Monthly Threat Actor Group Intelligence Report, January 2024 (KOR)

2023년 12월 21일에서 2024년 1월 20일까지 NSHC ThreatRecon팀에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.

이번 1월에는 총 26개의 해킹 그룹들의 활동이 확인되었으며, SectorA 그룹이 30%로 가장 많았으며, SectorB, SectorJ 그룹의 활동이 그 뒤를 이었다.

이번 1월에 발견된 해킹 그룹들의 해킹 활동은 정부 기관과 교육 분야에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 유럽(Europe)과 동아시아(East Asia)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.

1. SectorA 그룹 활동 특징

2024년 1월에는 총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA05, SectorA06, SectorA07그룹이다.

SectorA01 그룹의 활동은 스페인, 미국, 독일, 브라질, 프랑스, 세르비아, 방글라데시, 튀르키예, 이스라엘, 인도, 러시아, 스위스, 한국에서 발견되었다. 해당 그룹은 SSH, 텔넷(Telnet) 터미널(Terminal) 접속에 주로 사용되는 푸티(Putty) 소프트웨어로 위장한 PE(Portable Executable) 형식의 악성코드를 사용했다.

SectorA02 그룹의 활동은 미국, 루마니아, 한국에서 발견되었다. 해당 그룹은 통일전략포럼 안내 문서로 위장한 윈도우 바로가기(LNK) 형식의 악성코드를 사용했으며, 최종적으로 파워쉘(PowerShell) 명령을 통해 추가 악성코드를 다운로드하여 메모리 영역에서 실행시킨다.

SectorA05 그룹의 활동은 슬로바키아, 한국, 홍콩, 중국, 러시아, 터키, 태국, 독일, 싱가포르에서 발견되었다. 해당 그룹은 개인, 기관이 무료로 사용 가능한 폭스잇 PDF 리더 (Foxit PDF Reader)의 업데이트 파일로 위장한 PE(Portable Executable) 형식의 악성코드를 사용했다.

SectorA06 그룹의 활동은 콜롬비아에서 발견되었다. 해당 그룹은 맥OS(macOS) 사용자들을 대상으로 이미지 파일 형식의 확장자(JPG)를 사용하여 이미지 파일로 위장한 Mach-O 악성코드를 사용했다.

SectorA07 그룹의 활동은 미국에서 발견되었다. 해당 그룹은 특허수수료 납부확인증으로 위장한 윈도우 도움말(Compiled HTML Help, CHM) 파일 형식의 악성코드를 사용했으며, 최종적으로 파워쉘(PowerShell) 명령을 통해 추가 악성코드를 다운로드 및 실행한다.

현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.

2. SectorB 그룹 활동 특징

2024년 1월에는 총 6개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB01, SectorB22, SectorB38, SectorB73, SectorB75, SectorB86 그룹이다.

SectorB01 그룹의 활동은 중국, 영국, 대만, 한국에서 발견되었다. 해당 그룹은 “중국-아프리카 관계”라는 제목의 문서로 위장한 악성 윈도우 바로가기(LNK) 파일과 악성 자바스크립트(JavaScript, JS) 파일을 포함한 7-Zip 압축 파일을 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 시스템에서 침투 테스트(Penetration Testing) 도구인 코발트 스트라이크(Cobalt Strike)를 실행하여 C2서버로부터 전달받은 다양한 명령에 따라 악성 행위를 수행하였다.

SectorB22 그룹의 활동은 미국, 미얀마에서 발견되었다. 해당 그룹은 동남아시아 국가 연합(Association of Southeast Asian Nations, ASEAN) 노트로 위장한 윈도우 디스크 이미지(ISO) 파일을 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 시스템에서 다운로드 기능의 악성 DLL 파일을 통해서 C2 서버에서 추가 악성코드를 다운로드 받아 실행하도록 하여 추후 공격을 위한 발판을 마련하였다.

SectorB38 그룹의 활동은 필리핀, 말레이시아에서 발견되었다. 해당 그룹은 미국이 베트남에 특정 문제에 대한 문서를 공개하는 것과 관련된 내용의 국방부 관련 문서로 위장한 MS RTF(Rich Text Format) 문서를 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 시스템에서 다운로드 기능의 악성코드를 통해서 C2 서버에서 추가 악성코드를 다운로드 받아 실행하도록 하여 추후 공격을 위한 발판을 마련하였다.

SectorB73 그룹의 활동은 미국, 영국, 오스트레일리아에서 발견되었다. 해당 그룹은 시스코(Cisco) RV320 및 RV325 라우터 장비의 취약점을 악용한 공격 활동을 하였으며, 최종적으로 공격 대상 시스템에서 웹쉘(WebShell)을 설치한 다음 원격 명령을 통해 악성 행위를 수행하였다.

SectorB75 그룹은 바라쿠다 네트웍스 이메일 보안 게이트웨이 어플라이언스(Barracuda Networks Email Security Gateway Appliance)의 제로 데이(Zero Day) 취약점을 악용한 공격 활동을 하였다.

SectorB86 그룹은 이반티 커넥트 시큐어(Ivanti Connect Secure, ICS) 가상사설망(Virtual Private Server, VPN) 장비의 제로데이(Zero Day) 취약점을 악용한 공격 활동을 하였으며, 공격 대상 시스템에서 취약점을 악용하여 웹쉘(WebShell)을 설치하여 원격 명령을 실행하고, 추가적인 공격 명령을 수행할 수 있는 발판을 마련하였다. 이외에도 해당 그룹은 동일한 취약점을 악용하여 공격 대상 시스템에 XMRig 암호화폐 채굴기와 러스트(Rust) 기반 악성코드를 배포하여 공격 활동을 하였다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

2024년 1월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC14 그룹이다.

SectorC01 그룹의 활동은 우크라이나, 폴란드에서 발견되었다. 해당 그룹은 폴란드 수자원  관리를 담당하는 국가 주요 기관인 폴란드 해역(Polish Waters)의 회계 관련 문서로 위장한 윈도우 바로가기(LNK) 형식의 악성코드를 사용했으며, 인터넷 메시지 접속 프로토콜(Internet Message Access Protocol, IMAP)을 통해 공격자의 명령을 수신 받아 파일 업로드, 파일 다운로드 및 실행하는 기능을 가지고 있다.

SectorC14 그룹의 활동은 체코, 우크라이나, 루마니아에서 발견되었다. 해당 그룹은 암호화된 PDF 형식의 문서로 위장한 미끼 문서를 사용하여 공격자에게 전달했으며, 정상적인 문서 열람을 위해 암호화 해제 프로그램으로 위장한 PE(Portable Executable) 형식의 악성코드를 실행하도록 유도했다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

4. SectorD 그룹 활동 특징

2024년 1월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD05 그룹이다.

SectorD05 그룹의 활동은 세이셸에서 발견되었다. 해당 그룹은 뉴스 기자를 사칭하여 공격 대상들에게 이스라엘-하마스 전쟁에 대한 기사에 대한 의견을 요청하는 피싱 메일(Phishing Mail)을 사용했다.

SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.

5. SectorE 그룹 활동 특징

2024년 1월에는 총 3개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE02, SectorE04, SectorE05 그룹이다.

SectorE02 그룹의 활동은 홍콩, 네덜란드에서 발견되었다. 해당 그룹은 팩스 사본(Fax Copy)로 위장한 MS 엑셀(Excel) 문서를 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 시스템에서 다운로드 기능의 악성코드를 통해서 추가 악성코드를 다운로드 받아 실행하도록 하여 추후 공격을 위한 발판을 마련하였다.

SectorE04 그룹의 활동은 인도, 네팔에서 발견되었다. 해당 그룹은 해외 여행 가이드로 위장한 MS 워드(Word) 문서를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 원격 템플릿(Remote Template) 문서 파일을 다운로드 받아 실행하도록 하여 추후 공격을 위한 발판을 마련하였다.

SectorE05 그룹의 활동은 중국, 방글라데시, 파키스탄에서 발견되었다. 해당 그룹은 해외 교육 추천 문서로 위장한 어도비(Adobe) PDF 문서 및 “프로젝트 애플리케이션 버전” 파일명으로 위장한 윈도우 도움말(CHM) 파일을 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 시스템에서 컴퓨터 이름, 사용자 이름을 수집하여 C2 서버로 전달한 다음 추가 악성코드를 다운로드 받아 실행하도록 하여 추후 공격을 위한 발판을 마련하였다.

현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.

6. SectorH 그룹 활동 특징

2024년 1월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.

SectorH03 그룹의 활동은 인도, 일본, 필리핀, 캐나다, 태국에서 발견되었다. 해당 그룹은 인도 정부 및 기관을 대상으로 총리의 토착화(Indigenization) 계획 분기별 보고서로 위장한 MS 파워포인트(PowerPoint) 문서를 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 시스템에서 특정 확장자의 문서 파일 목록을 수집한 다음 Oshi.at 파일 스토리지에 업로드하여 기밀 문서를 유출하였다.

SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.

7. SectorL 그룹 활동 특징

2024년 1월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorL03 그룹이다.

SectorL03 그룹의 활동은 네덜란드에서 발견되었다. 해당 그룹은 가상사설망(Virtual Private Network, VPN) 제공 업체의 IP주소를 통해 공격 대상 시스템이 사용하는 웹 호스팅 제어판인 cPanel에 로그인하여 초기 침투(Initial Access)를 하였으며, 최종적으로 공격 대상 시스템에서 리버스 쉘(Reverse Shell)을 이용해 C2 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 수행하였다.

현재까지 지속되는 SectorL 해킹 그룹의 해킹 활동 목적은 인접한 국가에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.

8. Cyber Crime 그룹 활동 특징

2024년 1월에는 총 7개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ01, SectorJ09, SectorJ57, SectorJ90, SectorJ138, SectorJ139, SectorJ142 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ01 그룹의 활동은 미국, 영국에서 발견되었다. 해당 그룹은 설치 관리자 프로그램으로 위장한 마이크로소프트 앱 패키지(Microsoft App Package, MSIX) 형식의 악성 코드를 사용했다.

SectorJ09 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있다.

SectorJ57 그룹의 활동은 미국에서 발견되었다. 해당 그룹은 난독화(Obfuscated)된 자바스크립트(JavaScript) 악성코드를 사용했으며, 최종적으로 오픈소스 RAT(Remote Access Trojan) 악성코드를 사용하여 공격 대상 시스템에 대한 명령제어를 시도했다.

SectorJ90 그룹의 활동은 미국, 네덜란드에서 발견되었다. 해당 그룹은 VBS(Visual Basic Script) 파일 형식의 악성코드 또는 자바스크립트(JavaScript) 악성코드가 내부에 포함된 MSI(Microsoft Installer) 악성코드를 사용했으며, 최종적으로 실행되는 자바스크립트 악성코드는 공격 대상 시스템의 화면을 이미지 파일로 저장하여 전송하는 기능을 가지고 있다.

SectorJ138 그룹은 마이크로소프트(Microsoft)의 서비스들이나 다른 회사들로 위장하여 공격 대상들에게 마이크로소프트 팀즈(Teams)를 통해 악성 링크가 포함된 메세지를 전달하고 접속을 유도했다. 최종적으로 해당 그룹은 최초 접근 브로커(Initial Access Broker, IAB) 활동을 위해 공격 대상 시스템의 접근 권한을 탈취한다.

SectorJ139 그룹의 활동은 미국, 캐나다에서 발견되었다. 해당 그룹은 검색 엔진 최적화(Search Engine Optimization, SEO) 포이즈닝(Poisoning) 공격 기법을 사용하여 불특정 다수의 사용자들이 줌(Zoom), 팀뷰어(TeamViewer) 등 합법적인 소프트웨어의 홈페이지를 사칭한 피싱(Phishing) 사이트로 접속하도록 유도했다.

SectorJ142 그룹은 최초 접근 브로커(Initial Access Broker, IAB) 활동을 하는 다른 사이버 범죄 그룹들과 연관되어 있으며, 최초 접근 브로커에게 탈취된 시스템들을 대상으로 금전적인 이윤을 위해 랜섬웨어(Black Basta Ransomware)를 사용하여 파일을 암호화했다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.