Monthly Threat Actor Group Intelligence Report, April 2023 (KOR)
2023년 3월 21일에서 2023년 4월 20일까지 NSHC ThreatRecon팀에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.
이번 4월에는 총 29개의 해킹 그룹들의 활동이 확인되었으며, SectorA 그룹이 34%로 가장 많았으며, SectorC 그룹의 활동이 그 뒤를 이었다.
이번 4월에 발견된 해킹 그룹들의 해킹 활동은 정부기관과 상업 시설 분야에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 유럽(Europe)과 동아시아(East Asia)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.
1. SectorA 그룹 활동 특징
2023년 4월에는 총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA05, SectorA06, SectorA07 그룹이다.
SectorA01 그룹은 한국, 우크라이나, 이탈리아, 미국, 이스라엘, 체코, 인도, 독일, 캐나다, 룩셈부르크, 중국, 러시아, 조지아, 루마니아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 VOIP(Voice Over Internet Protocol) 제공 회사에 공급망 공격(Supply Chain Attack)을 수행했으며, 특정 소프트웨어를 설치한 윈도우(Windows) 및 맥(Mac) 운영체제 사용자들을 대상으로 악성코드를 배포했다. 최종적으로 시스템 정보 및 웹 브라우저(Web Browser) 정보를 수집하는 악성코드를 다운로드 및 실행하여, 감염된 시스템을 지속적으로 모니터링한다.
SectorA02 그룹은 네덜란드, 한국, 오스트레일리아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 윈도우 바로가기(LNK) 악성코드를 ISO 이미지(ISO Image) 포맷으로 압축 후 배포했으며, 북한 외교 정책, 북한 외교관 선발 파견을 포함한 여러 주제들로 위장했다. 최종적으로 추가 악성코드를 통해 시스템 정보를 수집하고, 수집된 정보는 피클라우드(pCloud), 얀덱스(Yandex) 등의 클라우드 서비스로 전송한다.
SectorA05 그룹은 한국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 외교 및 안보 분야 관계자를 대상으로 스피어 피싱(Spear Phishing) 이메일을 발송했으며, 특정 연구소 소속 임직원이 발송한 것처럼 위장하고 있다. 이메일에 첨부된 MS 워드(Word) 악성코드를 통해 추가 악성코드를 다운로드 및 실행하며, 최종적으로 웹 브라우저(Web Browser)에 저장된 정보를 수집 후 C2 서버로 전송하는 기능을 수행한다.
SectorA06 그룹은 영국, 한국, 미국, 캐나다에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 가상화폐 관련 내용으로 위장한 MS 원노트(OneNote) 문서를 배포했으며, 문서 안에 첨부된 PDF 파일을 클릭하도록 유도한다. 최종적으로 MS 원노트(OneNote) 파일에 첨부된 MSI(Microsoft Software Installer) 파일이 DLL 악성코드를 동작 시켜, 감염된 시스템 권한을 획득하고 제어권을 탈취하는 전술을 사용하고 있다.
SectorA07 그룹은 한국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 국세징수법 시행규칙, 인지세 사무처리규정 등의 국세청 세무조사 관련 서류로 위장한 윈도우 바로가기(LNK) 형식의 악성코드를 ZIP 포맷으로 압축 후 배포했으며, 정상 문서 파일로 위장하기 위해 압축 파일에 정상 문서 파일을 같이 압축해서 전달했다. 최종적으로 배치(Batch) 스크립트를 통해 실행중인 프로세스 목록, 다운로드 폴더 파일 목록, 바탕화면 파일 목록, 설치 파일 목록, 네트워크 정보를 수집 후 텍스트 파일로 각각 저장하고 C2 서버로 전송하는 기능을 수행한다.
현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.
2. SectorB 그룹 활동 특징
2023년 4월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB01, SectorB10, SectorB22, SectorB23 그룹이다.
SectorB01 그룹은 독일, 오스트레일리아, 대만, 홍콩, 미국, 일본, 싱가포르, 라트비아, 미크로네시아, 중국, 베트남, 한국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 리눅스(Linux) 시스템을 공격하기 위해 ELF(Executable and Linkable Format) 형식의 악성코드를 배포했다. 최종적으로 시스템 정보를 탈취하고 배포한 악성코드를 통해 코발트 스트라이크(Cobalt Strike)와 같은 침투 테스트 도구를 다운로드 및 실행할 수 있는 발판을 마련했다.
SectorB10 그룹은 카자흐스탄에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 카자흐스탄 언어로 작성된 프로젝트 문서로 위장한 RTF(Rich Text Format) 문서 악성코드를 배포했으며, 공격 대상이 악성코드를 실행할 경우 취약점에 의해 DLL 악성코드를 추가로 생성 및 실행된다. 최종적으로 생성된 악성코드를 레지스트리(Registry)에 등록 후 지속성(Persistence)을 유지하고 코발트 스트라이크(Cobalt Strike)와 같은 침투 테스트 도구를 다운로드 및 실행할 수 있는 발판을 마련했다.
SectorB22 그룹은 폴란드, 독일, 터키, 헝가리, 이집트, 오스트레일리아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 프라하 프로세스(Prague Process)를 주제로 위장한 윈도우 바로가기(LNK) 형식의 악성코드를 ZIP 포맷으로 압축 후 배포했다. 악성코드 내부에는 파워쉘(PowerShell) 명령어가 포함되어 있으며, 실행할 경우 DLL 형식의 악성코드를 추가로 생성 및 동작 시킨다. 최종적으로 실행된 악성코드는 감염된 시스템을 계속 모니터링하며, 정보를 수집하는 기능을 수행한다.
SectorB23 그룹은 한국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 건설, 외교, 교육, 정치 분야에 종사하고 있는 관계자들을 대상으로 공격을 수행했으며, 통일부와 관련된 주제로 CHM(Compiled HTML Help) 악성코드와 PE(Portable Executable) 형식의 악성코드를 배포했다. 최종적으로 감염된 시스템을 지속적으로 모니터링하며, 시스템 정보 탈취, 추가 악성코드 다운로드 및 실행 등의 기능들을 수행한다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
2023년 4월에는 총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC05, SectorC08, SectorC13, SectorC19 그룹이다.
SectorC01 그룹의 활동은 루마니아, 폴란드, 터키, 독일, 체코, 우크라이나, 이탈리아에서 발견되었다. 해당 그룹은 계정 정보 탈취를 목적으로 뉴스 미디어와 검색엔진을 제공하는 포털 사이트(Portal Site)로 위장한 피싱 사이트(Phishing Site)를 사용했다.
SectorC05 그룹의 활동은 러시아, 폴란드, 우크라이나, 미국에서 발견되었다. 해당 그룹은 웹 메일 사용자들을 대상으로 자격 증명을 탈취하기 위해 방위산업체 홈페이지로 위장한 피싱 사이트와 텔레그램(Telegram) 로그인 페이지로 위장한 피싱 사이트를 사용했다.
SectorC08 그룹의 활동은 우크라이나, 호주, 몰도바, 미국에서 발견되었다. 해당 그룹은 형사 소송 법률 문서로 위장한 스피어 피싱(Spear Phishing) 이메일을 사용했으며, HTA(HTML Application)를 실행할 수 있는 Microsoft HTML 응용 프로그램(MSHTA)을 통해 추가 악성파일에 대한 다운로드를 시도했다.
SectorC13 그룹의 활동은 러시아에서 발견되었다. 해당 그룹은 적 장비 파괴 보상에 대한 내용으로 위장한 스피어 피싱(Spear Phishing) 이메일을 사용했으며, 이메일을 통해 전달된 MS 워드(Word) 악성코드는 템플릿 인젝션(Template Injection) 기법을 사용하여 악의적인 코드가 포함된 MS 워드(Word) 템플릿(Template)을 다운로드 및 실행했다.
SectorC19 그룹의 활동은 폴란드, 미국에서 발견되었다. 해당 그룹은 나토(NATO)에 가입한 유럽 정부 기관들을 대상으로 스피어 피싱(Spear Phishing) 이메일을 사용했으며, 이메일 자격 증명 탈취 및 메일 보관함에 접근하기 위해 짐브라(Zimbra) 취약점을 사용했다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.
4. SectorD 그룹 활동 특징
2023년 4월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD01, SectorD33 그룹이다.
SectorD01 그룹의 활동은 요르단에서 발견되었다. 해당 그룹은 정보 탈취를 위한 악성코드를 사용했으며, 데이터를 유출을 위해 EWS(Exchange Web Services) 관리에 사용하는 API를 악용했다.
SectorD33 그룹의 활동은 미국에서 발견되었다. 해당 그룹은 온프레미스(On-premise) 및 클라우드 환경을 대상으로 다크빗 랜섬웨어(DarkBit Ransomware)를 사용했으며, 지정학적 목적을 감추기 위해 랜섬웨어(Ransomware) 페르소나(Persona)를 사용했다.
SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.
5. SectorE 그룹 활동 특징
2023년 4월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE04, SectorE05 그룹이다.
SectorE01 그룹은 헝가리, 러시아, 홍콩, 싱가포르에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부기관, 국방, 방위 산업에 종사하는 관계자를 대상으로 방글라데시 해군 합동작전 회의록으로 위장한 스피어 피싱(Spear Phishing) 이메일을 발송했으며, 본문에 악성코드를 다운로드할 수 있는 링크를 삽입한 것으로 분석된다. 최종적으로 원격 제어 악성코드를 통해 감염된 시스템 권한을 획득하고 제어권을 탈취하는 전술을 사용하고 있다.
SectorE02 그룹은 에스토니아, 스리랑카, 싱가포르, 이란, 인도, 네팔에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 인도의 카슈미르(Kashmir) 지역, 월간 실행 계획, PMDU(Prime Minister Delivery Unit) 등 여러 주제로 위장한 문서 악성코드들을 배포했다. 이후 추가 악성코드를 통해 바탕화면 및 다운로드 폴더의 파일 정보 수집, 키로깅(Keylogging), 화면 캡처(Screen Capture) 등의 기능들을 수행한다.
SectorE04 그룹은 네팔, 파키스탄에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 파키스탄 내무부 문서로 위장한 MS 워드(Word) 악성코드를 배포했으며, 템플릿 인젝션(Template Injection) 기법을 사용하여 악의적인 코드가 포함된 MS 워드(Word) 템플릿(Template)을 다운로드한다. 템플릿 파일은 다운로드 URL 주소를 바탕으로 RTF(Rich Text Format) 형식의 파일로 판단되며, 다운로드 받은 파일을 통해 감염된 시스템의 정보를 탈취할 것으로 분석된다.
SectorE05 그룹은 미국, 파키스탄, 영국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 특정 계약 의무 위반에 대한 해지 내용, 프로젝트 계획 등으로 위장한 CHM(Compiled HTML Help) 악성코드를 RAR 포맷으로 압축 후 배포한다. 이후 추가 악성코드를 통해 감염된 시스템의 네트워크 정보, 시스템 정보, 바탕화면 및 다운로드 폴더의 파일 정보 등을 수집 후 C2 서버로 전송하는 기능들을 수행한다.
SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다.
6. SectorH 그룹 활동 특징
2023년 4월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.
SectorH03 그룹의 활동은 인도에서 발견되었다. 해당 그룹은 MS 파워포인트(PowerPoint) 문서 악성코드를 배포했으며, 정책 개정과 관련된 주제로 위장했으며, 실행 시 악의적인 매크로(Macro)를 통해 추가 악성코드를 생성 및 실행한다. 최종적으로 원격 제어 악성코드를 통해 감염된 시스템 권한을 획득하고 제어권을 탈취하는 전술을 사용하고 있다.
SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.
7. SectorS 그룹 활동 특징
2023년 4월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorS01 그룹이다.
SectorS01 그룹의 활동은 홍콩, 콜롬비아에서 발견되었다. 해당 그룹은 정부기관 관계자들을 대상으로 스피어 피싱(Spear Phishing) 이메일을 발송했으며, 콜롬비아 국세관세국(Directorate of National Taxes and Customs) 및 사법 기관을 사칭하여 첨부된 PDF 악성코드 실행을 유도한다. 최종적으로 다운로드 받은 악성코드를 통해 시스템 정보, 키로깅(Keylogging), 화면 캡처(Screen Capture) 등의 정보 탈취 행위를 한다.
현재까지 지속되는 SectorS 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가들에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다.
8. SectorT 그룹 활동 특징
2023년 4월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorT01 그룹이다.
SectorT01 그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 우크라이나 여권 사무소 직원을 사칭 후 피싱 메일을 전달했으며, 우크라이나 메일 시스템, 포털사이트 등으로 위장한 피싱 웹 페이지로 공격 대상의 접근을 유도한다. 정상 서비스와 유사하게 만들어진 피싱 웹 페이지들은 공격 대상의 이메일 정보, 계정 정보 등의 자격증명 정보 탈취를 시도하고 있는 것으로 판단된다.
현재까지 지속되는 SectorT 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가들에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다.
8. Cyber Crime 그룹 활동 특징
2023년 4월에는 총 6개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ06, SectorJ09, SectorJ25, SectorJ64, SectorJ72, SectorJ103 그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ06 그룹의 활동은 미국, 헝가리, 슬로베니아, 싱가포르, 이탈리아, 영국에서 발견되었다. 해당 그룹은 시스템에 저장되어 있는 다양한 정보를 탈취하는 닷넷(.NET) 파일 형식의 악성코드를 사용했다.
SectorJ09 그룹은 웹 사이트에 난독화 된 스키밍(skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있다.
SectorJ25 그룹의 활동은 몽골, 영국, 인도네시아에서 발견되었다. 해당 그룹은 클라우드(Cloud) 및 컨테이너(Container) 환경을 대상으로 암호화폐를 채굴하는 크립토재커(Cryptojacker)를 사용했다.
SectorJ64 그룹의 활동은 독일에서 발견되었다. 해당 그룹은 취약한 보안 설정으로 구성되어 있거나, Log4Shell 취약점(CVE-2021-44228, CVE-2022-26134)에 노출된 VMware Horizon 서버를 대상으로 암호화폐 채굴을 시도했다.
SectorJ72 그룹은 윈도우 바로가기(LNK) 파일 형식의 악성코드를 사용했으며, 취약한 보안 설정으로 인해 자격 증명이 탈취된 QNAP NAS 장치를 C2 서버로 사용했다.
SectorJ103 그룹의 활동은 독일에서 발견되었다. 해당 그룹은 MaaS(Malware-as-a-Service)를 통해 정보 탈취형 악성코드 및 원격 제어 악성코드를 포함한 다양한 악성코드를 판매하고 있다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.