2022 Activities Summary of SectorB groups (KOR)
개요
2022년 총 22개의 SectorB 하위 그룹들의 해킹 활동이 발견되었다. 이들은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하는 것을 목적으로 하며, 각각의 하위 그룹들이 해킹 활동을 위한 악성코드나 취약점 등을 공유하는 양상을 보인다.
2022년 한 해 동안 발생한 SectorB 그룹들의 활동량을 분석한 결과 SectorB22 그룹의 활동이 가장 두드러진 것으로 확인된다.
[그림 1 : 2022년 확인된 SectorB의 하위 그룹 활동량]
SectorB 그룹들의 주요 공격 대상이 된 산업군들을 살펴보면 정부 기관과 국방 관련 분야에 종사하고 있는 관계자 또는 시스템이 가장 많은 공격 대상이 되었으며, 그 다음으로는 제조, 교육, IT 분야 순서로 확인된다.
[그림 2 : 2022년 공격 대상이 된 산업 분야 통계]
다음은 2022년 SectorB 그룹의 공격 대상이었던 국가의 정보를 지도에 표기한 것이며, 붉은 색이 짙을수록 공격 횟수가 잦았음을 의미한다. 이를 통해 북아메리카에 위치한 미국 그리고 SectorB 그룹을 지원하는 정부와 인접한 홍콩, 베트남을 대상으로 많은 해킹 활동을 수행했음을 확인할 수 있다.
특히 러시아의 경우 우크라이나 침공으로 인해 전쟁이 시작되었으며, SectorB 그룹을 지원하는 정부는 러시아와 우호적인 관계를 유지하고 있음에도 불구하고 러시아 군사 기술 정보를 포함한 중요 정보를 탈취 공격의 대상으로 해킹 활동을 병행하고 있다.
[그림 3 : 2022년 SectorB 그룹의 주요 공격 대상 국가]
2022년 SectorB 그룹 활동
다음은 2022년 한 해 동안 발견된 SectorB 그룹의 해킹 활동에 대한 타임라인과 월별 활동에 대한 상세 내용이다.
[그림 4 : 2022년 SectorB 그룹의 활동 및 주요 이벤트]
JANUARY
총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB03, SectorB43 그룹이다.
SectorB03 그룹의 활동은 한국, 미국, 중국, 영국, 브라질, 홍콩, 일본, 세르비아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 ‘소프트웨어 엔지니어’, ‘유지보수 엔지니어’, ‘이력서’ 등 IT 업계 종사자가 관심을 가질 수 있는 테마를 사용했다. 악성코드를 통해 최종적으로 감염된 시스템에서 명령 및 제어 기능을 수행한다.
SectorB43 그룹의 활동은 파키스탄, 인도, 베트남, 러시아, 일본에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 특정 국가의 민간 기업을 대상으로 악성코드를 유포했으며, 윈도우 서비스에 등록되어 지속성을 유지한다.
FEBRUARY
총 3개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB04, Sector38, SectorB43 그룹이다.
SectorB04 그룹의 활동은 인도, 미국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 DLL 사이드로딩(DLL Side-Loading) 기법을 사용하여 정상 프로그램에 악성 DLL을 로드(Load) 한다. 악성코드는 가상화 소프트웨어의 모듈로 위장했으며, 실행될 경우 감염된 시스템의 명령 및 제어 기능을 수행한다.
SectorB38 그룹의 활동은 베트남에서 발견되었다. 해당 그룹은 이번 활동에서 템플릿 인젝션(Template Injection)을 사용하는 MS 워드(Word) 파일 형식의 악성코드를 공격에 사용했으며, 베트남 사회주의에 대한 내용으로 위장하고 있다.
SectorB43 그룹의 활동은 러시아, 미국, 캐나다에서 이들의 활동이 발견되었다. 해당 그룹은 PE 파일 형식의 악성코드를 사용하였으며, 감염 시스템 정보를 수집하고 OpenSSL을 사용해 암호화된 통신 기능을 수행했다.
MARCH
총 3개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB01, SectorB09, SectorB22 그룹이다.
SectorB01 그룹의 활동은 미국, 홍콩, 영국, 중국, 베트남에서 발견되었다. 해당 그룹은 이번 활동에서 Log4j 취약점과 USAHerds의 취약점을 악용하여 시스템에 침투한다. 이후 PE(Portable Executable) 형식의 악성코드를 공격 대상 시스템에 설치하고 시스템 제어권을 탈취하기 위해 오픈소스 도구를 공격에 주로 사용했다.
SectorB09 그룹의 활동은 대만, 한국에서 발견되었다. 해당 그룹은 이번 활동에서 ELF(Executable and Linkable Format) 파일 형식의 악성코드를 사용해 감염 시스템의 정보를 수집하고 C2 서버의 명령에 따라 파일 송수신, 원격 쉘 명령, 프록시 모드 등의 기능을 수행하며 악성코드를 제어한다.
SectorB22 그룹의 활동은 러시아, 루마니아, 홍콩, 체코, 슬로바키아, 미국, 벨기에, 폴란드에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 스피어 피싱(Spear Phishing) 이메일에 압축 파일을 첨부하여 유럽의 외교 기관 관계자를 대상으로 다수의 공격을 수행하였다.
APRIL
총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB14, SectorB22, SectorB26, SectorB33, SectorB50 그룹이다.
SectorB14 그룹의 활동은 한국, 중국, 싱가포르에서 발견되었다. 해당 그룹은 이번 활동에서 윈도우 바로가기(LNK) 파일을 공격에 활용하였으며, 정상적으로 실행될 경우 C2서버에서 파워쉘(PowerShell) 스크립트를 받아와 실행한다.
SectorB22 그룹의 활동은 스페인, 태국, 캐나다, 중국, 그리스, 베트남, 몽골, 홍콩, 미얀마, 러시아, 키프로스, 남아프리카에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 유럽 및 동남아시아에 위치하고 있는 정부 기관과 연구기관 관계자를 대상으로 공격을 수행하였다.
SectorB26 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 이번 활동에서 윈도우 및 맥 OS 사용자를 대상으로 다중 플랫폼 악성코드를 공격에 활용하였다.
SectorB33 그룹의 활동은 인도, 프랑스, 튀니지, 파키스탄, 싱가포르, 오스트리아, 네덜란드, 캐나다, 핀란드, 홍콩, 한국, 미국, 이탈리아, 스페인에서 발견되었다. 해당 그룹은 이번 활동에서 Log4Shell 취약점을 악용하여 금융, 학계 그리고 여행 산업에 속한 기업의 시스템을 대상으로 공격을 수행하였다.
SectorB50 그룹의 활동은 우크라이나, 터키, 인도, 러시아, 필리핀, 중국, 미국에서 발견되었다.
해당 그룹은 이들은 이번 활동에서 ‘OSCE 회의’, ‘군대’ 등 국방외교와 관련된 주제로 위장된 MS 워드 문서를 공격에 활용하였다.
MAY
총 7개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB04, SectorB20, SectorB22, SectorB23, SectorB31, SectorB34, SectorB53 그룹이다.
SectorB04 그룹의 활동은 네덜란드, 중국, 벨라루스, 러시아, 이탈리아, 터키, 말레이시아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 특정 연구소 임직원을 대상으로 스피어 피싱 이메일을 발송했다.
SectorB20 그룹의 활동은 중국, 베트남, 태국, 싱가포르, 필리핀, 말레이시아, 인도네시아, 캄보디아, 브루나이에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 MS 워드(Word) 문서를 첨부한 스피어 피싱 이메일을 공격에 활용하였다.
SectorB22 그룹의 활동은 베트남에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 보안 소프트웨어 제품으로 위장한 악성코드를 배포하여 시스템 제어권을 탈취하는 전술을 사용하고 있다.
SectorB23 그룹의 활동은 한국에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 도움말 파일 형식인 CHM 파일을 공격에 활용하였으며, 특정 시스템을 사용하는 사람들에게 도움을 제공하기 위한 기술 문서로 위장하고 있다.
SectorB31 그룹의 활동은 러시아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 러시아어로 작성된 MS 워드 문서를 공격에 활용하였다.
SectorB34 그룹의 활동은 인도, 일본, 중국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 취약점을 사용하는 RTF(Rich Text Format) 형식의 악성코드를 사용하였다.
SectorB53 그룹의 활동은 스웨덴, 대만, 미국, 마카오, 홍콩, 중국, 인도, 한국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 리눅스 운영체제를 대상으로 ELF(Executable and Linkable Format) 악성코드를 배포하였다.
JUNE
총 7개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB07, SectorB25, SectorB31, SectorB34, SectorB38, SectorB42, SectorB56 그룹이다.
SectorB07 그룹의 활동은 룩셈부르크, 파키스탄, 일본, 호주에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 취약점을 악용한 문서 악성코드를 배포했으며, C2 서버에서 BASE64로 인코딩 된 악성 스크립트를 추가로 배포하여 시스템 제어권을 탈취하는 전술을 사용하고 있다.
SectorB25 그룹의 활동은 미국, 러시아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 러시아어로 작성된 RTF(Rich Text Format) 형식의 악성코드를 공격에 사용했다.
SectorB31 그룹의 활동은 러시아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 VBA 매크로 스크립트가 포함된 워드(Word) 문서를 공격에 사용하였다. 워드 악성코드는 러시아어로 작성된 특정 참조 및 세션 문서로 위장하고 있으며, 매크로 활성화 버튼을 클릭하도록 유도한다.
SectorB34 그룹의 활동은 필리핀, 인도, 네팔, 러시아, 벨라루스에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 MS 문서에서 임의의 명령을 실행할 수 있는 취약점을 공격에 사용했다.
SectorB38 그룹의 활동은 태국, 중국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 다수의 정부 기관 관계자에게 스피어 피싱 이메일을 발송했다. 메일에는 워드 악성코드가 포함된 압축 파일과 압축 파일의 비밀번호가 첨부되어 있다.
SectorB42 그룹의 활동은 캄보디아, 러시아, 베트남, 미국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 전세계 많은 국가의 정부 기관과 금융, 통신 등 다양한 산업군에 속해 있는 기업들을 대상으로 특정 악성코드를 사용하여 공격을 수행하였다.
SectorB56 그룹의 활동은 이번 활동에서 방화벽 장비의 원격 코드 실행 취약점을 악용하여 정교한 공격을 수행하였다.
JULY
총 3개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB22, SectorB25, SectorB38 그룹이다.
SectorB22 그룹은 체코, 필리핀, 태국, 베트남, 영국, 중국, 벨기에, 헝가리, 싱가포르에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 회의 보고서, 대사관 보고서, 지침서, 팬데믹(Pandemic) 등 공격 대상이 관심을 가질 수 있는 다양한 주제로 위장한 압축 파일 형태의 악성코드를 사용했다.
SectorB25 그룹은 파키스탄, 영국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 동남아시아 국가의 통신국 직원에게 문서형 악성코드가 첨부된 스피어 피싱 이메일을 전달했다.
SectorB38 그룹은 베트남에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 군부대에서 작성한 전자신문 내용으로 위장한 RTF(Rich Text File) 형식의 악성코드를 사용했다.
AUGUST
총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB03 그룹이다.
SectorB03 그룹은 체코, 필리핀, 태국, 베트남, 영국, 중국, 벨기에, 헝가리, 싱가포르에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 특정 비디오 채팅 앱(Video Chatting App) 서버를 장악하여, 사용자가 정상적인 경로에서 다운로드 받은 설치 프로그램에서 다른 악성코드를 추가로 받아오도록 변조하였다.
SEPTEMBER
총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB01, SectorB07, SectorB09, SectorB22, SectorB58 그룹이다.
SectorB01 그룹은 몽골, 대만, 러시아, 베트남, 싱가포르, 네덜란드, 독일, 홍콩, 미국, 중국, 키프로스에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 정부기관, 금융, 통신, 언론 등 여러 산업 분야의 종사자들을 대상으로 악성코드를 배포하였다. 알려진 악성코드와 정상 프로그램으로 악성 DLL 파일을 로드 후 실행하는 DLL 사이드 로딩(DLL Side Loading) 방식을 함께 사용하였으며, 키로깅(Keylogging), 화면 캡처(Screen Capture), 파일 업로드 및 다운로드 등의 기능을 수행한다.
SectorB07 그룹은 대만, 태국, 싱가포르, 독일, 호주, 말레이시아, 미국, 이스라엘에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 정부기관, 에너지 및 제조 부문에 종사하고 있는 관계자에게 피싱(Phishing) 공격을 시도했으며, 피싱 웹 페이지에 자바스크립트(JavaScript)를 삽입하여 방문자들을 대상으로 악성코드를 배포했다. 최종적으로 공격 대상의 브라우저 정보들을 수집하여 C2 서버로 전송하는 기능을 수행하며, C2 서버에서 전송하는 플러그인(Plugin)에 따라 다양한 악의적인 기능들을 수행할 수 있게 된다.
SectorB09 그룹은 일본, 미국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 내부 네트워크 침투를 목적으로 리눅스 OS를 대상으로 공격하기 위해 ARM 기반의 악성코드를 사용했다. 최종적으로 악성코드는 C2 서버와 통신이 성공할 경우, 감염된 시스템의 컴퓨터 이름, 프로세스 ID, 로그인 사용자 이름 등의 정보를 수집해 C2서버로 전송하는 기능을 수행한다.
SectorB22 그룹은 캐나다, 미국, 미얀마, 베트남에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 정부기관 관계자들을 대상으로 우크라이나 경제 상황, 수리남 공화국 대사관 사칭, EU 마약 범죄 관련 등 공격 대상이 관심을 가질 수 있는 제목의 압축 파일에 악성코드를 압축하여 배포했다. 최종적으로 감염된 시스템을 모니터링하며 정보를 수집하고 시스템 제어권을 탈취하는 전술을 사용하고 있다.
SectorB58 그룹은 중국, 신장 위구르 자치구에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 중국의 소스 민족 커뮤니티에서 활동하는 사람들을 공격 대상으로 삼았다. 이들은 안드로이드(Android) 악성코드를 사용하여, 최종적으로 감염된 휴대폰의 SMS, 연락처, 통화 기록 및 위치 정보 등의 정보 탈취를 시도했다.
OCTOBER
총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB01, SectorB03, SectorB04, SectorB22, SectorB58 그룹이다.
SectorB01 그룹은 미국, 스리랑카에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부 기관 관계자들을 대상으로 드롭박스(Dropbox), 구글 드라이브(Google Drive) 등의 클라우드 스토리지(Cloud storage)를 악용해 ISO 이미지 파일 형식의 악성코드를 배포하였다. 정상 프로그램으로 악성 DLL 파일을 로드 후 실행하는 DLL 사이드 로딩(DLL Side Loading) 방식을 사용했으며, 최종적으로 키로깅(Keylogging), 화면 캡처(Screen Capture), 파일 업로드 및 다운로드 등의 기능을 수행한다.
SectorB03 그룹은 미국, 중국, 베트남, 홍콩, 일본, 알바니아, 아랍에미리트에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부 기관, 전자, 의료 분야의 시스템을 대상으로 공격을 수행하였으며, Log4J 취약점을 통해 파일 업로드, 다운로드를 포함한 다양한 기능을 가진 웹 쉘(Web Shell)을 업로드하여 초기 접근 권한을 얻었다. 최종적으로 감염된 시스템을 계속 모니터링하며 정보를 수집하고 시스템 제어권을 탈취한다.
SectorB04 그룹은 이번 활동에서 Log4J 취약점 취약점을 악용해 초기 접근 권한을 얻었다. 이후 파워쉘(PowerShell) 명령으로 추가 악성코드를 시스템 내부에 생성 및 실행시켰으며, 코발트 스트라이크(Cobalt Strike), 임패킷(Impacket) 등의 도구들을 공격 과정에 사용했다. 최종적으로 랜섬웨어를 사용해 중요 파일을 암호화하여 시스템 운영을 방해하기 위한 목적으로 분석된다.
SectorB22 그룹은 루마니아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 압축 파일에 악성코드와 바로가기(LNK) 형식의 파일을 함께 배포했다. 감염 사실을 숨기기 위해 미끼 문서를 보여주며, 최종적으로 감염된 시스템을 계속 모니터링하며 정보를 수집하고 시스템 제어권을 탈취하는 전술을 사용하고 있다.
SectorB58 그룹은 중국, 신장 위구르 자치구에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 중국의 소수 민족 커뮤니티에서 활동하는 인물들을 공격 대상으로 삼았으며, 위구르어로 번역된 알카에다(Al-Qaida) 군사 과정을 주제로 위장한 안드로이드 악성코드를 사용했다. 최종적으로 감염된 스마트폰의 SMS, 연락처, 통화 기록 및 위치 정보 등의 정보 탈취를 시도했다.
NOVEMBER
총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB04 SectorB05 SectorB22, SectorB31, SectorB38 그룹이다.
SectorB04 그룹은 일본에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부 및 외교 기관 관계자들을 대상으로 공격을 수행하였다. 초기 침투 방식(Initial Access)으로 일미 동맹 주제를 제목으로 위장한 MS 워드(Word) 악성코드를 사용했다. 최종적으로 추가 악성코드를 생성 후 DLL 사이드 로딩(DLL Side Loading) 방식으로 동작 시키며, 감염된 시스템에서 정보를 수집해 내부 시스템으로 침투하기 위한 발판을 마련한다.
SectorB05 그룹은 중국, 미국, 러시아, 시리아, 신장 위구르 자치구에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 중국의 소수 민족 커뮤니티에서 활동하는 인물들을 대상으로 안드로이드(Android) 악성코드를 배포했다. 배포된 악성코드는 비디오 공유 플랫폼, 화상 통화, 음성 채팅, 번역기, 사전, 종교 등 사용 빈도가 높고 공격 대상이 관심을 가질 수 있는 앱으로 위장하고 있다. 최종적으로 감염된 스마트폰의 SMS, 연락처, 통화 기록 및 위치 정보 등의 정보 탈취 기능을 수행한다.
SectorB22 그룹은 폴란드, 필리핀, 미얀마, 태국, 미국, 캐나다, 홍콩, 인도, 호주, 대만, 일본에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부 기관, 학계, 재단 및 연구 분야에 종사하고 있는 관계자들을 대상으로 스피어 피싱(Spear Phishing) 이메일을 발송했다. 초기 침투 방식(Initial Access)으로 사용된 이메일 본문에는 구글 드라이브(Google Drive) 링크를 통해 악성코드를 다운로드 하도록 유도한다. 최종적으로 악성코드는 프로세스 정보, 사용자 및 컴퓨터 이름, 운영체제 정보를 수집해 C2 서버로 전송하는 기능을 수행한다.
SectorB31 그룹은 온라인 종합 쇼핑몰 및 정보 사이트와 관련된 파일명으로 위장한 압축 파일에 악성코드를 첨부 후 배포했다. 최종적으로 감염된 시스템을 계속 모니터링하며 시스템 정보를 탈취한다.
SectorB38 그룹은 호주에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 MS 워드(Word) 형식의 문서형 악성코드를 배포했으며 정보통신응용기술 및 수요조사와 관련된 내용으로 위장하고 있다. 실행 시 템플릿 인젝션 기법을 사용해 악의적인 매크로(Macro)가 포함된 템플릿(Template) 파일을 다운로드 받아오는 기능을 수행한다. 최종적으로 C2 서버에서 DLL 파일을 받아와 rundll32.exe(윈도우 응용 프로그램) 파일로 동작 시켜 시스템 제어권을 탈취하는 전술을 사용하고 있다.
DECEMBER
총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB03, SectorB22 그룹이다.
SectorB03 그룹은 홍콩에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 악성코드를 정상 파일인 것처럼 위장하기 위해 소프트웨어 개발 회사의 디지털 서명 정보를 악용했으며, 실행될 경우 시스템 정보 및 파일 정보 수집 기능을 수행한다.
SectorB22 그룹은 베트남, 라트비아에서 이들의 해킹 활동이 발견되었다. 헝가리와 관련된 제목으로 위장하고 있는 RAR 압축파일에 악성코드를 포함시켜 배포했다. 압축 파일에 포함된 악성코드는 감염된 시스템을 계속 모니터링하며, 정보를 수집하는 기능을 수행한다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.