Monthly Threat Actor Group Intelligence Report, June 2023 (KOR)
2023년 5월 21일에서 2023년 6월 20일까지 NSHC ThreatRecon팀에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.
이번 6월에는 총 32개의 해킹 그룹들의 활동이 확인되었으며, SectorA 그룹이 41%로 가장 많았으며, SectorJ 그룹의 활동이 그 뒤를 이었다.
이번 6월에 발견된 해킹 그룹들의 해킹 활동은 정부기관과 금융 분야에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 유럽(Europe)과 동아시아(East Asia)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.
1. SectorA 그룹 활동 특징
2023년 6월에는 총 5개 해킹 그룹의 활동이 발견되었으며,이들은 SectorA01, SectorA02, SectorA05, SectorA06, SectorA07 그룹이다.
SectorA01 그룹은 한국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 한국에서 사용하는 웹 보안 프로그램과 기업 자산 관리 프로그램의 원격 코드 실행(Remote Code Execution) 취약점을 사용하여, 공격 대상 시스템에서 악성코드를 다운로드 및 실행했다.
SectorA02 그룹은 한국, 호주, 캄보디아, 미국, 영국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 윈도우 바로가기(LNK) 파일 형식의 악성코드를 사용했으며, 북한인권 영화 상영회 협조 요청 문서로 위장하여 공격 대상이 악성코드를 실행하도록 유도했다.
SectorA05 그룹은 한국, 벨기에, 미국, 중국, 일본, 우크라이나, 영국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 북한 인권 단체와 관련된 주제로 위장한 피싱(Phishing) 메일에 윈도우 도움말 (CHM, Compiled HTML Help) 파일 형식의 악성코드가 존재하는 압축파일을 첨부하여 공격 대상에게 전달했으며, 최종적으로 시스템의 다양한 정보를 유출하는 악성코드를 사용했다.
SectorA06 그룹은 아랍에미리트, 호주, 이스라엘, 스위스, 인도네시아, 인도, 미국, 루마니아, 중국, 일본, 싱가포르, 미국, 이탈리아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 맥OS(macOS) 사용자를 대상으로 PDF 뷰어(PDF Viewer)로 위장한 악성코드를 사용했으며, 공격 대상을 속이기 위해 마이크로소프트 애저(Microsoft Azure)의 보호된 문서로 위장한 미끼 문서를 사용했다.
SectorA07 그룹은 한국, 이스라엘에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 감정평가 협조 안내문으로 위장한 윈도우 바로가기(LNK) 형식의 악성코드를 ZIP 파일 형식으로 압축 후 배포했으며, 최종적으로 시스템 정보를 수집하는 비주얼 베이직 스크립트(Visual Basic Script)와 배치(Batch) 스크립트 파일을 사용했다.
현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.
2. SectorB 그룹 활동 특징
2023년 6월에는 총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB22, SectorB38, SectorB50, SectorB73, SectorB75 그룹이다.
SectorB22 그룹은 라트비아, 타이완, 미얀마, 일본, 터키, 에스토니아, 그리스, 영국, 미국, 핀란드, 독일, 노르웨이에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부 및 기관, 통신 산업 등의 다양한 조직을 대상으로 스피어 피싱(Spear Phishing) 이메일을 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 시스템에서 시스템 정보 수집, 명령 실행, 파일 삭제 등의 악성 행위를 수행하였다.
SectorB38 그룹은 미국, 이탈리아, 캐나다, 인도, 오스트레일리아, 싱가포르, 프랑스, 독일, 영국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부 및 기관, 외교부, 금융 등의 다양한 조직을 대상으로 스피어 피싱 이메일을 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 다운로더(Downloader) 기능의 악성코드를 설치하여 추후 공격을 위한 발판을 마련하였다.
SectorB50 그룹은 아랍에미리트, 미국, 독일에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 설문조사 문서로 위장한 압축 파일을 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 시스템에서 공격자의 명령에 따른 악의적인 행위를 수행하게 된다.
SectorB73 그룹은 미국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 중요 인프라 제공업체를 대상으로 공격 활동을 하였으며, 다양한 오픈 소스(Open Source) 도구 및 시스템 명령을 활용하여 정보 탈취 행위를 하였다.
SectorB75 그룹은 라트비아, 파키스탄, 중국, 독일, 홍콩, 미국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 바라쿠다 이메일 시큐리티 게이트웨이 어플라이언스(Barracuda Email Security Gateway Appliance) 장비에서 발생한 취약점(CVE-2023-2868)을 악용하여 공격 활동을 하였으며, 공격 대상 시스템에서 정보 탈취 행위를 하였다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
2023년 6월에는 총 6개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC04, SectorC05, SectorC08, SectorC13, SectorC14 그룹이다.
SectorC01 그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 웹 메일 소프트웨어의 취약점을 악용하여 웹 메일 서버의 정보를 탈취했으며, 송수신 메일 주소를 변조하거나, 사용자 주소록을 훔쳐 2차 공격을 위한 발판을 마련했다.
SectorC04 그룹은 마이크로소프트 인증서로 서명된 정상적인 EXE 파일을 DLL 사이드 로딩(Side-Loading) 기법에 사용하여 악성코드를 실행시켰으며, 최종적으로 추가 악성코드를 다운로드 및 실행할 수 있는 다운로더(Downloader) 기능의 악성코드를 사용했다.
SectorC05 그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 다단계 인증(MFA)가 없는 VPN 계정을 악용하였으며, 시스템 파괴 목적을 가진 배치(Batch) 스크립트 형식의 악성코드를 사용하여 시스템 내에 파일들을 삭제했다.
SectorC08 그룹의 활동은 미국, 러시아, 아랍에미리트, 우크라이나, 폴란드, 한국에서 발견되었다. 해당 그룹은 망 분리(Air Gap)가 된 시스템에 도달하기 위해 이동식 매체를 이용하여 측면 이동(Lateral Movement)을 시도했으며, 공격 대상 조직의 시스템에 윈도우 바로가기(LNK) 형식의 악성코드를 생성하여 공격 대상이 실행하도록 유도하는 방식을 사용했다.
SectorC13 그룹의 활동은 미국, 러시아에서 발견되었다. 해당 그룹은 포격에 대한 대피행동요령에 대한 내용으로 위장한 MS 워드(Word) 악성코드를 사용했으며, 공격 대상이 MS 워드(Word) 악성코드를 실행할 경우 템플릿 인젝션(Template Injection) 기법을 통해 악의적인 코드가 포함된 MS 워드(Word) 템플릿(Template)을 다운로드 및 실행한다.
SectorC14 그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 포털 사이트(Portal Site)로 위장한 피싱 사이트(Phishing Site) 링크를 포함 한 PDF 파일을 첨부한 메일을 사용했으며, 포털 사이트(Portal Site) 보안 경고 내용으로 공격 대상이 PDF 파일을 실행하도록 유도했다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.
4. SectorD 그룹 활동 특징
2023년 6월에는 총 2개 해킹 그룹의 활동이 발견되었으며,이들은 SectorD01, SectorD15 그룹이다.
SectorD01 그룹의 활동은 이스라엘, 오스트레일리아에서 발견되었다. 해당 그룹은 VPN 취약점에 노출된 서버를 대상으로 웹쉘(WebShell)을 사용하였으며, 최종적으로 머니버드 랜섬웨어(Moneybird Ransomware)를 배포했다.
SectorD15 그룹의 활동은 사우디아라비아, 이스라엘, 영국에서 발견되었다. 해당 그룹은 운송 및 물류 관련 웹 사이트를 대상으로 워터링 홀(Watering hole) 공격을 시도했으며, 웹 페이지에 삽입된 자바스크립트(JavaScript) 형식의 악성코드는 사이트 방문자의 운영체제 언어, IP 주소, 화면 해상도 정보 등을 수집했다.
SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.
5. SectorE 그룹 활동 특징
2023년 6월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE04, SectorE05 그룹이다.
SectorE01 그룹은 영국, 네팔에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 VPN 소프트웨어로 위장한 악성코드를 배포하여 공격 활동을 하였으며, 최종적으로 다운로더(Downloader) 기능의 악성코드를 설치하여 추후 공격을 위한 발판을 마련하였다.
SectorE02 그룹은 미국, 파키스탄에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 채팅 앱, VPN 앱으로 위장한 안드로이드(Android) 악성코드를 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 단말기에서 연락처, 위치 정보 등의 민감한 정보를 탈취하였다.
SectorE04 그룹은 파키스탄, 덴마크에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 급여 인상 목록 문서 및 손상된 시스템(Compromised Systems) 목록으로 위장한 MS 엑셀(Excel) 문서를 배포하여 공격 활동을 하였으며, 최종적으로 악성코드를 설치하여 추후 공격을 위한 발판을 마련하였다.
SectorE05 그룹은 파키스탄에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 개발 프로젝트 평가로 위장한 윈도우 도움말 파일을 배포하여 공격 활동을 하였으며, 최종적으로 악성코드를 설치하여 추후 공격을 위한 발판을 마련하였다.
현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.
6. SectorF 그룹 활동 특징
2023년 6월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorF01 그룹이다.
SectorF01 그룹은 베트남, 체코에서 이들의 해킹 활동에 발견되었다. 해당 그룹은 금융 부문을 대상으로 악성코드를 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 시스템에서 시스템 정보 탈취, 파일 다운로드 및 업로드, 프로세스 인젝션(Process Injection) 등의 악성 행위를 수행하였다.
SectorF 해킹 그룹들은 주로 이들을 지원하는 정부와 인접한 국가들의 정치, 외교 및 군사 활동과 같은 고급 정보를 수집하기 위한 목적과 자국의 경제 발전을 위한 첨단 기술 관련 고급 정보 탈취를 위한 목적을 갖는 것으로 분석된다.
7. SectorH 그룹 활동 특징
2023년 6월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.
SectorH03 그룹은 파키스탄, 인도, 중국, 홍콩에서 이들의 활동이 발견되었다. 해당 그룹은 국방 제품 수출 문서 및 보안 조치 문서로 위장한 문서를 배포하여 공격 활동을 하였으며, 최종적으로 크림슨RAT(CrimsonRAT) 악성코드를 설치하여 정보 탈취 행위를 하였다.
SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.
8. SectorS 그룹 활동 특징
2023년 6월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorS01 그룹이다.
SectorS01 그룹은 캐나다, 콜롬비아, 브라질, 한국, 프랑스, 홍콩, 스페인에서 이들의 활동이 발견되었다. 해당 그룹은 엠바고(Embargo) 요청으로 위장한 어도비(Adobe) PDF 문서를 배포하여 공격 활동을 하였으며, 정보 탈취 행위를 하였다.
현재까지 지속되는 SectorS 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가들에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다.
9. Cyber Crime 그룹 활동 특징
2023년 6월에는 총 7개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ04, SectorJ09, SectorJ20, SectorJ27, SectorJ39, SectorJ110, SectorJ118 그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ04 그룹의 활동은 미국, 영국, 인도, 이탈리아, 캐나다, 아일랜드, 싱가포르에서 발견되었다. 해당 그룹은 MOVEit Transfer 취약점(CVE-2023-35708, CVE-2023-34362)에 노출된 시스템을 대상으로 클롭 랜섬웨어(Cl0p Ransomware)를 배포했다.
SectorJ09 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있다.
SectorJ20 그룹의 활동은 영국에서 발견되었다. 해당 그룹은 여권 사진으로 위장한 윈도우 바로가기(LNK) 파일 형식의 악성코드를 사용했으며, 실행 시 난독화 된 배치(Batch) 스크립트 형식의 명령줄을 통해 추가 악성코드를 다운로드 및 실행한다.
SectorJ27그룹의 활동은 러시아, 중국, 오스트리아, 폴란드, 싱가포르, 몰도바, 독일, 아르헨티나, 불가리아, 터키, 미국, 남아프리카, 이탈리아, 벨라루스, 대만, 말레이시아, 알제리, 캐나다, 그루지야, 우크라이나, 스위스에서 발견되었다. 해당 그룹은 국제 운송 기업을 사칭한 피싱 메일에 MS 워드(Word) 악성코드를 첨부했으며, 최종적으로 원격 제어 기능을 가진 악성코드를 시스템에 설치하여 시스템 정보 수집 및 명령 및 제어를 시도했다.
SectorJ39 그룹의 활동은 러시아, 체코, 미국, 우크라이나, 오스트레일리아에서 발견되었다. 해당 그룹은 검색 결과 최상단에 광고를 게시하는 구글애즈(Google Ads)를 악용하여 피싱 사이트(Phishing Site) 접속을 유도했으며, 최종적으로 시스템 권한 탈취 및 명령 제어를 할 수 있는 악성코드를 사용했다.
SectorJ110 그룹의 활동은 우크라이나, 스페인에서 발견되었다. 해당 그룹은 내부에 청구서로 위장한 자바스크립트(JavaScript) 파일 형식의 악성코드가 존재하는 압축파일을 첨부하여 피싱 메일(Phishing Mail)을 배포했으며, 최종적으로 추가 악성코드를 다운로드 및 실행할 수 있는 기능을 가진 악성코드를 사용했다.
SectorJ74 그룹의 활동은 이탈리아, 아일랜드, 독일, 미국, 핀란드에서 발견되었다. 해당 그룹은 예약 내역으로 위장한 스피어 피싱(Spear Phishing) 이메일을 사용했으며, 템플릿 인젝션(Template Injection) 기법을 사용하는 MS 워드(Word) 악성코드를 첨부하여 공격 대상이 실행하도록 유도했다. 최종적으로 원격 제어 기능을 가진 악성코드를 사용하여 시스템 정보 수집 및 명령 및 제어를 시도했다.
SectorJ110 그룹의 활동은 러시아, 미국, 스페인, 우크라이나에서 발견되었다. 해당 그룹은 내부에 청구서로 위장한 자바스크립트(JavaScript) 파일 형식의 악성코드가 존재하는 압축파일을 첨부하여 피싱 메일(Phishing Mail)을 배포했으며, 최종적으로 추가 악성코드를 다운로드 및 실행할 수 있는 기능을 가진 악성코드를 사용했다.
SectorJ118 그룹의 활동은 미국, 캐나다, 리투아니아에서 발견되었다. 해당 그룹은 불법 콘텐츠(Illegal Content)를 호스팅하는 웹 사이트를 악성코드 배포에 악용했으며, 최종적으로 사용한 크롬 브라우저 확장프로그램(Chrome Browser Extension) 악성코드는 브라우저 검색 정보 같은 민감한 정보를 수집하고, 임의의 광고를 브라우저에 삽입하는 기능을 가지고 있다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.