Monthly Threat Actor Group Intelligence Report, February 2024 (KOR)
2024년 1월 21일에서 2024년 2월 20일까지 NSHC ThreatRecon팀에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.
이번 2월에는 총 26개의 해킹 그룹들의 활동이 확인되었으며, SectorJ 그룹이 34%로 가장 많았으며, SectorC, SectorA 그룹의 활동이 그 뒤를 이었다.
이번 2월에 발견된 해킹 그룹들의 해킹 활동은 정부 기관과 제조업 분야에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 유럽(Europe)과 북아메리카(North America)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.
1. SectorA 그룹 활동 특징
2024년 2월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA05 그룹이다.
SectorA01 그룹의 활동은 베트남, 독일, 미국에서 발견되었다. 해당 그룹은 오픈 소스(Open-source) 원격 관리/원격 데스크톱 소프트웨어인 울트라VNC(UltraVNC)로 위장한 PE(Portable Executable) 형식의 악성코드를 사용했다.
SectorA05 그룹의 활동은 헝가리, 한국, 싱가포르, 파키스탄, 독일에서 발견되었다. 해당 그룹은 트레이딩(Trading) 강의 자료로 위장한 윈도우 바로가기(LNK) 형식의 악성코드를 사용했으며, 드롭박스(Dropbox)의 API를 이용했다. 최종 다운로드 된 PE(Portable Executable) 형식의 악성코드는 분산 서비스 거부 공격(Distributed Denial of Service, DDoS), 키로깅(Keylogging), 원격 제어 기능을 가지고 있으며, 공격자 서버의 명령에 따라 다양한 기능을 수행한다.
현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.
2. SectorB 그룹 활동 특징
2024년 2월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB22, SectorB86, SectorB87, SectorB91 그룹이다.
SectorB22 그룹의 활동은 몽골, 체코, 일본, 네덜란드, 베트남, 싱가포르, 인도, 말레이시아, 대만, 러시아, 미국, 중국, 프랑스, 홍콩에서 발견되었다. 해당 그룹은 몽골의 홍수 경보 문서로 위장한 윈도우 바로가기(LNK) 파일을 배포하여 공격 활동을 하였으며, 해당 그룹은 공격 대상 시스템에서 플러그 엑스(PlugX)로 알려진 원격 제어 기능의 악성코드를 다운로드 받아 실행하여 C2 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 하였다.
SectorB86 그룹의 활동은 미국, 한국, 독일에서 발견되었다. 해당 그룹은 이반티 커넥트 시큐어(Ivanti Connect Secure) 소프트웨어의 취약점을 악용한 다음 러스트(Rust) 기반의 악성코드를 배포하여 공격 활동을 하였으며, 해당 그룹은 공격 대상 시스템에서 러스트 기반의 악성코드를 통해 슬리버(Sliver)라고 알려진 명령 및 제어 프레임워크(Framework)를 다운로드 받아 실행하도록 하여 다양한 악성 행위를 하였다.
SectorB87 그룹의 활동은 영국, 중국, 일본에서 발견되었다. 해당 그룹은 영국, 중국, 일본의 개인을 대상으로 합법적인 소프트웨어의 업데이트 요청을 가로채는 중간자 공격(Adversary-in-the-middle, AitM)을 통해 악성코드를 배포하는 활동을 하였으며, 해당 그룹은 공격 대상 시스템에서 백도어(Backdoor) 악성코드를 통해서 C2 서버의 명령에 따라 텐센트(Tencent) QQ 메신저의 자격증명(Credentials), 채팅 로그, 연락처 목록 등의 데이터베이스 정보를 홈치거나, 오디오 대화를 가로채는 등의 악성 행위를 하였다.
SectorB91 그룹의 활동은 일본, 대만, 인도, 이란, 미국에서 발견되었다. 해당 그룹은 동아시아의 기술 조직 및 정부 기관을 대상으로 악성코드를 배포하여 공격 활동을 하였으며, 공격 대상 시스템의 다양한 제품의 취약점을 악용하여 설치한 악성코드를 통해서 C2 서버의 명령에 따라 시스템 정보, 액티브 디렉토리(Active Directory) 정보, 자격증명(Credentials) 정보 등을 수집하는 악성 행위를 하였다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
2024년 2월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC02, SectorC08, SectorC13 그룹이다.
SectorC01 그룹의 활동은 우크라이나, 카자흐스탄에서 발견되었다. 해당 그룹은 우크라이나 포털사이트로 위장한 피싱(Phishing) 사이트로 공격 대상의 접근을 유도했으며, 공격 대상이 로그인을 하기 위해 계정 정보를 입력할 경우 인증 데이터를 유출했다.
SectorC02 그룹의 활동은 폴란드에서 발견되었다. 해당 그룹은 우크라이나를 지원하는 비정부조직(Nongovernmental organization, NGO)을 공격 대상으로 삼았으며, 공격자 서버의 명령에 따라 다양한 기능을 수행하는 악성코드를 사용했다.
SectorC08 그룹의 활동은 우크라이나, 폴란드, 인도네시아, 미국에서 발견되었다. 해당 그룹은 국방부 재정 지원 관련 문서로 위장한 MS 워드(Word) 형식의 악성코드를 사용했다.
SectorC13 그룹의 활동은 벨라루스에서 발견되었다. 해당 그룹은 엔지니어링 노트(Engineering note)로 위장한 MS 워드(Word) 형식의 악성코드를 사용하여 공격 대상이 직접 악성코드를 실행하도록 유도했다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.
4. SectorE 그룹 활동 특징
2024년 2월에는 총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE04, SectorE05, SectorE08 그룹이다.
SectorE01 그룹의 활동은 미국, 네덜란드, 인도, 파키스탄에서 발견되었다. 해당 그룹은 뉴스 앱 혹은 메시징 앱으로 위장한 안드로이드(Android) 악성코드를 배포하여 공격 활동을 하였으며, 해당 그룹은 공격 대상 단말기에서 연락처 목록, SMS 메시지, 통화 기록, 디바이스 위치, 설치 앱 목록, 특정 확장자의 파일을 수집하여 C2 서버로 전송하는 악성 행위를 하였다.
SectorE02 그룹의 활동은 인도에서 발견되었다. 해당 그룹은 채팅 앱으로 위장한 안드로이드(Android) 악성코드를 배포하여 공격 활동을 하였으며, 해당 그룹은 공격 대상 단말기에서 연락처 목록, SMS 메시지, 카메라 녹화, 위치 정보, 시스템 정보를 수집하여 C2 서버로 전송하는 악성 행위를 하였다.
SectorE04 그룹의 활동은 네팔에서 발견되었다. 해당 그룹은 네팔 외교부(Ministry of Foreign Affairs Nepal) 문서로 위장한 MS 워드(Word) 문서를 배포하여 공격 활동을 하였으며, 해당 문서를 통해서 추가 악성코드를 설치하도록 하여 추후 공격을 위한 발판을 마련하였다.
SectorE05 그룹의 활동은 파키스탄, 대만에서 발견되었다. 해당 그룹은 윈도우 도움말(CHM) 파일을 배포하여 공격 활동을 하였으며, 해당 그룹은 공격 대상 시스템에서 사용자명, 컴퓨터명을 C2 서버로 전송한 다음 추가 악성코드를 다운로드 받아 실행하도록 하여 추후 공격을 위한 발판을 마련하였다.
SectorE08 그룹의 활동은 파키스탄에서 발견되었다. 해당 그룹은 다양한 악성코드를 배포하여 공격 활동을 하였으며, 해당 그룹은 공격 대상 시스템에서 호스트 이름과 사용자 이름을 수집하는 악성코드와 크롬(Chrome) 브라우저 비밀번호를 훔치는 악성코드를 포함한 서로 다른 악성코드를 다운로드 받아 실행하도록 하여 악성 행위를 하였다.
현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.
5. SectorH 그룹 활동 특징
2024년 2월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.
SectorH03 그룹의 활동은 미국에서 발견되었다. 해당 그룹은 채팅 앱으로 위장한 안드로이드(Android) 악성코드를 배포하여 공격 활동을 하였으며, 해당 그룹은 공격 대상 단말기에서 SMS 메시지, 통화 기록, 음성 녹음, 디바이스 위치, 시스템 정보를 수집하여 JSON 타입의 파일로 저장한 다음 C2 서버로 전송하는 악성 행위를 하였다.
SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.
6. Cyber Crime 그룹 활동 특징
2024년 2월에는 총 10개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ20, SectorJ21, SectorJ72, SectorJ94, SectorJ111, SectorJ113, SectorJ132, SectorJ145, SectorJ146, SectorJ149 그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ20 그룹은 불법 파일 공유 사이트를 이용 중인 불특정 다수를 대상으로 불법 복제 프로그램으로 위장한 악성코드를 배포했으며, 불특정 다수의 사용자들이 악성코드가 포함된 설치 프로그램을 직접 실행하도록 유도했다.
SectorJ21 그룹의 활동은 미국, 홍콩, 독일, 뉴질랜드, 러시아, 오스트레일리아, 싱가포르, 캐나다에서 발견되었다. 해당 그룹은 기업 제안서로 위장한 SVG(Scalable Vector Graphics) 형식의 파일을 피싱 메일(Phishing Mail)에 첨부하여 공격 대상이 실행하도록 유도했으며, 구글(Google)의 AMP(Accelerated Mobile Pages) 서비스를 이용한 피싱 사이트 URL로 PE(Portable Executable) 형식의 악성코드를 배포했다.
SectorJ72 그룹의 활동은 폴란드, 베트남, 독일에서 발견되었다. 해당 그룹은 악성코드 배포를 위해 음성 및 채팅 채널 서비스를 제공하는 디스코드(Discord)의 URL을 이용했으며, 디스코드 채널에 악성코드가 포함된 압축 파일을 업로드한 후 업로드 된 압축 파일 링크를 공격 대상에게 전달하고 다운로드하도록 유도했다.
SectorJ94 그룹의 활동은 독일, 스위스, 이탈리아, 인도, 벨기에, 한국, 미국에서 발견되었다. 해당 그룹은 악성 링크가 포함된 MS 엑셀(Excel) 파일을 압축하여 공격 대상에게 전달했으며, 최종적으로 공격자 서버의 명령에 따라 추가 악성코드를 다운로드 및 실행할 수 있는 백도어(Backdoor) 기능의 악성코드를 사용했다.
SectorJ111 그룹의 활동은 프랑스, 포르투갈, 러시아, 홍콩, 브라질, 우크라이나, 미국, 레위니옹에서 발견되었다. 해당 그룹은 시스템 정보를 수집하여 공격자 서버로 전송하고, 공격자의 명령에 따라 다양한 기능을 수행하는 아마데이 봇넷(Amadey Botnet)을 사용했다.
SectorJ113 그룹의 활동은 폴란드, 일본에서 발견되었다. 해당 그룹은 금전적인 이윤을 확보하기 위해 바북 랜섬웨어(Babuk Ransomware)를 사용했으며, 공격 대상이 파일 복호화 비용을 지불할 가능성을 높이기 위해 유출된 데이터를 공개하겠다고 위협하는 이중 갈취 공격을 사용했다.
SectorJ132 그룹의 활동은 폴란드, 미국, 브라질, 독일, 인도, 스페인, 필리핀, 이스라엘, 영국, 러시아에서 발견되었다. 해당 그룹은 외환 거래 포럼 또는 텔레그램(Telegram) 채널을 통해 공격 대상들에게 접근했으며, WebDAV(Web Distributed Authoring and Versioning) 기반의 악의적인 링크와 윈도우 디펜더 스마트 스크린(Microsoft Defender SmartScreen) 우회 취약점(CVE-2024-21412)을 악용하여 최종적으로 원격 제어 기능을 가진 PE(Portable Executable) 형식의 악성코드를 다운로드 및 실행했다.
SectorJ145 그룹의 활동은 미국에서 발견되었다. 해당 그룹은 원격으로 접속 가능한 마이크로소프트 SQL 서버(Microsoft SQL Server)를 공격 대상으로 삼았으며, 다양한 오픈소스(Open-source) 도구들을 이용한 사이버 공격을 시도했다.
SectorJ146 그룹의 활동은 핀란드, 우즈베키스탄, 독일, 러시아, 브라질, 미국에서 발견되었다. 해당 그룹은 검찰청 수사 관련 자료로 위장한 악성코드를 압축한 파일을 피싱 메일(Phishing Mail)에 첨부하여 공격 대상이 실행하도록 유도했으며, 최종적으로 금전적인 이윤을 확보하기 위해 암호화 지갑의 데이터 및 시스템에 저장된 인증정보들을 수집했다.
SectorJ149 그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 주민 대피 계획 내용이 포함된 피싱 메일(Phishing Mail)을 사용했으며, 최종적으로 상용 원격 제어 프로그램(RemoteUtilities)을 사용했다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.