2023 Activities Summary of SectorA groups (KOR)

SectorA 그룹 활동

Threat Research Lab은 SectorA 그룹들을 총 7개의 하위 해킹 그룹으로 분류하고 있으며, 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다.

2023년 한 해 동안 발생한 SectorA 그룹들의 활동량을 분석한 결과 SectorA05 그룹의 활동이 가장 두드러졌으며, SectorA02 그룹과 SectorA01 그룹의 활동이 그 뒤를 이었다.

[그림 1: 2023년 확인된 SectorA의 하위 그룹 활동량]

SectorA 그룹들의 주요 공격 대상이 된 산업군들을 살펴보면 금융 기관에 종사하고 있는 관계자 또는 시스템이 가장 많은 공격 대상이 되었으며, 그 다음으로는 연구, 정부 기관 순서로 확인된다.

[그림 2: 2023년 공격 대상이 된 산업 분야 통계]

다음은 2023년 SectorA 그룹의 공격 대상이었던 국가의 정보를 지도에 표기한 것이며, 붉은 색이 짙을수록 공격 횟수가 잦았음을 의미한다. 이를 통해 SectorA 그룹은 한국을 대상으로 가장 많은 해킹 활동을 수행했음을 확인할 수 있으며, 미국, 인도, 일본, 영국이 그 뒤를 이어가고 있다.

[그림 3: 2023년 SectorA 그룹의 주요 공격 대상 국가]

SectorA 그룹 활용 최초 침투 경로

2023년에 확인된 SectorA 그룹의 최초 침투 경로(Initial Access) 중 스피어 피싱을 통해 악성 링크(Spear Phishing Link)를 유포하는 방법을 가장 많이 활용한 것으로 확인된다.

스피어 피싱 공격은 특정 개인이나 조직을 대상으로 수행되는 사회공학적(Social Engineering) 공격으로 악성 링크를 통해 공격 대상의 자격 증명(Credential)을 입력하도록 유도할 수 있고 공격 대상이 악성 코드를 실행하도록 유도할 수 있다.

이들은 공격 대상과 신뢰성이 있는 관계자로 위장하여 공격 대상이 악성 링크 또는 첨부 파일을 실행하도록 유도하여 최초 침투가 성공할 가능성이 높기 때문에 스피어 피싱을 가장 많이 활용한 것으로 확인된다.

[그림 4: SectorA 그룹 활용 최초 침투 경로 통계]

SectorA 그룹 활용 취약점

2023년에 확인된 SectorA 그룹이 활용한 취약점 상위 5개 중 CVE-2023-29059 (3CX DesktopApp 내장된 악성코드 취약점(Embedded Malicious Code))이 가장 많은 것으로 확인된다. SectorA 그룹은 CVE-2023-29059 취약점을 악용하여 공격 대상 시스템에 악성 코드를 유포하고 실행한 것으로 확인된다.

[그림 5: SectorA 그룹 활용 취약점 Top5]

취약점 코드

취약점 분류

취약점 대상

CVE-2023-29059

Embedded Malicious Code

3CX DesktopApp

CVE-2021-21551

Insufficient Access Control Vulnerability

Dell dbutil Driver

CVE-2021-44228

Remote Code Execution Vulnerability

Apache Log4j2

CVE-2013-3900

Remote Code Execution

Microsoft WinVerifyTrust function

CVE-2017-0199

Remote Code Execution Vulnerability

Microsoft Office and WordPad

[표 1: SectorA 그룹 활용 취약점 Top5]

SectorA 그룹 공격 대상 시스템

취약점이 있는 소프트웨어는 서버(Server)와 클라이언트(Client)로 분류할 수 있으며, 해킹 그룹들은 네트워크 중심에 위치하여, 내부 네트워크에 대한 추가적인 공격을 용이하게 수행할 수 있는 서버 시스템과 관련된 취약점을 통해 해킹 활동을 수행한다.

2023년에 확인된 SectorA 그룹의 공격 대상 시스템 상위 5개 중 화상 회의 프로그램 중 하나인 3CX DesktopApp을 대상으로 가장 많은 공격을 수행한 것으로 확인된다.

[그림 6: 2023년 SectorA 그룹의 공격 대상 시스템 Top5]

SectorA 그룹 활용 오픈소스 및 프리웨어 도구

2023년에 확인된 SectorA 그룹이 활용한 오픈소스 및 프리웨어 도구 상위 5개 중 마이크로소프트(Microsoft) 클라우드 스토리지 서비스인 “원드라이브(OneDrive)”가 가장 많은 것으로 확인된다.

SectorA 그룹은 원드라이브(OneDrive)를 C2 서버처럼 악용하여 공격 대상 시스템에 추가적인 악성 코드를 다운로드하고 실행한 것으로 확인된다.

원드라이브(OneDrive)와 같은 비즈니스 용도로 많이 활용하는 클라우드 스토리지 서비스를 C2 서버로 악용하는 경우 정상적인 트래픽으로 오인하여 보안 솔루션 탐지를 회피할 수 있기 때문에  SectorA 그룹이 이를 악용한 것으로 확인된다.

[그림 7: 2023년 SectorA 그룹 활용 오픈소스 및 프리웨어 도구 Top5]

도구명

도구 기능

OneDrive

클라우드 스토리지

PCloud

클라우드 스토리지

Google Drive

클라우드 스토리지

GitHub

소프트웨어 관리 플랫폼

Mimikatz

윈도우 자격증명(Credential) 정보 수집 도구

[표 2: 2023년 SectorA 그룹 활용 오픈소스 및 프리웨어 도구 Top5]

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.