Monthly Threat Actor Group Intelligence Report, February 2023 (KOR)
2023년 1월 21일에서 2023년 2월 20일까지 NSHC ThreatRecon팀에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다. 이번 2월에는 총 23개의 해킹 그룹들의 활동이 확인되었으며, SectorA 그룹이 28%로 가장 많았으며, SectorE와 SectorJ 그룹들의 활동이 그 뒤를 이었다.
이번 2월에 발견된 해킹 그룹들의 해킹 활동은 정부기관과 국방 관련 산업군에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 유럽(Europe)과 북아메리카(North America)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.
1. SectorA 그룹 활동 특징
2023년 2월에는 총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA05, SectorA06, SectorA07 그룹이다.
SectorA01 그룹은 스웨덴에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 기업 평가 파일로 위장한 압축파일을 배포했으며, 내부에 포함된 악성코드를 통해 시스템 정보를 탈취한다.
SectorA02 그룹은 한국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 행정기관 보안 메일로 위장한 HTML(Hypertext Markup Language) 형식의 악성코드를 배포했다. 악성코드는 스케줄러에 등록 후 지속성을 유지하고 MSHTA(Microsoft HTML Application)을 통해 C2서버에서 추가 스크립트 파일을 받아와 실행하는 기능을 수행한다.
SectorA05 그룹은 한국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 방송 통신 및 연구 기관 관계자를 대상으로 MS 워드(Word) 악성코드를 배포했으며, 최종적으로 감염된 시스템의 정보탈취를 시도했다.
SectorA06 그룹은 미국, 캐나다, 노르웨이에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 프레젠테이션(Presentation) 자료로 위장한 압축 파일을 배포했으며, 최종적으로 다운로드 받은 추가 악성코드를 통해 시스템 정보 탈취를 시도한다.
SectorA07 그룹은 미국, 한국, 오스트레일리아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 소명자료 요청서류로 위장한 바로가기(LNK) 형식의 악성코드를 배포했으며, 최종적으로 추가 악성코드를 다운로드 받아와 정보 탈취를 시도한다.
현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.
2. SectorB 그룹 활동 특징
2023년 2월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB22 그룹이다.
SectorB22 그룹은 대만, 독일, 체코, 에스토니아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 행정문서로 위장한 압축파일에 바로가기(LNK) 파일과 PE(Portable Executable) 악성코드를 포함시켜 배포했으며, 최종적으로 감염된 시스템을 모니터링하고 정보를 수집한다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
2023년 2월 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC04, SectorC08그룹이다.
SectorC04 그룹은 칠레, 폴란드에서 이들의 활동이 발견되었다. 해당 그룹은 자동차 판매 자료로 위장한 악성코드를 사용했으며, DLL 사이드 로딩(DLL Side Loading) 기법을 악용하여 노션(Notion) API(Application Programming Interface)를 사용하는 악성코드를 실행했다.
SectorC08 그룹은 우크라이나에서 이들의 활동이 발견되었다. 해당 그룹은 국방부를 대상으로 군인의 불법 행위에 관한 형사 소송 자료로 위장한 스피어 피싱(Spear Phishing) 이메일을 사용했으며, HTA(HTML Application)를 실행할 수 있는 Microsoft HTML 응용 프로그램인 MSHTA를 통해 추가 악성파일 다운로드를 시도했다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.
4. SectorD 그룹 활동 특징
2023년 2월에 총 2개 해킹 그룹의 활동이 발견되었으며, 이는 SectorD11, SectorD14그룹이다.
SectorD11 그룹은 프랑스, 체코, 터키, 독일, 이집트, 미국, 베트남, 러시아, 이라크에서 이들의 활동이 발견되었다. 해당 그룹은 상업 송장(Commercial Invoice)으로 위장한 악성코드를 사용했으며, 최종적으로 원격 제어 기능을 가진 악성코드를 사용하여 정보탈취를 시도했다.
SectorD14 그룹은 전투 드론(Combat Drone) 관련 기사로 위장한 악성코드를 사용했으며, 최종적으로 원격 제어 기능을 가진 악성코드를 사용하여 정보 탈취를 시도했다.
SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.
5. SectorE 그룹 활동 특징
2023년 2월에는 총 3개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE02, SectorE04, SectorE05 그룹이다.
SectorE02 그룹은 방글라데시, 인도, 베트남, 네덜란드, 스리랑카, 파키스탄, 미국, 독일에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 컨퍼런스 행사, 행정 문서로 위장한 MS 워드(Word) 및 엑셀(Excel) 형식의 문서 악성코드를 배포했다. 이후 추가 악성코드를 통해 파일 정보, 프로세스 정보, 화면 캡쳐(Screen Capture) 등의 감염된 시스템 정보를 수집하고 C2 서버로 전송하는 기능을 수행한다.
SectorE04 그룹은 파키스탄, 말레이시아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부기관 관계자를 대상으로 다수의 MS 워드(Word) 악성코드를 배포했으며, 스리랑카와 관련된 문서 파일로 위장하고 있다. 실행 시 C2 서버에서 템플릿 파일을 다운로드 받아오며, 추가 템플릿 파일을 통해 악성 행위를 수행할 수 있는 발판을 마련했다.
SectorE05 그룹은 파키스탄, 오스트레일리아, 일본, 홍콩, 중국, 미국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 윈도우 도움말 파일(CHM, Compiled HTML Help) 악성코드를 배포했으며, 스케줄러에 등록 후 감염된 시스템 정보를 탈취했다.
SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.
6. SectorG 그룹 활동 특징
2023년 2월에는 총 1개의 해킹 그룹의 활동이 발견되었으며, 이들은 SectorG01 그룹이다.
SectorG01 그룹은 인도, 한국, 이스라엘, 베네수엘라, 영국, 미국, 도미니카 공화국, 캐나다에서 활동이 발견되었다. 해킹 그룹은 이번 활동에서 배포한 이체 확인 문서로 위장한 어도비(Adobe) PDF 문서 파일을 통해서 악성코드를 설치하여 정보 탈취 행위를 하였다
SectorG 해킹 그룹들은 주로 이들을 지원하는 정부와 관련된 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행하였으며, 최근의 SectorG 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부에 반대하는 인물 또는 국가들의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.
7. SectorH 그룹 활동 특징
2023년 2월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.
SectorH03 그룹은 파키스탄, 인도, 미국, 싱가포르에서 활동하였다. 해킹 그룹은 이번 활동에서 정부 기관 및 교육 기관을 대상으로 배포한 사이버 권고(Cyber Advisory), 글로벌 경영학 석사(Global Executive Master of Business Administration) 프로그램, 인도 행정 서비스(Indian Administrative Service) 문서로 위장한 MS 워드(Word), 파워포인트(PowerPoint) 문서를 통해서 악성코드를 설치하여 정보 탈취 행위를 하였다.
SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.
8. Cyber Crime 그룹 활동 특징
2023년 2월에는 온라인 가상 공간에서 활동하는 총 8개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ04, SectorJ05, SectorJ09, SectorJ68, SectorJ76, SectorJ90, SectorJ92, SectorJ94 그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ04 그룹의 활동은 콜롬비아, 미국, 멕시코, 레바논에서 발견되었다. 해당 그룹은 금전적인 목적을 가지고 클롭(Clop) 랜섬웨어를 사용했다.
SectorJ05 그룹의 활동은 말레이시아, 스웨덴, 터키, 미국에서 발견되었다. 해당 그룹은 화상 회의 서비스 소프트웨어로 위장한 악성코드를 사용했으며, 최종적으로 다운로드 기능의 악성코드를 사용하여 추가 악성코드를 실행할 수 있는 발판을 마련했다.
SectorJ09그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있다. 이번 활동에서도 기존에 발견되던 것과 유사한 유형의 자바스크립트 악성코드가 확인되었다.
SectorJ68 그룹의 활동은 알제리, 우크라이나, 네덜란드, 독일, 우즈베키스탄, 러시아, 인도에서 발견되었다. 해당 그룹은 청구서로 위장한 악성코드를 사용했으며, 최종적으로 시스템에 저장된 자격 증명 정보 수집과 화면 캡쳐 등을 통해 정보를 수집하는 악성코드를 사용했다.
SectorJ76 그룹의 활동은 캐나다, 일본, 체코, 독일, 루마니아, 영국, 인도, 프랑스, 스웨덴, 미국, 폴란드, 한국, 오스트레일리아, 이탈리아에서 발견되었다. 해당 그룹은 검색 결과 최상단에 광고를 게시하는 구글 애즈(Google Ads)를 악용하여 유명 소프트웨어의 홈페이지를 사칭한 피싱 사이트에 접속하도록 유도했으며, 최종적으로 로얄(Royal) 랜섬웨어를 사용했다.
SectorJ90 그룹의 활동은 미국, 인도, 독일, 조지아에서 발견되었다. 해당 그룹은 제안서 관련 내용의 피싱(Phishing) 메일을 사용했으며, 최종적으로 정보 탈취형 악성코드를 사용하여 공격 대상의 시스템에서 정보 탈취를 시도했다.
SectorJ92 그룹의 활동은 이스라엘에서 발견되었다. 해당 그룹은 다크비트(DarkBit) 랜섬웨어를 사용했으며, 파일들을 암호화한 이후 금전적인 문제를 논의할 수 있는 연락 수단과 함께 지정학적 동기가 있음을 내포하는 내용이 담긴 랜섬노트(RansomNote)를 생성했다.
SectorJ94 그룹의 활동은 홍콩, 오스트리아, 독일, 미국, 아르헨티나, 방글라데시, 오스트레일리아, 영국, 인도, 알제리, 이란, 한국, 캐나다, 필리핀에서 발견되었다. 해당 그룹은 송장 관련 내용의 피싱(Phishing) 메일에 원노트(OneNote) 문서를 첨부했으며, 최종적으로 백도어 악성코드를 사용하여 시스템 권한을 탈취하고, 데이터를 수집 및 유출을 시도했다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.