Monthly Threat Actor Group Intelligence Report, December 2023 (KOR)
2023년 11월 21일에서 2023년 12월 20일까지 NSHC ThreatRecon팀에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.
이번 12월에는 총 36개의 해킹 그룹들의 활동이 확인되었으며, SectorA 그룹이 29%로 가장 많았으며, SectorJ, SectorC 그룹의 활동이 그 뒤를 이었다.
이번 12월에 발견된 해킹 그룹들의 해킹 활동은 정부 기관과 금융 분야에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 동아시아(East Asia)와 유럽(Europe)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.
1. SectorA 그룹 활동 특징
2023년 12월에는 총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA05, SectorA06, SectorA07그룹이다.
SectorA01 그룹의 활동은 영국, 스웨덴, 벨라루스, 브라질, 일본, 대만, 캐나다, 미국, 싱가포르, 네덜란드, 콜롬비아, 파키스탄, 루마니아, 이탈리아, 스페인, 불가리아, 모로코, 튀르키예, 필리핀, 우크라이나, 베트남, 키프로스, 칠레, 한국에서 발견되었다. 해당 그룹은 채용 담당자로 위장하여 구직 활동중인 소프트웨어 개발자들을 대상으로 인터뷰 프로세스를 진행하도록 유인했으며, 가상의 면접을 통해 정상 프로그램으로 위장한 악성코드를 설치하도록 유도했다.
SectorA02 그룹의 활동은 홍콩, 이탈리아, 우즈베키스탄, 일본, 한국에서 발견되었다. 해당 그룹은 미신고 자금의 출처에 대한 소명자료 제출을 요청하는 문서로 위장한 윈도우 바로가기(LNK) 형식의 악성코드를 사용했으며, 최종적으로 시스템 정보를 수집하는 비주얼 베이직 스크립트(Visual Basic Script)와 배치(Batch) 스크립트 파일을 사용했다.
SectorA05 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 한국 연구기관들을 대상으로 시험 및 연구용 생물체 수입 신고서 문서로 위장한 악성 자바스크립트(JavaScript)를 사용했으며, 최종 DLL 형식의 악성코드는 시스템 정보를 수집하여 전송하고, C2 서버에서 전달받은 명령을 수행한다.
SectorA06 그룹의 활동은 룩셈부르크, 베트남, 중국, 스웨덴, 미국에서 발견되었다. 해당 그룹은 맥OS(macOS) 사용자들을 대상으로 암호화폐 거래에 사용되는 도구로 위장한 악성 파이썬(Python) 스크립트를 사용했으며, VoIP(Voice over Internet Protocol) 응용 소프트웨어인 디스코드(Discord)의 공개 채널을 통해 배포했다.
SectorA07 그룹의 활동은 미국, 한국, 태국, 홍콩에서 발견되었다 해당 그룹은 이메일 계정 보안점검 안내문으로 위장한 윈도우 바로가기(LNK) 형식의 악성코드를 사용했으며, 공격 대상이 악성코드를 실행할 경우 최종적으로 난독화(Obfuscated)된 비주얼 베이직 스크립트(Visual Basic Script)를 통해 공격 대상의 시스템 정보를 C2 서버로 전송했다.
현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.
2. SectorB 그룹 활동 특징
2023년 12월에는 총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB01, SectorB22, SectorB72, SectorB73, SectorB85 그룹이다.
SectorB01 그룹의 활동은 홍콩, 미국에서 발견되었다. 해당 그룹은 정부 기관 시스템을 대상으로 어도비 콜드 퓨전(Adobe ColdFusion)의 임의 코드 실행 취약점(CVE-2023-26360)을 악용하여 초기 침투(Initial Access)를 시도한 다음 악성코드를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에 배포한 악성코드를 통해서 실행중인 프로세스 정보, 네트워크 연결 상태, 로컬(Local) 및 도메인(Domain) 관리자 계정 정보, 네트워크 구성, 사용자 정보 등을 탈취하여 추후 공격을 위한 정보를 수집하였다.
SectorB22 그룹의 활동은 대만에서 발견되었다. 해당 그룹은 대만 정부 및 외교관을 대상으로 악성 윈도우 인스톨러(MSI, Microsoft Silent Installer) 파일을 배포하여 공격 활동을 하였으며, 공격 대상 시스템에 배포한 플러그엑스(PlugX)로 알려진 원격 제어 악성코드를 통해서 C2 서버로부터 전달받은 명령에 따라 시스템 정보 수집 및 키로깅(Keylogging), 화면 캡쳐(Screen Capture) 등의 다양한 악성행위를 수행하였다.
SectorB72 그룹의 활동은 프랑스, 중국, 태국, 이집트, 아프가니스탄, 오스트레일리아, 루마니아에서 발견되었다. 해당 그룹은 중동, 아프리카, 미국의 정부, 교육, 소매, 비영리 단체, 통신 회사 등의 조직들을 대상으로 다양한 악성코드를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에 배포한 다양한 악성코드를 통해서 사용자 자격 증명을 수집하거나, 백도어(Backdoor) 기능의 악성코드를 통해서 C2 서버로부터 전달받은 명령에 따라 명령 실행, 파일 업로드 및 다운로드를 수행하였다.
SectorB73 그룹의 활동은 괌, 미국, 우크라이나, 한국에서 발견되었다. 해당 그룹은 정부 조직과 에너지 조직의 다양한 라우터(Router)와 방화벽(Firewall) 제품을 대상으로 악성코드를 배포하여 공격 활동을 하였다.
SectorB85 그룹은 루아(Lua) 프로그래밍 언어로 작성된 악성코드를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에 배포한 악성코드는 클라우드(Cloud) 기반 역방향 프록시(Reverse Proxy) 인프라를 C2 서버로 사용하였다. 해당 그룹은 공격 대상 시스템에 배포한 악성코드를 통해서 시스템 및 사용자 정보를 수집하여 C2 서버로 전송하였으며, C2 서버로부터 전달받은 받은 명령에 따라 다양한 악성 행위를 하였다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
2023년 12월에는 총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC04, SectorC08, SectorC13, SectorC14 그룹이다.
SectorC01 그룹의 활동은 일본, 튀르키예, 네덜란드, 인도네시아, 인도, 미국, 아랍 에미리트, 우크라이나, 슬로바키아, 루마니아, 폴란드, 룩셈부르크, 리투아니아, 요르단, 이탈리아, 불가리아, 체코, 오스트레일리아, 프랑스, 라트비아에서 발견되었다. 해당 그룹은 이스라엘-하마스 전쟁과 연관된 주제를 사용하여 공격 대상이 악성코드를 실행하도록 유도했으며, 이스라엘-하마스 전쟁과 연관된 주제를 사용한 MS 워드(Word) 형식의 미끼문서를 사용했으며, DLL 사이드로딩(Side-Loading) 기법을 통한 악성 DLL 파일 실행 및 배치(Batch) 스크립트 악성코드를 사용하여 추가 악성코드 다운로드 및 실행을 시도했다.
SectorC04 그룹의 활동은 필리핀, 덴마크, 폴란드, 미국, 캐나다, 태국, 영국, 인도, 남아프리카 공화국, 중국, 오스트레일리아에서 발견되었다. 해당 그룹은 차량 판매 가격과 관련된 어도비(Adobe) PDF 문서로 위장한 윈도우 바로가기(LNK) 파일 형식의 악성코드를 사용했으며, 최종적으로 침투 테스팅 도구로 알려져 있는 코발트 스트라이크(Cobalt Strike)를 사용했다.
SectorC08 그룹의 활동은 러시아에서 발견되었다. 해당 그룹은 국가 포상 정책의 수상 관련 내용의 어도비(Adobe) PDF 문서로 위장한 PE(Portable Executable) 형식의 악성코드를 사용했으며, 최종적으로 원격 제어 도구인 울트라VNC(UltraVNC)를 사용하여 정보탈취를 시도했다.
SectorC13 그룹의 활동은 라트비아, 러시아에서 발견되었다. 해당 그룹은 철도운송에 관한 서류로 위장한 MS 워드(Word) 악성코드를 사용했으며, 공격 대상이 해당 MS 워드(Word) 악성코드를 실행할 경우 템플릿 인젝션(Template Injection) 기법을 통해 악의적인 코드가 포함된 MS 워드(Word) 템플릿(Template)이 다운로드 및 실행된다.
SectorC14 그룹은 자격 증명 탈취를 위해 사용중인 인프라 정보를 숨기기 위해 서버 사이드 스크립트(Server-Side Script), DGA(Domain Generation Algorithm) 등 다양한 방법을 사용하고 있다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.
4. SectorD 그룹 활동 특징
2023년 12월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD02, SectorD37 그룹이다.
SectorD02 그룹의 활동은 이집트, 수단, 탄자니아, 영국에서 발견되었다. 해당 그룹은 아프리카 국가들의 통신 산업군들을 대상으로 자바(Java) 관련 파일로 위장한 PE(Portable Executable) 형식의 악성코드를 사용했으며, DLL 사이드로딩(Side-Loading) 기법으로 악성 DLL 파일을 실행했다.
SectorD37 그룹의 활동은 미국, 이스라엘에서 발견되었다. 해당 그룹은 취약한 보안 설정으로 외부 인터넷에 연결되어 있는 물 및 폐수 시스템(Water and Wastewater Systems, WWS) 산업군을 대상으로 사이버 공격 활동을 수행했다.
SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.
5. SectorE 그룹 활동 특징
2023년 12월에는 총 3개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE04, SectorE05 그룹이다.
SectorE01 그룹의 활동은 아프가니스탄, 방글라데시, 노르웨이, 파키스탄에서 발견되었다. 해당 그룹은 다운로드(Download) 기능의 악성코드를 배포하여 공격 활동을 하였으며, 최종적으로 렘코스(Remcos)로 알려진 원격 제어 기능의 악성코드를 설치하여 공격 대상 시스템에서 C2 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 수행하였다.
SectorE04 그룹의 활동은 네팔, 독일, 네덜란드, 파키스탄에서 발견되었다. 해당 그룹은 여행 일정 문서 및 외국 언론사의 부정적 보도 문서로 위장한 MS 워드(Word) 문서를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 최종적으로 설치한 악성코드를 통해서 컴퓨터 이름, 명령 프롬프트(Command Prompt) 실행 결과 등의 데이터를 BASE64로 인코딩(Encoding) 후 C2 서버로 전송하였다.
SectorE05 그룹의 활동은 스리랑카, 중국, 네팔, 파키스탄, 싱가포르에서 발견되었다. 해당 그룹은 회보(Circular) 문서 및 운영 데이터 문서, 범죄 기록 문서 등 다양한 주제로 위장한 윈도우 도움말(CHM) 파일을 배포하여 공격 활동을 하였으며, 공격 대상 시스템에 배포한 악성코드를 통해서 컴퓨터 이름, 사용자 이름을 수집하여 C2 서버로 전달한 다음 악성코드를 다운로드 받아 실행하도록 하여 추후 공격을 위한 발판을 마련하였다.
현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.
6. SectorH 그룹 활동 특징
2023년 12월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH01, SectorH03 그룹이다.
SectorH01 그룹의 활동은 이탈리아에서 발견되었다. 해당 그룹은 송장(Invoice)으로 위장한 어도비(Adobe) PDF 문서를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에 배포한 코드 인젝션 (Code Injection) 기능의 악성코드를 통해서 추후 공격에서 메모리에 코드 삽입하여 악성 기능을 실행할 수 있도록 하였다.
SectorH03 그룹의 활동은 인도에서 발견되었다. 해당 그룹은 퇴직 후 계획 문서로 위장한 윈도우 바로가기(LNK) 파일을 배포하여 공격 활동을 하였으며, 공격 대상 시스템에 배포한 악성코드를 통해서 C2 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 수행하였다. 이외에도 게시(Posting) 정책 개정 문서로 위장한 MS 파워포인트(PowerPoint) 문서를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에 배포한 악성코드를 통해서 C2 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 수행하였다.
SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.
7. SectorL 그룹 활동 특징
2023년 12월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorL03 그룹이다.
SectorL03 그룹의 활동은 중국, 우크라이나, 그리스, 미국, 이탈리아에서 발견되었다. 해당 그룹은 비정부 기구(Nongovernmental organization, NGO), 정보 기술(IT) 및 통신 부분 등의 다양한 조직을 대상으로 초기 침투(Initial Access) 후 역방향 TCP 쉘(Reverse TCP Shell) 악성코드를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에 배포한 악성코드를 통해서 C2 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 하였다.
현재까지 지속되는 SectorL 해킹 그룹의 해킹 활동 목적은 인접한 국가에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.
8. Cyber Crime 그룹 활동 특징
2023년 12월에는 총 13개 해킹 그룹의 활동이 발견되었으며, SectorJ03, SectorJ09, SectorJ10, SectorJ12, SectorJ25, SectorJ64, SectorJ85, SectorJ94, SectorJ110, SectorJ120, SectorJ131, SectorJ133, SectorJ137 그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ03 그룹의 활동은 이스라엘, 포르투갈, 미국, 팔레스타인, 스페인에서 발견되었다. 해당 그룹은 팔레스타인에 관한 정치적 주제를 사용하여 공격 대상이 악성 MS 엑셀(Excel) 문서를 실행하도록 유도했으며, 스크린샷 전송, 추가 악성코드 다운로드 및 실행 등 다양한 기능을 가진 PE(Portable Executable) 형식의 악성코드를 사용했다.
SectorJ09 그룹은 웹사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있다.
SectorJ10 그룹은 금전적인 이윤을 목적으로 화이트 래빗 랜섬웨어(White Rabbit Ransomware)을 사용하여 액티브 디렉토리 컨트롤러(Active Directory Controller)와 VM웨어(VMware) ESXi를 암호화하여 마비시키고, 공격 대상에게 연락 수단을 전달하기 위하여 랜섬 노트(Ransom Note)를 남겼다.
SectorJ12 그룹의 활동은 말레이시아, 미국, 이탈리아에서 발견되었다. 해당 그룹은 국제 운송 사업을 운영하는 독일의 도이체 포스트(Deutsche Post AG) DHL 그룹의 송장 이메일로 위장한 피싱 메일(Phishing Mail)을 사용했으며, C2 서버의 실제 주소를 숨기기 위해 경량 IoT(Internet of Things) 메시징 프로토콜(Messaging Protocol)인 MQTT(Message Queueing Telemetry Transport)를 사용하는 방식을 사용했다.
SectorJ25 그룹의 활동은 미국, 중국, 싱가포르, 한국, 폴란드에서 발견되었다. 해당 그룹은 클라우드 및 컨테이너 환경을 대상으로 암호화폐를 채굴하는 크립토재커(Cryptojacker)를 사용했으며, 해당 그룹이 사용한 배시(Bash) 악성코드는 시스템 정보를 수집하고 암호화폐 채굴을 위해 시스템 설정을 변경한다.
SectorJ64 그룹의 활동은 페루, 이스라엘, 중국, 미국, 한국에서 발견되었다. 해당 그룹은 취약한 서버들을 대상으로 원격 코드 실행(Remote Code Execution) 취약점들을 사용하여 악성코드를 배포했으며, 최종적으로 금전적인 이윤을 위해 크립토재킹(Cryptojacking) 악성코드를 사용했다.
SectorJ85 그룹은 암호화폐 관련 도메인과 유사한 피싱(Phishing) 사이트를 구축하여 타이포스쿼팅(Typosquatting) 공격을 시도했다.
SectorJ94 그룹의 활동은 프랑스, 이탈리아, 캐나다, 중국, 미국에서 발견되었다. 해당 그룹은 원격 제어 프로그램인 애니데스크(AnyDesk) 웹사이트로 위장한 피싱(Phishing) 웹사이트를 구축했으며, 악성 광고를 통해 악성코드를 배포하는 멀버타이징(Malvertising) 공격을 통해 설치 프로그램으로 위장한 악성코드를 다운로드 하도록 유도했다.
SectorJ110 그룹의 활동은 우크라이나, 아랍에미리트, 러시아, 이란, 튀르키예에서 발견되었다. 해당 그룹은 청구서 MS 엑셀(Excel) 문서로 위장한 비주얼 베이직 스크립트 (Visual Basic Script, VBS) 악성코드를 압축하여 첨부한 피싱 메일(Phishing Mail)을 통해 배포했으며, 최종적으로 추가 악성코드를 다운로드 및 실행할 수 있는 기능을 가진 악성코드를 사용했다.
SectorJ120 그룹의 활동은 이스라엘, 브라질, 캐나다, 프랑스, 인도에서 발견되었다. 해당 그룹은 공식 파이썬 패키지(Python Packages) 저장소인 PyPI(Python Package Index)를 통해 파이썬(Python) 스크립트 악성코드를 배포했으며, 최종적으로 시스템에 저장되어 있는 자격 증명 정보 또는 암호 화폐 관련 정보들을 수집하는 PE(Portable Executable) 형식의 악성코드를 사용했다.
SectorJ131 그룹의 활동은 캐나다에서 발견되었다. 해당 그룹은 아파치 액티브MQ(Apache ActiveMQ)의 취약점(CVE-2023-46604)을 악용하여 암호화폐 채굴 스크립트를 배포했다.
SectorJ133 그룹의 활동은 영국, 미국에서 발견되었다. 해당 그룹은 악성 광고를 통해 악성코드를 배포하는 멀버타이징(Malvertising) 공격을 통해 다운로더(Downloader) 유형의 비주얼 베이직 스크립트(Visual Basic Script) 악성코드를 배포했으며, 최종적으로 백도어(Backdoor) 유형의 PE(Portable Executable) 형식의 악성코드를 사용했다.
SectorJ137 그룹은 웹 포털(Web Portal) 및 메일 서비스와 암호화폐 거래소 등 다양한 분야를 대상으로 계정 정보 수집을 위해 피싱(Phishing) 웹사이트를 구축하여 방문을 유도했다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.