Monthly Threat Actor Group Intelligence Report, August 2023 (KOR)
2023년 7월 21일에서 2023년 8월 20일까지 NSHC ThreatRecon팀에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.
이번 8월에는 총 22개의 해킹 그룹들의 활동이 확인되었으며, SectorA 그룹이 36%로 가장 많았으며, SectorE, SectorJ 그룹의 활동이 그 뒤를 이었다.
이번 8월에 발견된 해킹 그룹들의 해킹 활동은 정부 기관과 금융 분야에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 동아시아(East Asia)와 유럽(Europe)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.
1. SectorA 그룹 활동 특징
2023년 8월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA05, SectorA07 그룹이다.
SectorA01 그룹의 활동은 러시아, 미국, 한국, 홍콩, 싱가포르에서 발견되었다. 해당 그룹은 미국의 서버 관리 소프트웨어 회사인 점프클라우드(JumpCloud)를 대상으로 공급망 공격을 수행하여 해당 소프트웨어를 이용중인 여러 기업들을 대상으로 사이버 공격을 시도했다. 최종적으로 시스템 정보 수집 및 쉘(Shell) 명령 실행 등 다양한 명령을 수행하는 악성코드를 다운로드 및 실행한다.
SectorA02 그룹의 활동은 중국, 러시아, 한국, 러시아, 미국, 필리핀에서 발견되었다. 해당 그룹은 보험료 계약 현황 주제로 위장한 윈도우 도움말 파일(CHM) 형식의 악성코드를 사용했으며, 최종적으로 파워쉘(PowerShell) 명령을 통해 추가 악성코드를 다운로드 및 실행했다.
SectorA05 그룹의 활동은 한국, 영국, 미국에서 발견되었다. 해당 그룹은 동의서로 위장한 비주얼 베이직 스크립트(Visual Basic Script) 파일 형식의 악성코드를 사용했으며, 최종 실행되는 비주얼 베이직 스크립트 파일 형식의 악성코드는 공격자가 전송하는 데이터를 기반으로 배치(Batch) 파일 형식의 악성코드를 생성 및 실행하는 드로퍼(Dropper)의 역할을 한다.
SectorA07 그룹의 활동은 한국, 홍콩에서 발견되었다. 해당 그룹은 협조 안내문으로 위장한 윈도우 바로가기(LNK) 형식의 악성코드를 사용했으며, 최종적으로 시스템 정보를 수집하는 비주얼 베이직 스크립트(Visual Basic Script)와 배치(Batch) 스크립트 파일을 사용했다.
현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.
2. SectorB 그룹 활동 특징
2023년 8월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB01, SectorB04 그룹이다.
SectorB01 그룹은 홍콩, 태국, 일본, 방글라데시, 대만, 아프가니스탄, 캄보디아, 체코, 부탄, 인도, 말레이시아, 네팔, 팔레스타인, 파키스탄, 필리핀, 미국, 라오스, 베트남에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부 기관 및 항공우주, 미디어, 연구개발(R&D) 등의 다양한 조직을 대상으로 침투 테스트(Penetration Testing) 도구 및 원격 제어 도구를 배포하였으며, 공격 대상 조직의 네트워크에서 해당 도구를 악용하여 장기적인 액세스를 유지하였다.
SectorB04 그룹은 일본, 대만에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 아시아의 도박 부문을 대상으로 침투 테스트(Penetration Testing) 도구인 코발트 스트라이크(Cobalt Strike)를 배포하여 정보 탈취 행위를 수행하였다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
2023년 8월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC04, SectorC08 그룹이다.
SectorC04 그룹의 활동은 미국, 폴란드, 슬로바키아, 루마니아에서 발견되었다. 해당 그룹은 독일 대사관 문서로 위장한 어도비(Adobe) PDF 파일 형식의 악성코드를 사용했으며, 공격대상이 PDF 악성코드를 실행할 경우 파일 내부에 존재하는 HTML 스크립트에 의해 추가 악성코드를 다운로드 받는다. 최종적으로 실행되는 PE 형식의 악성코드는 시스템 정보를 수집하고 C2 서버의 명령에 따라 다양한 명령을 수행한다.
SectorC08 그룹의 활동은 폴란드에서 발견되었다. 해당 그룹은 군 항공 비행 계획 문서로 위장한 악성코드를 사용했으며, 공격 대상이 해당 문서를 실행할 경우 추가 악성코드를 다운로드 및 실행한다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.
4. SectorE 그룹 활동 특징
2023년 8월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE04, SectorE05, SectorE06 그룹이다.
SectorE01 그룹의 활동은 중국, 미크로네시아, 대만에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 국제 과학 측정 및 정보학 학회(International Society for Scientometrics and Informetrics) 컨퍼런스로 위장한 윈도우 바로가기 파일(LNK)을 배포하였으며, 공격 대상 시스템에서 C2 서버로부터 전달받은 명령에 따라 시스템 정보, 화면 캡쳐 등의 정보 탈취 행위를 하였다.
SectorE04 그룹의 활동은 미국, 홍콩에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 직원 상세정보 및 직원 리스트로 위장한 MS 엑셀(Excel) 문서를 배포하였으며, 다운로드(Download) 기능의 매크로를 통해서 악성코드를 다운로드 받도록 하여 추후 공격을 위한 발판을 마련하였다.
SectorE05 그룹의 활동은 중국, 영국, 파키스탄, 이스라엘, 미국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 제8차 중국-동남아시아 싱크탱크(Think-tank) 포럼 및 편지로 위장한 윈도우 도움말 파일(CHM)을 배포하였으며, 공격 대상 시스템에 원격 제어 기능의 악성코드를 설치하여 C2 서버로부터 전달받은 명령에 따라 시스템 정보 탈취, 파일 다운로드, 화면 캡쳐(Screen Capture) 등의 다양한 악성 행위를 수행하였다.
SectorE06 그룹의 활동은 인도, 싱가포르에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 안전한 채팅 앱으로 위장한 안드로이드 악성코드를 배포하였으며, 공격 대상 단말기에서 C2서버로부터 전달받은 명령에 따라 메신저 앱(Messenger app) 모니터링(Monitoring), SMS 메시지, 통화 기록, 연락처 등의 민감한 정보를 탈취하는 악성 행위를 수행하였다.
현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.
5. SectorH 그룹 활동 특징
2023년 8월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.
SectorH03 그룹은 인도에서 이들의 활동이 발견되었다. 해당 그룹은 개인 신상정보로 위장한 MS 엑셀(Excel) 문서를 배포하였으며, 최종적으로 원격 제어 기능의 크림슨RAT(CrimsonRAT)으로 알려진 악성코드를 통해서 공격 대상 시스템에서 C2 서버로부터 전달받은 명령에 따라 시스템 정보 탈취, 키로깅(Keylogging), 화면 캡쳐(Screen Capture) 등의 악성 행위를 수행하였다.
SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.
6. SectorT 그룹 활동 특징
2023년 8월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorT02 그룹이다.
SectorT02 그룹은 외교관을 대상으로 안티 바이러스 업데이트 파일로 위장한 악성코드를 사용했으며, 최종적으로 DOC, XLS, PDF 등 다양한 문서 파일들을 수집하고 SMTP 프로토콜을 사용하여 데이터를 추출하는 악성코드를 사용했다.
현재까지 지속되는 SectorT 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가들에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다.
7. Cyber Crime 그룹 활동 특징
2023년 8월에는 총 8개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ04, SectorJ06, SectorJ12, SectorJ45, SectorJ73, SectorJ74, SectorJ110, SectorJ123 그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ04 그룹의 활동은 영국, 파키스탄, 프랑스, 인도에서 발견되었다. 해당 그룹은 무브잇 트랜스퍼(MOVEit Transfer) 취약점(CVE-2023-34362)에 노출된 시스템을 대상으로 데이터를 탈취하거나, 랜섬웨어(Cl0p Ransomware) 배포를 시도했다.
SectorJ06 그룹의 활동은 이스라엘, 한국, 벨기에, 독일, 카타르에서 발견되었다. 해당 그룹은 정부 및 법률 서비스 기관을 대상으로 랜섬웨어(Monit Ransomware)를 사용했다.
SectorJ12 그룹의 활동은 이탈리아, 영국, 독일에서 발견되었다. 해당 그룹은 이탈리아 물류, 택배 기업으로 위장해서 스팸(Spam) 메일을 배포하였으며, 최종적으로 원격 제어 형태의 악성코드를 공격 대상 시스템에 배포하여, 시스템 제어권 획득를 시도했다.
SectorJ45 그룹의 활동은 미국에서 발견되었다. 해당 그룹은 마이크로소프트(Microsoft)에서 더 이상 지원하지 않는 웹 브라우저를 사용하는 사람들을 대상으로 익스플로잇 킷(Exploit Kit)을 사용했으며, 최종적으로 암호화폐(Cryptocurrency) 채굴(Mining) 악성코드를 사용했다.
SectorJ73 그룹의 활동은 일본, 스웨덴, 프랑스, 아랍 에미리트, 폴란드, 인도, 가나, 체코, 이탈리아, 나이지리아, 인도네시아, 튀르키예, 독일, 미국에서 발견되었다. 해당 그룹은 금전적인 이윤을 위해 교육, 제조 분야 산업군을 대상으로 랜섬웨어(Rhysida Ransomware)를 사용했다.
SectorJ74 그룹의 활동은 브라질, 산 마리노, 홍콩, 스위스, 프랑스, 이탈리아, 스페인, 페루, 아르헨티나, 독일, 미국, 오스트리아, 인도, 영국에서 발견되었다. 해당 그룹은 세금 관련 문서로 위장한 윈도우 제어판 파일(CPL) 형식의 악성코드가 포함된 압축 파일을 피싱 메일(Phishing Mail)에 첨부하여 배포했으며, 파워쉘(PowerShell) 스크립트를 통해 최종적으로 원격 제어 기능을 가진 악성코드를 시스템에 설치하여 시스템 정보 수집 및 명령 및 제어를 시도했다.
SectorJ110 그룹의 활동은 슬로바키아, 우크라이나에서 발견되었다. 해당 그룹은 내부에 청구서로 위장한 자바스크립트(JavaScript) 파일 형식의 악성코드가 존재하는 압축파일을 첨부하여 피싱 메일(Phishing Mail)을 배포했으며, 최종적으로 추가 악성코드를 다운로드 및 실행할 수 있는 기능을 가진 악성코드를 사용했다.
SectorJ123 그룹의 활동은 브라질, 스페인에서 발견되었다. 해당 그룹은 은행을 사칭한 피싱 사이트(Phishing Site)를 사용했으며, 공격 대상이 금융 정보를 입력하도록 유도하거나 직접 돈을 이체하도록 유도했다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.