2022 Activities Summary of SectorD groups (KOR)

개요

2022년 총 9개의 SectorD 하위 그룹들의 해킹 활동이 발견되었다. 이들은 주로 해킹 그룹을 지원하는 국가와 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행하였으며, 최근의 SectorD 해킹 그룹들의 해킹 활동 목적은 해킹 그룹을 지원하는 국가에 반대하는 인물 또는 국가들의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

2022년 한 해 동안 발생한 SectorD 그룹들의 활동량을 분석한 결과 SectorD02, SectorD05, SectorD10 그룹의 활동이 각각 20%로 가장 두드러진 것으로 확인된다.

 

[그림 1 : 2022년 확인된 SectorD의 하위 그룹 활동량]

 

SectorD 그룹들의 주요 공격 대상이 된 산업군들을 살펴보면 정부 기관과 교육 분야에 종사하고 있는 관계자 또는 시스템이 가장 많은 공격 대상이 되었다.

 

[그림 2 : 2022년 공격 대상이 된 산업 분야 통계]

 

다음은 2022년 SectorD 그룹의 공격 대상이었던 국가의 정보를 지도에 표기한 것이며, 붉은 색이 짙을수록 공격 횟수가 잦았음을 의미한다. 이를 통해 SectorD 그룹은 북아메리카에 위치한 미국과 중동에 위치한 이스라엘을 대상으로 다수의 해킹 활동을 수행한 것을 확인할 수 있다.

특히 이스라엘의 경우 SectorD 그룹들을 지원하는 국가와 핵개발을 둘러싸고 그림자 전쟁(Shadow War)이라고 불리는 지속적인 분쟁으로 인해 관계가 악화되고 있는 상황에서 사이버 해킹 활동들을 병행하고 있는 것으로 판단된다.

 

[그림 3 : 2022년 SectorD 그룹의 주요 공격 대상 국가]

 

2022년 SectorD 그룹 활동

다음은 2022년 한 해 동안 발견된 SectorD 그룹의 해킹 활동에 대한 타임라인과 월별 활동에 대한 상세 내용이다.

 

[그림 4 : 2022년 SectorD 그룹의 활동 및 주요 이벤트]

 

JANUARY

총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD02, SectorD05 그룹이다. 

SectorD02그룹의 활동은 사우디아라비아, 러시아, 이란, 미국, 아르메니아, 터키, 오스트리아, 독일에서 발견되었다. 해당 그룹은 아랍 에미리트의 특정 대학 워크샵과 관련된 문서로 위장한 악성코드를 배포하였으며, 감염 시스템의 기본 환경 정보를 수집했다.

SectorD05그룹은 Log4j 취약점을 악용했으며, 시스템에 침투한 이후 CharmPower라는 새로운 파워쉘(PowerShell) 기반 백도어를 사용하여 시스템 정보 수집이나 명령제어 같은 추가 악성행위를 수행했다.

 

FEBRUARY

총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD02, SectorD05 그룹이다. 

SectorD02그룹의 활동은 이스라엘, 이란, 영국, 터키, 대한민국, 파키스탄, 아르메니아, 러시아, 독일, 스웨덴, 덴마크, 사우디 아라비아, 프랑스, 미국, 중국에서 발견되었다. 해당 그룹은 터키 정부 기관을 대상으로 MS 워드(Word), MS 엑셀(Excel) 등 다양한 형식의 문서형 악성코드를 배포했으며, PDF 형식의 악성코드에는 클릭을 유도하는 피싱 링크가 포함되어 있다.

SectorD05 그룹의 활동은 독일, 네덜란드, 이란, 미국, 조지아, 프랑스, 터키, 오스트리아, 그리스, 한국, 이스라엘에서 발견되었다. 해당 그룹은 Log4j 취약점을 악용하여 시스템에 침투하며, 리버스 프록시(Reverse Proxy), 리버스 쉘(Reverse Shell)을 통해 시스템 정보 수집이나 명령제어 같은 추가 악성행위를 수행하는 전술을 사용하고 있다.

 

MARCH

총 1개 해킹 그룹의 활동이 발견되었으며, 이는 SectorD14그룹이다. 

SectorD14그룹의 활동은 터키, 이스라엘, 캐나다, 튀니지에서 이들의 활동이 발견되었다. 해당 그룹은 인사부서 직원으로 위장하여 공격 대상에게 접근하는 사회공학 기법(Social Engineering)을 사용하고 있으며, 신뢰도를 높이기 위해 소셜 네트워크 서비스(Social Network Service)에 인사부서 직원으로 위장한 허위 계정을 생성하여 공격 대상에게 접근하는 전술을 사용한다. 이번 활동에서는 악성코드의 아이콘을 PDF 아이콘으로 변경하여 정상 PDF인것처럼 위장했다.

 

APRIL

총 1개 해킹 그룹의 활동이 발견되었으며, 이는 SectorD05그룹이다. 

SectorD05그룹의 활동은 미국에서 이들의 활동이 발견되었다. 해당 그룹은 Microsoft Exchange ProxyShell 취약점(CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)을 악용하여 파일 업로드 및 다운로드와 파워쉘 커맨드를 사용할 수 있는 웹 쉘(Web Shell)을 실행한다.

 

MAY

총 3개 해킹 그룹의 활동이 발견되었으며, 이는 SectorD01, SectorD10, SectorD20그룹이다. 

SectorD01그룹의 활동은 요르단에서 발견되었다. 해당 그룹은 직업 기술 교육 기관으로 위장하였으며, 스피어 피싱 이메일을 발송하여 다양한 기능을 가진 백도어 악성코드를 배포했다.

SectorD10그룹의 활동은 미국에서 발견되었다. 해당 그룹은 공격 대상 정보를 수집하기 위해 대학의 도서관, 포털 페이지들로 위장한 피싱 사이트를 사용했다.

SectorD20그룹의 활동은 이란, 말레이시아, 이스라엘, 미국, 프랑스에서 발견되었다. 해당 그룹은 파워쉘(PowerShell) 취약점을 포함한 다양한 취약점들을 악용하여 초기 접근 권한을 얻었으며, 침입한 시스템의 정보 수집과 함께 금전적인 이득을 위한 랜섬웨어(Ransomware) 공격도 병행하고 있다.

 

JUNE

총 4개 해킹 그룹의 활동이 발견되었으며, 이는 SectorD05, SectorD10, SectorD14, SectorD22그룹이다. 

SectorD05그룹의 활동은 이스라엘에서 발견되었다. 해당 그룹은 메일 계정 탈취를 위해 이스라엘의 공무원, 군인 등을 대상으로 스피어 피싱 이메일을 발송했다.

SectorD10그룹의 활동은 미국에서 발견되었다. 해당 그룹은 공격 대상 정보를 수집하기 위해 대학의 도서관, 포털 페이지들로 위장한 피싱 사이트를 사용했다.

SectorD14그룹의 활동은 미국, 아랍 에미레이트에서 발견되었다. 해당 그룹은 이스라엘의 온라인 신문사에서 작성한 기사의 PDF 파일로 위장한 악성코드를 사용했다.

SectorD22그룹의 활동은 미국, 인도에서 발견되었다. 해당 그룹은 채용 담당자로 위장하여 스피어 피싱 이메일을 발송했으며, 최종적으로 시스템 내부의 금융 정보 및 자격 증명 정보를 탈취하는 기능을 가진 악성코드를 사용했다.

 

JULY

총 2개 해킹 그룹의 활동이 발견되었으며, 이는 SectorD02, SectorD10그룹이다. 

SectorD02그룹은 이스라엘에서 이들의 활동이 발견되었다. 해당 그룹은 항공사 관련 파일로 위장한 윈도우 인스톨러(Windows Installer) 패키지 파일 형식의 악성코드를 사용했다.

SectorD10그룹은 스웨덴, 미국, 영국에서 이들의 활동이 발견되었다. 해당 그룹은 공격 대상 정보를 수집하기 위해 대학의 도서관, 포털 페이지들로 위장한 피싱 사이트를 사용했다.

 

SEPTEMBER

총 4개 해킹 그룹의 활동이 발견되었으며, 이는 SectorD02, SectorD05, SectorD14, SectorD20그룹이다. 

SectorD02그룹은 이스라엘에서 이들의 활동이 발견되었다. 해당 그룹은 Log4j취약점이 패치 되지 않은 서버를 공격 대상으로 삼았으며, 이번 활동에서 취약한 SysAid Server instance에 대한 익스플로잇(Exploit)을 통해 원격 제어 상용 소프트웨어를 설치를 시도했다.

SectorD05그룹은 이집트, 요르단, 이스라엘, 인도, 아랍에미리트에서 이들의 활동이 발견되었다. 해당 그룹은 해운 및 해양 산업군의 조직들을 공격 대상으로 삼아 피싱(Phishing) 공격을 시도했으며, 해당 공격 대상 조직의 메일 서버 정보를 탈취하여 추가 공격을 위한 정보를 수집하는 것으로 판단된다.

SectorD14그룹은 슬로바키아, 미국, 알바니아, 그리스, 러시아, 베트남, 한국, 사우디 아라비아, 브라질, 독일, 스위스에서 이들의 활동이 발견되었다. 해당 그룹은 자바 업데이트로 위장한 악성코드를 사용했다. 해당 악성코드는 파일 업로드 및 추가 명령 코드를 실행할 수 있는 기능 뿐만 아니라 공격 대상의 현재 화면을 캡처하는 기능을 가지고 있다.

SectorD20그룹은 카자흐스탄, 한국, 미국, 영국, 호주, 캐나다에서 이들의 활동이 발견되었다. 해당 그룹은 공격 대상 시스템의 접근 권한을 얻기 위해 프록시쉘(ProxyShell) 취약점이나 Log4j 취약점을 사용했으며, 최종적으로 비트락커(BitLocker)를 활성화하여 데이터를 암호화하고 랜섬 노트(Ransom Note)를 생성했다.

 

OCTOBER

총 1개 해킹 그룹의 활동이 발견되었으며, 이는 SectorD11 그룹이다. 

SectorD11 그룹은 독일에서 이들의 활동이 발견되었다. 해당 그룹은 음악 재생 어플로 위장한 안드로이드 악성코드를 배포했으며, SMS 정보, 사진, 통화 녹음 등 공격 대상의 정보 탈취를 시도했다.

 

NOVEMBER

총 1개 해킹 그룹의 활동이 발견되었으며, 이는 SectorD11 그룹이다. 

SectorD11 그룹은 독일에서 이들의 활동이 발견되었다. 해당 그룹은 음악 재생 어플로 위장한 안드로이드 악성코드를 배포했으며, SMS 정보, 사진, 통화 녹음 등 공격 대상의 정보 탈취를 시도했다.

 

DECEMBER

총 2개 해킹 그룹의 활동이 발견되었으며, 이는 SectorD02, SectorD30그룹이다.

SectorD02 그룹은 오만, 폴란드, 아제르바이잔, 아랍 에미리트, 영국, 아르메니아, 이스라엘, 말레이시아, 터키, 타지키스탄, 요르단, 이라크, 이집트에서 이들의 활동이 발견되었다. 해당 그룹은 악성 링크가 포함되어 있거나, 악성코드가 첨부된 피싱 메일을 사용했으며, 최종적으로 원격 제어 도구를 시스템에 설치하여 정보 탈취를 시도했다.

SectorD30 그룹은 오만, 폴란드, 아제르바이잔, 아랍 에미리트, 영국, 아르메니아, 이스라엘, 말레이시아, 터키, 타지키스탄, 요르단, 이라크, 이집트에서 이들의 활동이 발견되었다. 해당 그룹은 메일 로그인 자격 증명을 탈취하여 메일 및 클라우드 저장소의 정보를 탈취하거나, 저장된 연락처를 탈취를 하기 위해 로그인 페이지로 위장한 피싱 사이트를 사용했다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.