2022 Activities Summary of SectorC groups (KOR)

개요

2022년 총 11개의 SectorC 하위 그룹들의 해킹 활동이 발견되었다. 이들은 해킹 그룹을 지원하는 국가와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

2022년 한 해 동안 발생한 SectorC 그룹들의 활동량을 분석한 결과 SectorC08 그룹의 활동이 가장 두드러진 것으로 확인된다.

 

[그림 1 : 2022년 확인된 SectorC의 하위 그룹 활동량]

 

SectorC 그룹들의 주요 공격 대상이 된 산업군들을 살펴보면 정부 기관과 국방 관련 분야에 종사하고 있는 관계자 또는 시스템이 가장 많은 공격 대상이 되었다.

 

[그림 2 : 2022년 공격 대상이 된 산업 분야 통계]

 

다음은 2022년 SectorC 그룹의 공격 대상이었던 국가의 정보를 지도에 표기한 것이며, 붉은 색이 짙을수록 공격 횟수가 잦았음을 의미한다. 이를 통해 SectorC 그룹은 해킹 그룹을 지원하는 국가와 인접한 우크라이나와 북아메리카에 위치한 미국을 대상으로 다수의 해킹 활동을 수행한 것을 확인할 수 있다.

특히 주요 공격 대상이 된 우크라이나의 경우 우크라이나 주요 시스템들을 무력화하거나 군사 기술 정보를 포함한 중요 정보를 탈취하기 위해 대대적인 해킹 활동을 병행하고 있는 것으로 판단된다.

 

[그림 3 : 2022년 SectorC 그룹의 주요 공격 대상 국가]

 

2022년 SectorC 그룹 활동

다음은 2022년 한 해 동안 발견된 SectorC 그룹의 해킹 활동에 대한 타임라인과 월별 활동에 대한 상세 내용이다.

 

[그림 4 : 2022년 SectorC 그룹의 활동 및 주요 이벤트]

 

JANUARY

총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC08 그룹이다.

SectorC08 그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 템플릿 인젝션(Template Injection)을 사용하는 MS 워드(Word) 파일 형식의 악성코드를 사용하여 PE(Portable Executable) 형식의 악성코드를 공격 대상 시스템에 설치하고 시스템 제어권을 탈취하는 전술을 사용하고 있다.

 

FEBRUARY

총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC04, SectorC08 그룹이다.

SectorC04그룹의 활동은 중국, 미국, 포르투갈에서 발견되었다. 해당 그룹은 ISO 이미지 파일에 포함된 LNK파일로 악성 DLL파일을 로드 하여 침투테스트 도구인 슬리버(Sliver) 또는 코발트 스트라이크(Cobalt Strike)를 설치한 후 시스템의 제어권을 탈취하는 전술을 사용하고 있다.

SectorC08 그룹의 활동은 우크라이나, 미국, 독일, 네덜란드, 스위스, 이스라엘, 러시아, 이란, 영국, 알제리에서 발견되었다. 해당 그룹은 템플릿 인젝션(Template Injection)을 사용하는 MS 워드(Word) 파일 형식의 악성코드를 사용하여 PE(Portable Executable) 형식의 악성코드를 공격 대상 시스템에 설치하고 시스템 제어권을 탈취하는 전술을 사용하고 있다.

 

MARCH

총 6개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC04, SectorC05, SectorC08, SectorC15, SectorC16 그룹이다.

SectorC01그룹의 활동은 우크라이나에서 이들의 활동이 발견되었다. 해당 그룹은 내부 메일 시스템에 저장된 메일을 읽거나 외부로 유출하기 위해 정교하게 작성된 피싱 메일과 피싱 사이트를 사용하는 전술을 사용하고 있다. 이번 활동에서는 우크라이나의 미디어 관련 회사의 사용자들을 대상으로 대규모 자격 증명 피싱 캠페인을 수행했다.

SectorC04그룹의 활동은 대만, 인도에서 이들의 활동이 발견되었다. 해당 그룹은 ISO 이미지 파일에 포함된 LNK파일로 악성 DLL파일을 로드하여 침투테스트 도구인 슬리버(Sliver) 또는 코발트 스트라이크(Cobalt Strike)를 설치한 후 시스템의 제어권을 탈취하는 전술을 사용하고 있다. 이번 활동에서는 COVID-19 및 인도 대통령과의 회담 관련 내용으로 위장한 악성 PDF 파일을 사용했다.

SectorC05그룹의 활동은 미국에서 발견되었다. 해당 그룹은 IoT(Internet of Things) 기기, 라우터 및 저장 장치를 대상으로 하는 봇넷을 제작한 것으로 알려져 있으며, 대부분의 IoT 장치의 기본 운영 체제는 리눅스로 되어 있어 ELF 파일 형식의 악성코드를 주로 사용한다. 이번 활동에서는 특정 기업의 라우터 장치를 공격 대상으로 삼는 봇넷을 사용했다.

SectorC08 그룹의 활동은 우크라이나, 영국, 베트남, 미국, 스페인에서 이들의 활동이 발견되었다. 해당 그룹은 템플릿 인젝션(Template Injection)을 사용하는 MS 워드(Word) 파일 형식의 악성코드를 사용하여, PE(Portable Executable) 형식의 악성코드를 공격 대상 시스템에 설치하고 시스템 제어권을 탈취하는 전술을 사용하고 있다. 이번 활동에서는 우크라이나 관련 뉴스 목록이나, 우크라이나 소셜 네트워크 모니터링 관련 문서로 위장한 MS 워드(Word) 파일 형식의 악성코드를 사용했다.

SectorC15 그룹의 활동은 우크라이나, 프랑스, 영국, 중국, 네덜란드, 키프로스, 싱가포르, 자메이카, 독일, 캐나다, 덴마크, 스페인, 필리핀, 세르비아, 몰도바, 터키, 사우디 아라비아, 러시아, 미국, 이탈리아에서 이들의 활동이 발견되었다. 해당 그룹은 고(Go) 프로그래밍 언어를 사용하여 개발된 악성코드를 우크라이나 사이버 보안과 관련된 피싱 이메일에 첨부하여 공격 대상에게 전달했다.

SectorC16 그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 바로 가기 파일이 포함된 압축파일을 피싱 메일에 첨부하여 유포했으며, 바로가기 파일을 실행할 경우 컴퓨터에 HTA파일이 다운로드 되어 실행된다. 최종 페이로드(Payload)는 백도어 기능을 가지는 악성코드이다.

 

APRIL

총 6개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC02, SectorC04, SectorC05, SectorC08, SectorC13, SectorC15 그룹이다.

SectorC02그룹의 활동은 우즈베키스탄, 인도네시아, 멕시코, 인도, 일본에서 이들의 활동이 발견되었다. 해당 그룹은 안드로이드(Android) 운영체제의 프로세스 매니저로 위장한 악성코드를 사용하여 정보 탈취를 시도했다. 해당 안드로이드 악성코드는 일반적인 안드로이드 악성코드와 유사하게 안드로이드 기반 스마트폰의 정보 탈취를 위한 다양한 기능을 가지고 있다.

SectorC04그룹의 활동은 인도, 영국, 미국, 스페인, 필리핀, 오스트리아, 방글라데시, 스위스, 러시아, 이탈리아, 프랑스, 그리스, 중국, 호주, 아르헨티나, 독일에서 이들의 활동이 발견되었다. 해당 그룹은 ISO 이미지 파일에 포함된 LNK파일로 악성 DLL파일을 로드(Load)하여 침투테스트 도구인 슬리버(Sliver) 또는 코발트 스트라이크(Cobalt Strike)를 설치한 후 시스템의 제어권을 탈취하는 전술을 사용하고 있다. 이번 활동에서는 정보 업데이트 문서로 위장한 ISO 파일 형태의 악성코드를 사용했다.

SectorC05그룹의 활동은 벨기에, 일본, 우크라이나, 미국에서 발견되었다. 해당 그룹은 이번 활동에서는 우크라이나의 에너지 공급 업체를 대상으로 공격을 시도했다. 해당 공격은 윈도우(Windows), 리눅스(Linux), 솔라리스(Solaris) 등 다양한 운영체제를 대상으로 디스크 파괴 기능을 가진 와이퍼(wiper)가 사용되었다.

SectorC08 그룹의 활동은 헝가리, 루마니아, 우크라이나, 러시아, 인도, 라트비아, 네덜란드, 이탈리아, 뉴질랜드, 이란, 터키에서 이들의 활동이 발견되었다. 해당 그룹은 템플릿 인젝션(Template Injection)을 사용하는 MS 워드 파일 형식의 악성코드를 사용하여, PE(Portable Executable) 형식의 악성코드를 공격 대상 시스템에 설치하고 시스템 제어권을 탈취하는 전술을 사용하고 있다. 이번 활동에서도 우크라이나어를 사용한 문서가 발견되었으며, 우크라이나 정부 관련 문서나, 러시아 군 관련 문서로 위장한 MS 워드 파일 형식의 악성코드가 발견되었다. 

SectorC13 그룹의 활동은 몰도바, 미국에서 이들의 활동이 발견되었다. 해당 그룹은 템플릿 인젝션을 사용하는 MS 워드 문서를 사용했으며, 국방위원회 관련 내용으로 위장한 워드 문서와 증권거래위원회 양식으로 위장한 엑셀 문서가 발견되었다.

SectorC15 그룹의 활동은 루마니아, 우크라이나, 오스트리아, 네덜란드, 러시아, 홍콩에서 발견되었다. 해당 그룹은 고(GO) 프로그래밍 언어를 사용하여 개발한 악성코드들을 사용하여 컴퓨터의 기본 정보들을 수집하고, C2 서버로부터 전달받은 명령을 수행하거나 파일 업로드 및 다운로드 등 다양한 기능을 수행한다. 이번 활동에서는 천연가스, 은행, 방송국을 대상으로 매크로가 포함된 MS 엑셀(Excel) 형식의 문서를 피싱 이메일에 첨부하여 전달했다.

 

MAY

총 6개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC04, SectorC05, SectorC07, SectorC08, SectorC15 그룹이다.

SectorC01그룹의 활동은 러시아, 아일랜드, 콜롬비아, 네덜란드, 아랍에미리트, 우크라이나, 인도네시아, 스페인, 포르투갈, 독일에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 우크라이나를 대상으로 스피어 피싱 이메일을 발송하여 정보 수집 용도의 악성코드를 배포했다.

SectorC04그룹의 활동은 벨기에, 터키, 인도네시아, 러시아, 스웨덴, 캐나다, 오스트리아, 대만에서 이들의 활동이 발견되었다. 해당 그룹은 터키 대사관으로 위장하여 외교부를 대상으로 스피어 피싱 이메일을 발송했다.

SectorC05그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 지난 우크라이나의 에너지 공급 업체를 대상으로 한 사이버 공격에서 사용되었던 악성코드 로더의 변종을 사용했다.

SectorC07 그룹의 활동은 독일, 태국, 한국, 미국, 러시아, 영국, 네덜란드, 프랑스, 이탈리아, 포르투갈, 스페인, 볼리비아, 크로아티아, 터키, 아르헨티나, 루마니아, 남아프리카, 멕시코에서 이들의 활동이 발견되었다. 해당 그룹은 보호된 문서로 위장하여 공격 대상이 보호 설정을 해제하도록 유도하였으며, 악성코드를 통해 시스템에 저장되어 있는 금융 관련 정보 및 비밀번호 관련 정보들을 수집했다.

SectorC08 그룹의 활동은 우크라이나, 이스라엘에서 이들의 활동이 발견되었다. 해당 그룹은 폭발물 설치 관련 내용의 스피어 피싱 이메일을 발송하여 시스템 내 모니터링 기능을 포함한 다양한 기능을 가진 백도어 악성코드를 배포했다.

SectorC15 그룹의 활동은 우크라이나, 한국, 중국, 이스라엘, 미국, 싱가포르, 아랍에미리트, 우즈베키스탄, 미얀마, 베트남에서 발견되었다. 해당 그룹은 코로나(COVID-19) 관련 내용의 스피어 피싱 이메일을 발송하여 시스템의 기본 정보들을 수집하고, C2 서버로부터 전달받은 명령을 수행하거나 파일 업로드 및 다운로드 등 다양한 기능을 수행하는 악성코드를 배포했다.

 

JUNE

총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC02, SectorC04, SectorC05, SectorC08그룹이다.

SectorC02그룹의 활동은 룩셈부르크에서 이들의 활동이 발견되었다. 해당 그룹은 NATO, EU와 관련된 웹페이지로 위장한 URL을 사용했으며, 전쟁관련 뉴스를 스크랩한 문서로 위장한 MS 워드 악성코드가 발견되었다.

SectorC04그룹의 활동은 미국, 루마니아에서 이들의 활동이 발견되었다. 해당 그룹은 스페인의 일부 지역에서 사용하는 카탈루냐어를 악성코드 파일명으로 사용했으며, 법령 관련 파일로 악성코드를 위장했다. 최종적으로 다운로더 기능을 가진 악성 DLL 파일이 실행된다.

SectorC05그룹의 활동은 싱가포르, 이탈리아, 캐나다, 우크라이나에서 발견되었다. 해당 그룹은 우크라이나 미디어 관련 조직을 대상으로 취약점을 악용한 악성 문서를 사용했다. 최종적으로 시스템에 설치되는 악성코드는 시스템에서 중요한 정보를 훔치거나 추가 악성코드를 다운로드 할 수 있는 백도어 기능을 가지고 있다.

SectorC08 그룹의 활동은 우크라이나, 네덜란드, 중국, 러시아, 폴란드, 핀란드에서 이들의 활동이 발견되었다. 해당 그룹은 우크라이나 검찰 및 행정문서 관련 파일로 위장한 악성코드와 러시아 국방부 문서로 위장한 MS 워드 파일 형식의 악성코드를 사용했으며, 최종적으로 오픈 소스 원격 제어 도구를 통해 시스템 원격제어를 시도했다.

 

JULY

총 7개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC02, SectorC04, SectorC05, SectorC08, SectorC14, SectorC15그룹이다.

SectorC01그룹은 우크라이나에서 이들의 활동이 발견되었다. 해당 그룹은 정보 수집 용도의 닷넷(DOT Net) 기반의 악성코드를 사용했으며, 플로리나(Follina, CVE-2022-30190) 취약점을 악용하는 워드 악성코드를 우크라이나 전쟁 기사로 위장하여 사용했다.

SectorC02그룹은 조지아, 아르헨티나에서 이들의 활동이 발견되었다. 해당 그룹은 군부대를 사칭하는 웹페이지에서 DDoS 도구로 위장한 안드로이드(Android) 악성코드를 배포했다.

SectorC04그룹은 이집트, 우크라이나, 인도, 홍콩, 캐나다, 미국, 노르웨이, 이탈리아, 러시아 연방, 벨기에, 네덜란드, 에스토니아, 말레이시아, 핀란드, 오스트리아에서 이들의 활동이 발견되었다. 해당 그룹은 정부를 사칭하여 PDF 문서를 첨부한 스피어 피싱 이메일을 전달했으며, 코로나 관련 내용의 PDF 문서는 내부에 존재하는 피싱 링크 클릭을 유도했다. 

SectorC05그룹은 우루과이, 우크라이나에서 발견되었다. 해당 그룹은 통신 산업군을 대상으로 법률 지원 및 군부대 관련 내용의 스피어 피싱 이메일을 전달했으며, 최종적으로 백도어 악성코드를 사용했다.

SectorC08 그룹은 우크라이나, 러시아, 인도, 독일에서 이들의 활동이 발견되었다. 해당 그룹은 군비 지급 관련 문서로 위장한 악성코드를 사용하였다. 또한, 국방부 문서로 위장한 MS 워드(Word) 파일 형식의 악성코드도 사용하였다. 최종적으로 원격 제어 도구인 울트라VNC(UltraVNC)를 사용했다.

SectorC14그룹은 우크라이나, 영국에서 이들의 활동이 발견되었다. 해당 그룹은 국방부의 로그인 페이지로 위장한 피싱 사이트를 사용했다.

SectorC15 그룹은 프랑스, 우크라이나, 미국, 영국, 호주, 독일에서 이들의 활동이 발견되었다. 해당 그룹은 정부기관 직원들을 대상으로 국방 관련 내용의 스피어 피싱 이메일을 발송했으며, 최종적으로 침투 테스트 도구인 코발트 스트라이크(Cobalt Strike)를 사용한다.

 

AUGUST

총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC08, SectorC14그룹이다.

SectorC08 그룹은 우크라이나, 미국, 러시아, 필리핀, 독일, 스웨덴, 스페인, 인도, 프랑스에서 이들의 활동이 발견되었다. 우크라이나 관련 문서로 위장한 MS 워드 파일 형식의 악성코드를 사용했으며, 최종적으로 원격 제어 도구인 울트라VNC(UltraVNC)를 사용했다.

SectorC14그룹은 미국, 영국에서 이들의 활동이 발견되었다. 해당 그룹은 국방, 비정부 기구 (NGO), 정부간 국제 기구(IGO) 등을 대상으로 소셜 네트워크(Social Network) 서비스를 사용하여 공격 대상과 신뢰를 구축하는 사회공학(Social Engineering) 기법을 사용했다. 그리고, 공격 대상을 피싱 사이트 접속을 유도하여 공격 대상의 메일 계정 로그인 정보를 탈취하였다.

 

SEPTEMBER

총 2개 해킹 그룹의 활동이 발견되었으며, 이들은SectorC05, SectorC08그룹이다.

SectorC05그룹은 우크라이나에서 이들의 활동이 발견되었다. 해당 그룹은 우크라이나 남부 항구도시 오데사(Odessa)지역의 군사행정 문서로 위장한 악성코드를 사용했으며, 최종적으로 원격 제어 도구를 사용하였다.

SectorC08 그룹은 우크라이나, 중국에서 이들의 활동이 발견되었다. 해당 그룹은 우크라이나의 내무부, 보안국 등 정부기관 문서로 위장한 악성코드를 사용했으며, 최종적으로 사용한 악성코드를 이용하여 시스템 정보 수집 및 파일 탈취를 시도했다.

 

OCTOBER

총 2개 해킹 그룹의 활동이 발견되었으며, 이들은SectorC01, SectorC08그룹이다.

SectorC01 그룹은 독일, 터키, 미국, 이탈리아, 슬로바키아에서 이들의 활동이 발견되었다. 해당 그룹은 OECD(Organization for Economic Co-operation and Development) 회의 통역 안내사항에 대한 문서로 위장한 MS 파워포인트(PowerPoint) 악성코드를 사용했으며, 최종적으로 오픈 소스 원격 제어 도구인 엠파이어(Empire)를 사용하여 시스템 제어를 시도했다.

SectorC08 그룹은 우크라이나, 독일, 벨라루스, 러시아에서 이들의 활동이 발견되었다. 해당 그룹은 러시아와 우크라이나의 정부 기관 문서로 위장한 악성코드를 사용했으며, 최종적으로 원격 제어 도구인 울트라 VNC(UltraVNC)를 사용하여 정보탈취를 시도했다.

 

NOVEMBER

총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC08, SectorC13 그룹이다.

SectorC08 그룹은 우크라이나, 리투아니아, 러시아에서 이들의 활동이 발견되었다. 해당 그룹은 정부기관의 행정문서, 보안규정 문서로 위장한 악성코드를 사용했으며, 최종적으로 원격 제어 도구인 울트라 VNC(UltraVNC)를 사용하여 정보탈취를 시도했다.

SectorC13 그룹은 러시아, 벨라루스에서 이들의 활동이 발견되었다. 해당 그룹은 외무부를 대상으로 피싱 메일을 전송했으며, 외교저널로 위장하여 템플릿 인젝션(Template Injection) 기법을 사용하는 MS 워드(Word) 악성코드 실행을 유도했다.

 

DECEMBER

총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC08, SectorC13, SectorC14, SectorC17그룹이다.

SectorC08 그룹은 미국, 우크라이나, 리투아니아, 벨라루스, 루마니아, 프랑스, 조지아, 멕시코, 러시아, 한국, 미국에서 이들의 활동이 발견되었다. 해당 그룹은 정부기관의 행정문서로 위장한 악성코드를 사용했으며, 최종적으로 원격 제어 도구인 울트라 VNC(UltraVNC)를 사용하여 정보탈취를 시도했다.

SectorC13 그룹은 폴란드에서 이들의 활동이 발견되었다. 해당 그룹은 국경 통과 문의서로 위장한 MS 워드(Word) 악성코드를 사용했으며, 공격 대상이 해당 문서를 실행할 경우 파일 내부에 존재하는 악성 URL에 연결되어 DLL 파일을 다운로드 및 실행한다.

SectorC14 그룹은 미국에서 이들의 활동이 발견되었다. 해당 그룹은 미국 국립 연구소의 로그인 페이지로 위장한 피싱 사이트를 사용하여 메일 자격 증명 탈취를 시도했다.

SectorC17 그룹은 우크라이나에서 이들의 활동이 발견되었다. 해당 그룹은 토렌트(Torrent) 사이트를 통해 변조된 윈도우(Windows) 설치 프로그램을 배포하는 공격을 시도했다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.