Monthly Threat Actor Group Intelligence Report, July 2023 (KOR)
2023년 6월 21일에서 2023년 7월 20일까지 NSHC ThreatRecon팀에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.
이번 7월에는 총 25개의 해킹 그룹들의 활동이 확인되었으며, SectorA 그룹이 38%로 가장 많았으며, SectorC, SectorJ 그룹의 활동이 그 뒤를 이었다.
이번 7월에 발견된 해킹 그룹들의 해킹 활동은 정부기관과 국방 분야에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 유럽(Europe)과 동아시아(East Asia)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.
1. SectorA 그룹 활동 특징
2023년 7월에는 총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA05, SectorA06, SectorA07 그룹이다.
SectorA01 그룹의 활동은 체코, 중국, 독일, 한국에서 발견되었다. 해당 그룹은 원격제어 도구인 VNC 프로그램으로 위장한 악성코드를 사용했으며, 최종적으로 추가 악성코드를 다운로드 및 실행할 수 있는 다운로더(Downloader) 기능의 악성코드를 사용했다.
SectorA02 그룹의 활동은 인도, 오스트레일리아, 독일, 한국, 싱가포르에서 발견되었다. 해당 그룹은 보험료 이체 안내와 관련된 주제로 위장한 CHM(Compiled HTML Help) 파일 형식의 악성코드를 사용했으며, 최종적으로 파워쉘(PowerShell) 명령을 통해 추가 악성코드를 다운로드 및 실행했다.
SectorA05 그룹의 활동은 한국, 미국, 오스트레일리아, 중국에서 발견되었다. 해당 그룹은 협의 이혼 의사 확인 신청서 주제로 위장한 MS 워드(Word) 파일 형식의 악성코드를 사용했으며, 공격 대상이 해당 워드 파일을 실행할 경우 VBS(Visual Basic Script) 파일 형식의 악성코드를 다운로드 및 실행했다.
SectorA06 그룹의 활동은 한국, 일본, 오스트레일리아, 에스토니아, 미국, 불가리아, 싱가포르, 베트남, 인도에서 발견되었다. 해당 그룹은 일본의 암호화폐 거래소를 대상으로 Mach-O 파일 형식의 악성코드를 사용했으며, 최종적으로 시스템 정보를 수집 및 전송하며, 명령에 따라 파이썬(Python) 스크립트 실행, 쉘(Shell) 명령 실행 등 다양한 기능을 수행하는 악성코드를 사용했다.
SectorA07 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 납세자 명세서로 위장한 윈도우 바로가기(LNK) 형식의 악성코드를 ZIP 파일 형식으로 압축 후 배포했으며, 최종적으로 시스템 정보를 수집하는 비주얼 베이직 스크립트(Visual Basic Script)와 배치(Batch) 스크립트 파일을 사용했다.
현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.
2. SectorB 그룹 활동 특징
2023년 7월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB22 그룹이다.
SectorB22 그룹은 미얀마, 한국, 영국, 인도, 러시아, 홍콩, 프랑스, 체코, 슬로바키아, 헝가리, 스웨덴, 우크라이나, 칠레, 네덜란드, 오스트레일리아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 유럽의 의료 기관을 대상으로 다양한 보안 솔루션 구성요소(Components)를 악용하는 악성코드를 배포하였으며, 피해자 시스템에서 C2서버로부터 전달받은 명령에 따라 파일 삭제, 파일 생성, 프로세스 생성, 명령 실행 등의 악성 행위를 하였다.
이외에도 해당 그룹은 유럽의 정부 기관 및 외교부를 대상으로 플러그X(PlugX)로 알려진 원격 제어 기능의 악성코드를 배포하였으며, 피해자 시스템에서 C2서버로부터 전달받은 명령에 따라 파일 수집, 키로깅(Keylogging), 화면 캡쳐(Screen Capture) 등의 악성 행위를 수행하였다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
2023년 7월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC02, SectorC04, SectorC08 그룹이다.
SectorC01 그룹의 활동은 알바니아, 우크라이나에서 발견되었다. 해당 그룹은 우크라이나 메일 시스템, 포털사이트 등으로 위장한 피싱(Phishing) 웹 페이지로 공격 대상의 접근을 유도했으며, 공격 대상이 로그인을 하기 위해 계정 정보를 입력할 경우 인증 데이터를 유출했다.
SectorC02 그룹의 활동은 우크라이나, 불가리아에서 발견되었다. 해당 그룹은 공격 대상 시스템에 저장되어 있는 다양한 정보를 수집하고, 클라우드 스토리지 관리에 사용되는 rclone 도구를 사용하여 데이터 유출을 시도했다.
SectorC04 그룹의 활동은 우크라이나, 우즈베키스탄, 투르크메니스탄, 수단, 키르기스스탄, 스페인, 슬로바키아, 노르웨이, 네덜란드, 리비아, 라트비아, 쿠웨이트, 아일랜드, 이라크, 그리스, 에스토니아, 덴마크, 키프로스, 캐나다, 아르헨티나, 알바니아, 슬로베니아, 미국, 튀르키예, 일본, 중국, 독일, 영국에서 발견되었다. 해당 그룹은 노르웨이 대사관의 공식 초청장으로 위장한 피싱(Phishing) 메일을 사용했으며, SVG(Scalable Vector Graphics) 파일 형식의 악성코드를 통해 최종적으로 추가 악성코드를 다운로드 및 실행할 수 있는 다운로더(Downloader) 기능의 악성코드를 사용했다.
SectorC08 그룹의 활동은 우크라이나, 영국, 러시아에서 발견되었다. 해당 그룹은 예비군 관련 문서로 위장한 악성코드를 사용했으며, 최종적으로 원격 제어 도구인 울트라 VNC(UltraVNC)를 사용하여 정보탈취를 시도했다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.
4. SectorD 그룹 활동 특징
2023년 7월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD02 그룹이다.
SectorD02 그룹의 활동은 이스라엘에서 발견되었다. 해당 그룹은 인코딩(Encoding)된 데이터를 디코딩(Decoding)하는 파워쉘(PowerShell) 스크립트를 사용했으며, 최종적으로 명령에 따라 추가 악성코드를 다운로드 및 실행하거나, 다른 파워쉘(PowerShell) 명령을 수행하는 등 다양한 기능을 수행하는 VBS(Visual Basic Script) 파일 형식의 악성코드를 사용했다.
SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.
5. SectorE 그룹 활동 특징
2023년 7월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE03, SectorE05 그룹이다.
SectorE01 그룹의 활동은 이탈리아, 싱가포르, 프랑스, 미국, 아일랜드, 파키스탄, 네팔, 한국, 인도, 영국, 네덜란드, 중국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 VPN 소프트웨어로 위장한 악성코드를 배포하였으며, 피해자 시스템에서 C2서버로부터 전달받은 명령에 따라 시스템 정보, 안티 바이러스(Anti-Virus) 제품 정보 등을 탈취하는 악성 행위를 수행하였다. 이외에도 해당 그룹은 남아시아의 군사적, 정치적 목표를 대상으로 다양한 원격 제어 기능의 악성코드를 배포하였으며, 피해자 시스템에서 C2서버로부터 전달받은 명령에 따라 파일 다운로드, 명령 실행, 화면 캡쳐(Screen Capture) 등의 악성 행위를 수행하였다.
SectorE02 그룹의 활동은 미국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 수정 및 세부정보 요청으로 위장한 MS 워드(Word) 문서를 배포하였으며, 다운로더(Downloader) 기능의 악성코드를 생성 및 실행하여 추후 공격을 위한 발판을 마련하였다.
SectorE03 그룹의 활동은 미국, 이스라엘, 자메이카, 캐나다, 타지키스탄에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 국제 원자력 기구 (International Atomic Energy Agency) 및 원자력기구 (Nuclear Energy Agency)에서 작성한 보고서(Red Book)으로 위장한 윈도우 바로가기(LNK) 파일을 배포하였으며, 리버스 쉘(Reverse Shell) 기능의 악성코드를 통해서 피해자 시스템에서 C2서버로부터 전달받은 명령을 실행하였다.
SectorE05 그룹의 활동은 인도, 중국, 미국, 오스트레일리아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 초국가적 안보협력 워크숍(Transnational Security Cooperation Workshop) 추천으로 위장한 MS 엑셀(Excel) 문서 및 윈도우 도움말(CHM) 파일이 포함된 압축 파일(RAR)을 배포하였으며, 외부 서버로부터 추가 악성코드를 다운로드 받아 설치하도록 하여 추후 공격을 위한 발판을 마련하였다.
현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.
6. SectorH 그룹 활동 특징
2023년 7월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.
SectorH03 그룹은 파키스탄, 독일, 미국, 오스트레일리아, 인도, 영국에서 이들의 활동이 발견되었다. 해당 그룹은 정부 기관 및 외교부를 대상으로 프레젠테이션으로 위장한 윈도우 바로가기 파일을 포함한 압축 파일(ZIP)을 배포하였으며, 피해자 시스템에서 C2서버로부터 전달받은 명령에 따라 시스템 정보(OS 버전, 시스템 사용자명), 안티 바이러스(Anti-virus) 제품 정보 등의 시스템 정보를 탈취하는 행위를 수행하였다.
이외에도 해당 그룹은 학교 과제로 위장한 MS 워드(Word) 문서를 배포하였으며, 원격 제어 기능의 크림슨(Crimson)으로 알려진 악성코드를 통해서 피해자 시스템에서 C2 서버로부터 전달받은 명령에 따라 시스템 정보 탈취, 키로깅(Keylogging), 화면 캡쳐(Screen Capture) 등의 악성 행위를 수행하였다.
SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.
7. SectorS 그룹 활동 특징
2023년 7월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorS01 그룹이다.
SectorS01 그룹은 이탈리아, 한국, 에콰도르, 콜롬비아, 멕시코, 미국, 독일에서 이들의 활동이 발견되었다. 해당 그룹은 이탈리아의 정밀 가공 제조 회사를 대상으로 구매 주문으로 위장한 MS 워드(Word) 문서를 포함한 스피어 피싱(Spear Phishing) 메일을 배포하였으며, 피해자 시스템에서 외부 서버로부터 다운로더(Downloader) 기능의 악성코드를 다운로드 받아 설치하도록 하여 추후 공격을 위한 발판을 마련하였다.
이외에도 해당 그룹은 결제 반품으로 위장한 압축 파일(RAR)을 포함한 스피어 피싱(Spear Phishing) 메일을 배포하였으며, 피해자 시스템에서 외부 서버로부터 다운로더(Downloader) 기능의 악성코드를 다운로드 받아 설치하도록 하여 추후 공격을 위한 발판을 마련하였다.
현재까지 지속되는 SectorS 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가들에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다.
8. SectorT 그룹 활동 특징
2023년 7월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorT01 그룹이다.
SectorT01 그룹의 활동은 한국, 우크라이나, 캐나다, 폴란드, 홍콩에서 발견되었다. 해당 그룹은 세금 신고서로 위장한 MS 엑셀(Excel) 파일 형식의 악성코드를 사용했으며, 최종적으로 오픈 소스 원격 관리 도구인 엔제이랫(njRAT)를 사용하여 공격 대상 시스템의 정보를 수집하고 시스템의 원격제어를 시도했다.
현재까지 지속되는 SectorT 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가들에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다.
9. Cyber Crime 그룹 활동 특징
2023년 7월에는 총 7개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ05, SectorJ06, SectorJ39, SectorJ45, SectorJ110, SectorJ113, SectorJ119 그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ05 그룹의 활동은 미국, 캐나다, 칠레, 독일, 멕시코, 터키, 싱가포르에서 발견되었다. 해당 그룹 온프레미스(On-Premise) 및 클라우드(Cloud) 기반 소프트웨어인 Netwrix Auditor의 원격 코드 실행 취약점(CVE-2022-31199)을 악용하여 초기 액세스(Initial Access) 권한을 얻고 네트워크 측면이동(Lateral Movement)을 시도했으며, 최종적으로 금전적 이익을 위해 데이터를 유출하는 악성코드를 사용했다.
SectorJ06 그룹의 활동은 루마니아, 그루지야, 이스라엘, 인도, 독일, 홍콩, 미국, 이탈리아, 캐나다, 이집트, 한국, 카타르, 폴란드, 스페인, 싱가포르, 프랑스, 중국, 콜롬비아, 덴마크, 리투아니아, 영국, 오스트리아, 일본, 슬로바키아에서 발견되었다. 해당 그룹은 마이크로소프트 프린트나이트메어(PrintNightmare) 취약점(CVE-2021-34527), 마이크로소프트 MSDT 폴리나(Follina) 취약점(CVE-2022-30190)에 노출된 시스템을 대상으로 랜섬웨어(Ransomware) 배포를 시도했다.
SectorJ39 그룹의 활동은 미국, 우크라이나, 크로아티아에서 발견되었다. 해당 그룹은 제로 데이(Zero-Day) 취약점(CVE-2023-36884)을 악용했으며, 우크라이나의 NATO(North Atlantic Treaty Organization) 가입 관련 문서로 위장한 MS 워드(Word) 파일 형식의 악성코드를 사용했다. 최종적으로 원격 제어 악성코드를 사용하여 공격 대상 시스템의 정보를 수집하고 시스템의 원격제어 및 데이터 유출을 시도했다.
SectorJ45 그룹의 활동은 일본, 한국, 중국, 미국, 영국에서 발견되었다. 해당 그룹은 취약한 마이크로소프트 SQL 서버 시스템을 대상으로 임의의 파워쉘(PowerShell) 명령을 통한 악성코드 배포를 하는 것으로 알려져 있으며, 최종적으로 감염된 시스템의 정보를 수집하고 암호화폐(Cryptocurrency)를 채굴했다.
SectorJ110 그룹의 활동은 우크라이나, 콜롬비아, 헝가리에서 발견되었다. 해당 그룹은 내부에 청구서로 위장한 VBS(Visual Basic Script) 파일 형식의 악성코드가 존재하는 압축파일을 첨부하여 피싱 메일(Phishing Mail)을 배포했으며, 최종적으로 추가 악성코드를 다운로드 및 실행할 수 있는 기능을 가진 악성코드를 사용했다.
SectorJ113 그룹은 금전적인 이윤을 확보하기 위해 블랙스토어 랜섬웨어(BlackStore Ransomware)를 사용했다.
SectorJ119 그룹의 활동은 인도네시아, 체코, 카자흐스탄, 스페인, 방글라데시, 그리스, 우크라이나, 이스라엘, 독일, 사우디 아라비아, 영국, 콜롬비아, 러시아, 네덜란드, 리투아니아, 튀르키예, 미국, 인도에서 발견되었다. 해당 그룹은 금전적인 이윤을 확보하기 위해 빅 헤드 랜섬웨어(Big Head Ransomware)를 사용했다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.