확인된다.
SectorA06 그룹은 폴란드, 미국, 스위스에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 가상화폐 거래소 프로젝트 및 채용과 관련된 내용으로 위장하고 있는 CHM(Compiled HTML Help) 형식의 파일을 공격에 사용했다. 공격에 사용된 CHM 악성코드는 msiexec(윈도우 인스톨러 유틸리티)를 사용해 C2 서버에서 MSI(Microsoft Installer) 파일을 다운로드 및 실행한다. 이후 감염된 시스템의 정보를 수집하고 시스템 제어권을 탈취하는 전술을 사용하고 있다.
SectorA07 그룹은 한국에서 이들의 해킹 활동이 발견되었다. 템플릿 인젝션(Template Injection) 기법을 사용하는 MS 워드(Word) 악성코드를 배포했으며, 개인정보 내용으로 위장하고 있다. 공격 대상이 해당 문서를 실행할 경우 C2 서버에서 CAB(Windows Cabinet File) 파일을 추가로 다운로드 및 실행하는 기능을 수행한다.
현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.
2. SectorB 그룹 활동 특징
2022년 12월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB03, SectorB22 그룹이다.
SectorB03 그룹은 홍콩에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 악성코드를 정상 파일인 것처럼 위장하기 위해 소프트웨어 개발 회사의 디지털 서명 정보를 악용했으며, 실행될 경우 시스템 정보 및 파일 정보를 수집하는 기능을 수행한다.
SectorB22 그룹은 베트남, 라트비아에서 이들의 해킹 활동이 발견되었다. 헝가리와 관련된 제목으로 위장하고 있는 RAR 압축파일에 악성코드를 포함시켜 배포했다. 압축 파일에 포함된 악성코드는 감염된 시스템을 계속 모니터링하며, 정보를 수집하는 기능을 수행한다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
2022년 12월 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC08, SectorC13, SectorC14, SectorC17 그룹이다.
SectorC08 그룹은 미국, 우크라이나, 리투아니아, 벨라루스, 루마니아, 프랑스, 조지아, 멕시코, 러시아, 한국, 미국에서 이들의 활동이 발견되었다. 해당 그룹은 정부기관의 행정문서로 위장한 악성코드를 사용했으며, 최종적으로 원격 제어 도구인 울트라 VNC(UltraVNC)를 사용하여 정보탈취를 시도했다.
SectorC13 그룹은 폴란드에서 이들의 활동이 발견되었다. 해당 그룹은 국경 통과 문의서로 위장한 MS 워드(Word) 악성코드를 사용했으며, 공격 대상이 해당 문서를 실행할 경우 파일 내부에 존재하는 악성 URL에 연결되어 DLL 파일을 다운로드 및 실행한다.
SectorC14 그룹은 미국에서 이들의 활동이 발견되었다. 해당 그룹은 미국 국립 연구소의 로그인 페이지로 위장한 피싱 사이트를 사용하여 메일 자격 증명 탈취를 시도했다.
SectorC17 그룹은 우크라이나에서 이들의 활동이 발견되었다. 해당 그룹은 토렌트(Torrent) 사이트를 통해 변조된 윈도우(Windows) 설치 프로그램을 배포하는 공격을 시도했다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.
4. SectorD 그룹 활동 특징
2022년 12월에 총 2개 해킹 그룹의 활동이 발견되었으며, 이는 SectorD02, SectorD30그룹이다.
SectorD02 그룹은 오만, 폴란드, 아제르바이잔, 아랍 에미리트, 영국, 아르메니아, 이스라엘, 말레이시아, 터키, 타지키스탄, 요르단, 이라크, 이집트에서 이들의 활동이 발견되었다. 해당 그룹은 악성 링크가 포함되어 있거나, 악성코드가 첨부된 피싱 메일을 사용했으며, 최종적으로 원격 제어 도구를 시스템에 설치하여 정보 탈취를 시도했다.
SectorD30 그룹은 메일 로그인 자격 증명을 탈취하여 메일 및 클라우드 저장소의 정보를 탈취하거나, 저장된 연락처를 탈취를 하기 위해 로그인 페이지로 위장한 피싱 사이트를 사용했다.
SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.
5. SectorE 그룹 활동 특징
2022년 12월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE02, SectorE04, SectorE05, SectorE06 그룹이다.
SectorE02 그룹은 파키스탄, 인도, 싱가포르에서 이들의 해킹 활동에 발견되었다. 해당 그룹은 부품 요구 사항, 스프레드시트(Spreadsheet) 제목으로 위장한 MS 엑셀(Excel) 형식의 악성코드를 배포했다. 공격 대상이 해당 파일을 실행할 경우 악의적인 매크로(Macro)를 통해 C2 서버에서 추가 파일을 다운로드 및 실행하는 기능을 수행한다.
SectorE04 그룹은 홍콩, 파키스탄, 크로아티아, 영국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 MS 워드(Word) 형식의 악성코드를 배포했으며, PNWC(Pakistan Navy War College) 및 파키스탄 제공 보고서 등 흥미를 끌 수 있는 제목으로 위장 후 공격 대상의 실행을 유도한다. 템플릿 인젝션(Template Injection) 기법을 사용하는 악성코드는 실행 시 매크로(Macro)가 포함된 OLE(Object Linking and Embedding) 개체를 추가로 받아와 동작 시킨다.
SectorE05 그룹은 일본에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 HTML(Hypertext Markup Language) 형식의 악성코드를 배포했으며, 정상적으로 동작할 경우 스케줄러에 등록되어 감염된 시스템에서 지속성(Persistence)을 유지한다. 이후 시스템 정보를 탈취 후 C2 서버로 전송하는 기능을 수행한다.
SectorE06 그룹은 인도, 루마니아, 독일에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 안드로이드 운영체제 사용자를 대상으로 안드로이드 악성코드를 공격에 사용했다. Secure VPN, 채팅 앱 등으로 위장한 안드로이드 악성코드는 통화 기록, 연락처 목록, SMS 메시지 등 앱을 사용하는 대상의 정보를 수집하는 기능을 포함하고 있다.
SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.
6. SectorH 그룹 활동 특징
2022년 12월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH01, SectorH03 그룹이다.
SectorH01 그룹은 스웨덴, 미국에서 활동이 발견되었다. 해당 그룹은 이번 활동에서 배포한 악성 자바스크립트(JavaScript) 파일을 통해서 침투 테스트 프레임워크인 FSociety 도구를 설치하여 정보 탈취 행위를 하였다.
SectorH03 그룹은 호주, 스페인, 파키스탄, 인도, 네덜란드, 미국, 알제리, 영국, 방글라데시, 리비아, 사우디아라비아, 터키, 이탈리아, 체코, 벨라루스, 우크라이나, 홍콩, 예멘, 카자흐스탄, 폴란드, 러시아, 인도네시아에서 활동하였다. 해당 그룹은 정부 및 기관과 군대를 대상으로 안드로이드 및 윈도우 플랫폼 별로 원격 제어 도구를 배포하여 정보 탈취 행위를 하였다.
SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.
7. Cyber Crime 그룹 활동 특징
2022년 12월에는 온라인 가상 공간에서 활동하는 사이버 범죄 그룹은 이번 12월에는 총 6개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ03, SectorJ05, SectorJ06, SectorJ09, SectorJ56, SectorJ84 그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ03 그룹의 활동은 인도, 에콰도르, 독일에서 발견되었다. 해당 그룹은 월드컵 중계를 시청할 수 있는 안드로이드 애플리케이션으로 위장한 안드로이드 악성코드를 사용했으며, 해당 악성코드는 스마트폰의 정보를 탈취하는 다양한 악성 기능을 수행한다.
SectorJ05 그룹의 활동은 미국, 멕시코, 파키스탄, 브라질에서 발견되었다. 해당 그룹은 공격 대상의 시스템 정보를 수집하고 명령제어에 따라 추가 악성코드를 다운로드 및 실행하는 다운로더 악성코드를 사용했으며, 최종적으로 금전적인 목적을 위해 클롭 랜섬웨어(Clop Ransomware)를 사용하여 시스템을 암호화했다.
SectorJ06 그룹의 활동은 인도, 콜롬비아, 중국, 미국, 브라질, 독일, 러시아, 이탈리아, 프랑스, 라트비아, 일본, 칠레, 볼리비아, 루마니아, 이란, 몰도바, 홍콩, 벨라루스, 벨기에, 영국, 터키, 파키스탄, 베트남, 뉴질랜드, 폴란드, 우크라이나, 필리핀에서 발견되었다. 해당 그룹은 에너지 산업군을 대상으로 블랙캣 랜섬웨어(BlackCat Ransomware)를 사용하여 데이터를 암호화하고 데이터를 탈취했다.
SectorJ09 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집했다.
SectorJ56 그룹의 활동은 이탈리아, 미국, 프랑스, 캐나다, 영국, 독일, 인도, 중국, 스페인에서 발견되었다. 해당 그룹은 세금 계산서 PDF 파일로 위장한 악성코드를 사용했으며, 최종적으로 백도어 악성코드를 사용하여 시스템 권한을 탈취한다.
SectorJ84 그룹의 활동은 러시아, 헝가리, 브라질, 덴마크, 미국, 싱가포르, 영국, 중국, 스페인, 멕시코, 파키스탄, 네덜란드, 필리핀, 폴란드, 프랑스, 터키, 이탈리아, 우크라이나, 리투아니아, 말레이시아, 그리스, 아제르바이잔, 슬로베니아, 스위스, 스웨덴, 사우디 아라비아에서 발견되었다. 해당 그룹은 크랙(Crack)된 유료 프로그램으로 위장한 악성코드를 배포하기 위해 유튜브(YouTube) 동영상 및 피싱 사이트를 사용했으며, 최종적으로 여러 브라우저의 자격 증명, 암호화폐 지갑관련 데이터를 포함한 다양한 정보들의 탈취를 시도했다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.