Monthly Threat Actor Group Intelligence Report, October 2023 (KOR)
2023년 9월 21일에서 2023년 10월 20일까지 NSHC ThreatRecon팀에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.
이번 10월에는 총 35개의 해킹 그룹들의 활동이 확인되었으며, SectorJ 그룹이 33%로 가장 많았으며, SectorA와 SectorB 그룹의 활동이 그 뒤를 이었다.
이번 10월에 발견된 해킹 그룹들의 해킹 활동은 정부 기관과 금융 분야에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 유럽(Europe) 과 동아시아(East Asia)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.
1. SectorA 그룹 활동 특징
2023년 10월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA05, SectorA07그룹이다.
SectorA01 그룹의 활동은 싱가포르, 인도, 폴란드, 영국에서 발견되었다. 해당 그룹은 채용 담당자를 사칭하여 소셜 플랫폼(Social Platform)을 통해 공격 대상들에게 채용 제안 관련 PDF 파일로 위장한 악성코드를 전달하고 실행하도록 유도했으며, 최종적으로 실행되는 악성코드는 정보 수집 및 공격자 서버 명령에 따라 다양한 기능을 수행한다.
SectorA02 그룹은 북한 최고인민회의 결과 관련 문서로 위장한 윈도우 바로가기(LNK) 형식의 악성코드를 사용했으며, 최종적으로 파워쉘(PowerShell) 명령을 통해 추가 악성코드를 다운로드하여 메모리 영역에서 실행시킨다.
SectorA05 그룹의 활동은 한국, 이스라엘, 아일랜드에서 발견되었다. 해당 그룹은 한국의 포털 사이트 로그인 페이지를 사칭한 피싱(Phishing) 웹 페이지를 사용하여 계정 정보 수집을 시도했다.
SectorA07 그룹의 활동은 한국, 미국에서 발견되었다. 해당 그룹은 급여 내역서 주제로 위장한 윈도우 도움말(CHM, Compiled HTML Help) 파일 형식의 악성코드를 사용했으며, 최종적으로 파워쉘(PowerShell) 명령을 통해 추가 악성코드를 다운로드 및 실행한다.
현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.
2. SectorB 그룹 활동 특징
2023년 10월에는 총 7개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB01, SectorB08, SectorB21, SectorB22, SectorB80, SectorB82, SectorB83 그룹이다.
SectorB01 그룹의 활동은 홍콩, 대만, 싱가포르, 미국에서 발견되었다. 해당 그룹은 동아시아 지역의 반도체 산업을 대상으로 코발트 스트라이크(Cobalt Strike)를 실행하는 로더(Loader) 기능의 악성코드를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 C2 서버로부터 전달받은 명령에 따라 키로깅(Keylogging), 화면 캡쳐(Screen Capture), 시스템 정보 탈취 등의 다양한 명령을 수행하였다.
SectorB08 그룹은 스피어 피싱 이메일(Spear-Phishing Email)을 통해 추가 악성코드를 실행하는 로더(Loader) 기능의 악성코드를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 C2 서버로부터 전달받은 명령에 따라 키로깅(Keylogging), 화면 캡쳐(Screen Capture), 시스템 정보 탈취 등의 다양한 명령을 수행하였다.
SectorB21 그룹의 활동은 인도, 태국, 홍콩, 대만, 카자흐스탄, 영국, 중국에서 발견되었다. 해당 그룹은 안드로이드(Android) 및 애플(Apple) iOS 기기를 대상으로 다양한 악성코드 앱을 배포하여 공격 활동을 하였으며, 공격 대상 단말기에서 C2 서버의 명령에 따라 기기 정보, SMS 메시지, 통화 기록, 연락처 정보 등의 민감한 정보를 탈취하는 다양한 명령을 수행하였다.
SectorB22 그룹의 활동은 미국, 태국, 일본에서 발견되었다. 해당 그룹은 동남아시아 정부를 대상으로 다양한 오픈소스(Open Source) 도구를 악용하여 공격 활동을 하였으며, 민감한 문서 및 정보를 탈취하여 파일 호스팅 서비스인 드롭박스(Dropbox)에 업로드하였다.
SectorB80 그룹의 활동은 미국, 네덜란드, 몽골에서 발견되었다. 해당 그룹은 동남아시아국가연합(ASEAN) 회원국의 외교부를 대상으로 다양한 백도어(Backdoor) 악성코드를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 C2 서버의 명령에 따라 다양한 시스템 정보를 수집하고, 원격으로 악성코드를 다운로드 받아 추가 기능을 로드(Load) 하는 등의 행위를 하였다.
SectorB82 그룹의 활동은 사이프러스, 체코, 대만, 홍콩, 미국, 폴란드, 중국에서 발견되었다. 해당 그룹은 대만의 제조, IT 및 생물 의학(Biomedical) 분야의 여러 조직을 대상으로 정보 수집을 목적으로 공격 활동을 하였다.
SectorB83 그룹은 아틀라시안 컨플루언스(Atlassian Confluence)의 컨플루언스 데이터 센터(Confluence Data Center) 및 서버 인스턴스(Server instance)의 미공개 취약점(CVE-2023-22515)을 악용한 공격 활동을 하였다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
2023년 10월에는 총 3개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC04, SectorC08 그룹이다.
SectorC01 그룹의 활동은 포르투갈, 루마니아, 이스라엘, 체코에서 발견되었다. 해당 그룹은 간행물 파일로 위장한 악성코드를 사용했으며, 압축 소프트웨어인 WinRAR의 취약점(CVE-2023-38831)을 악용했다. 최종적으로 브라우저 데이터 탈취 및 원격 제어 기능을 가지고 있는 파워쉘(PowerShell) 스크립트를 사용했다.
SectorC04 그룹의 활동은 미국, 슬로바키아, 폴란드, 인도, 페루, 스위스, 체코에서 발견되었다. 해당 그룹은 외교관 대상 차량 판매 공지 PDF 문서로 위장한 악성코드를 사용했으며, 압축 소프트웨어인 WinRAR의 취약점(CVE-2023-38831)을 악용하여, 최종적으로 파워쉘(PowerShell) 파일 형식의 악성코드를 다운로드 및 실행했다.
SectorC08 그룹의 활동은 우크라이나, 중국에서 발견되었다. 해당 그룹은 군부대 관련 문서로 위장한 악성코드를 사용했으며, 최종적으로 원격 제어 도구인 울트라 VNC(UltraVNC)를 사용하여 정보 탈취를 시도했다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.
4. SectorD 그룹 활동 특징
2023년 10월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD01, SectorD02 그룹이다.
SectorD01 그룹의 활동은 러시아, 네덜란드, 미국, 이스라엘에서 발견되었다. 해당 그룹은 차량 면허 신청서로 위장한 MS 워드(Word) 악성코드를 사용했으며, 최종적으로 실행되는 악성코드는 사용자 이름, 컴퓨터 이름 및 로컬 도메인 이름을 수집하며 공격자 서버 명령에 따라 다양한 기능을 수행한다.
SectorD02 그룹의 활동은 이스라엘, 오스트레일리아에서 발견되었다. 해당 그룹은 인사팀 관련 문서로 위장한 윈도우 도움말(CHM, Compiled HTML Help) 파일 형식의 악성코드를 사용했으며, 파워쉘(PowerShell) 명령을 통해 VBS(Visual Basic Script) 파일 형식의 악성코드를 다운로드 및 실행한다.
SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.
5. SectorE 그룹 활동 특징
2023년 10월에는 총 3개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE02, SectorE04, SectorE05 그룹이다.
SectorE02 그룹의 활동은 파키스탄에서 발견되었다. 해당 그룹은 보호된 문서로 위장한 MS 워드(Word) 문서를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 외부 서버에서 추가 악성코드를 다운로드 받은 다음 실행하도록 하여 추후 공격을 위한 발판을 마련하였다.
SectorE04 그룹의 활동은 홍콩에서 발견되었다. 해당 그룹은 강의 문서 업데이트로 위장한 MS 워드(Word)를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 C2 서버의 명령에 따라 다양한 명령을 수행하였다.
SectorE05 그룹의 활동은 싱가포르, 몽골에서 발견되었다. 해당 그룹은 정부 및 기관을 대상으로 스피어 피싱 이메일(Spear-Phishing Email)을 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 외부 서버에서 추가 악성코드를 다운로드 받은 다음 실행하도록 하여 추후 공격을 위한 발판을 마련하였다.
현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.
6. SectorH 그룹 활동 특징
2023년 10월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.
SectorH03 그룹의 활동은 파키스탄, 미국에서 발견되었다. 해당 그룹은 보호된 문서로 위장한 MS 파워포인트(PowerPoint) 문서 및 과제로 위장한 MS 워드(Word) 문서를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 C2 서버로부터 전달받은 명령에 따라 시스템 정보 탈취, 키로깅(Keylogging), 화면 캡쳐(Screen Capture) 등의 다양한 명령을 수행하였다.
SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.
9. Cyber Crime 그룹 활동 특징
2023년 10월에는 총 15개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ03, SectorJ06, SectorJ09, SectorJ12, SectorJ39, SectorJ55, SectorJ64, SectorJ68, SectorJ90, SectorJ94, SectorJ110, SectorJ125, SectorJ127, SectorJ128, SectorJ130 그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ03 그룹의 활동은 팔레스타인, 미국에서 발견되었다. 해당 그룹은 윈도우 미디어 프로비저닝 플러그인(Windows Media provisioning plugin)으로 위장한 악성코드를 사용했으며, 최종적으로 실행되는 악성코드는 추가 악성코드를 다운로드 및 실행시키거나, 키로깅(Keylogging), 화면 캡처(Screen Capture) 등 공격자 서버 명령에 따라 다양한 기능을 수행한다.
SectorJ06 그룹의 활동은 러시아, 미국, 홍콩에서 발견되었다. 해당 그룹은 의료 관련 산업군을 대상으로 RaaS (Ransomware-as-a-Service)를 사용하여 공격을 시도했다.
SectorJ09 그룹은 식품 및 소매 산업군을 포함한 광범위한 웹사이트들을 대상으로 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 신용카드 지불 정보를 포함한 다양한 정보 수집을 시도했다.
SectorJ12 그룹이 과거 사용한 도메인과 IP 주소를 기반으로 추가 분석을 통해 avast 문자열로 시작하는 도메인과 debian 문자열이 포함된 도메인들이 추가로 확보되었다.
SectorJ39 그룹의 활동은 아제르바이잔에서 발견되었다. 해당 그룹은 아제르바이잔-아르메니아 분쟁 관련 PDF 문서로 위장한 HTML 파일 형식의 악성코드를 사용했으며, 최종적으로 실행되는 악성코드는 시스템 정보들을 수집하여 전송한다.
SectorJ55 그룹의 활동은 미국, 한국, 중국, 캐나다, 이란에서 발견되었다. 해당 그룹은 외부 인터넷에서 접근 가능한 도커(Docker)와 레디스(Redis) 서버를 대상으로 가상 화폐 채굴을 위한 크립토마이너(Cryptominer) 악성코드를 사용했다.
SectorJ64 그룹의 활동은 중국, 멕시코, 한국, 페루에서 발견되었다. 해당 그룹은 미흡한 보안 설정으로 외부 인터넷에서 인증 없이 접근 가능한 레디스(Redis) 서버를 대상으로 무단 접근을 시도하고 웹쉘(WebShell)을 사용했다.
SectorJ68 그룹의 활동은 프랑스에서 발견되었다. 해당 그룹은 클라우드 기반 인터넷 메신저인 텔레그램(Telegram)의 봇(Bot)을 C2 서버로 사용하는 악성코드를 사용했으며, 해당 악성코드는 시스템의 정보를 수집하여 탈취하는 기능을 가지고 있다.
SectorJ90 그룹의 활동은 미국, 독일, 룩셈부르크, 인도, 우크라이나에서 발견되었다. 해당 그룹은 타타르스탄 공화국의 날 관련 이미지 파일로 위장한 PE(Portable Executable) 형식의 악성코드를 사용했으며, 시스템 정보를 수집하여 추가 공격이 필요하다고 판단될 경우 원격 제어 기능을 가진 추가 악성코드를 배포했다.
SectorJ94 그룹의 활동은 오스트레일리아에서 발견되었다. 해당 그룹은 제조기술 관련 PDF 문서로 위장한 윈도우 바로가기(LNK) 형식의 악성코드를 사용했다.
SectorJ110 그룹의 활동은 우크라이나, 홍콩, 독일, 영국에서 발견되었다. 해당 그룹은 청구서로 위장한 자바스크립트(JavaScript) 파일 형식의 악성코드가 존재하는 압축파일을 첨부하여 피싱 메일(Phishing Mail)을 배포했으며, 최종적으로 추가 악성코드를 다운로드 및 실행할 수 있는 기능을 가진 악성코드를 사용했다.
SectorJ125 그룹의 활동은 미국에서 발견되었다. 해당 그룹은 마이크로소프트 팀즈(Microsoft Teams)를 통해 WSF(Windows Script File) 파일 형식의 악성코드를 포함한 피싱 메시지(Phishing Message)를 전송했으며, 최종적으로 명령 제어 기능을 가진 악성코드를 사용하여 공격 대상의 시스템 권한을 탈취한다.
SectorJ127 그룹의 활동은 중국에서 발견되었다. 해당 그룹은 적십자 헌혈홍보 문서로 위장한 MS 워드(Word) 악성코드를 사용했으며, 공격 대상이 해당 MS 워드(Word) 악성코드를 실행할 경우 내부에 난독화 된 매크로가 실행된다. 최종적으로 실행되는 악성코드는 다양한 시스템 정보를 수집하며 공격자 서버 명령에 따라 다양한 기능을 수행한다.
SectorJ128 그룹의 활동은 중국, 프랑스에서 발견되었다. 해당 그룹은 문서 내부에 압축 파일 다운로드 링크가 포함된 이력서로 위장한 PDF 문서를 사용했으며, 압축 파일 내부에 존재하는 윈도우 바로가기(LNK) 형식의 악성코드를 통해 DLL 파일 형식의 악성코드를 실행시킨다.
SectorJ130 그룹의 활동은 미국, 영국, 터키, 우크라이나, 이스라엘, 말레이시아, 러시아, 폴란드, 키프로스, 필리핀, 이탈리아, 인도에서 발견되었다. 해당 그룹은 스카이프(Skype), 마이크로소프트 팀즈(Microsoft Teams) 등 인스턴트 메신저(instant messenger)를 사용하여 악성코드를 배포했으며, VBS(Visual Basic Script) 파일 형식의 악성코드와 윈도우 바로가기(LNK) 형식의 악성코드를 배포했다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.