2023 Activities Summary of SectorC groups (KOR)

SectorC 그룹 활동

2023년 총 12개의 SectorC 하위 그룹들의 해킹 활동이 발견되었다. 이들은 해킹 그룹을 지원하는 국가와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

2023년 한 해 동안 발생한 SectorC 그룹들의 활동량을 분석한 결과 SectorC08 그룹의 활동이 가장 두드러진 것으로 확인된다.

[그림 1: 2023년 확인된 SectorC의 하위 그룹 활동량]

SectorC 그룹들의 주요 공격 대상이 된 산업군들을 살펴보면 정부 기관과 국방 관련 분야에 종사하고 있는 관계자 또는 시스템이 가장 많은 공격 대상이 되었다.

[그림 2: 2023년 공격 대상이 된 산업 분야 통계]

다음은 2023년 SectorC 그룹의 공격 대상이었던 국가의 정보를 지도에 표기한 것이며, 붉은 색이 짙을수록 공격 횟수가 잦았음을 의미한다.

이를 통해 SectorC 그룹은 해킹 그룹을 지원하는 국가와 인접한 우크라이나와 북아메리카에 위치한 미국을 대상으로 다수의 해킹 활동을 수행한 것을 확인할 수 있다.

특히 주요 공격 대상이 된 우크라이나의 경우 우크라이나 주요 시스템들을 무력화하거나 군사 기술 정보를 포함한 중요 정보를 탈취하기 위해 대대적인 해킹 활동을 병행하고 있는 것으로 판단된다.

[그림 3: 2023년 SectorB 그룹의 주요 공격 대상 국가]

SectorC 그룹 활용 최초 침투 경로

2023년에 확인된 SectorC그룹의 최초 침투 경로(Initial Access) 중 스피어 피싱을 통해 악성 첨부 파일(Spear phishing Attachment)을 유포하는 방법을 가장 많이 활용한 것으로 확인된다. 스피어 피싱 공격은 특정 개인이나 조직을 대상으로 수행되는 사회공학적(Social Engineering) 공격으로 악성 링크를 통해 공격 대상의 자격 증명(Credential)을 입력하도록 유도할 수 있고 공격 대상이 악성 코드를 실행하도록 유도할 수 있다.

이들은 공격 대상과 신뢰성이 있는 관계자로 위장하여 공격 대상이 악성 링크 또는 첨부 파일을 실행하도록 유도하여 최초 침투가 성공할 가능성이 높기 때문에 스피어 피싱을 가장 많이 활용한 것으로 확인된다.

[그림 4: SectorC 그룹 활용 최초 침투 경로 통계]

SectorC 그룹 활용 취약점

2023년에 확인된 SectorC 그룹이 활용한 취약점 상위 5개 중 CVE-2023-23397(Microsoft Outlook 권한 상승 취약점) 취약점이 가장 많은 것으로 확인된다. 이들은 Microsoft Outlook 자격 증명을 탈취하기 위해 CVE-2023-23397 취약점을 악용한 것으로 확인된다.

[그림 5: SectorC 그룹 활용 취약점 Top5]

취약점 코드

취약점 분류

취약점 대상

CVE-2023-23397

Privilege Escalation Vulnerability

Microsoft Office Outlook

CVE-2023-38831

Code Execution Vulnerability

RARLAB WinRAR

CVE-2017-11882

Memory Corruption Vulnerability

Microsoft Office

CVE-2020-35730

Cross-Site Scripting (XSS) Vulnerability

Roundcube Webmail

CVE-2021-44026

SQL Injection Vulnerability

Roundcube Webmail

[표 1: SectorC 그룹 활용 취약점 Top5]

SectorC 그룹 공격 대상 시스템

취약점이 있는 소프트웨어는 서버(Server)와 클라이언트(Client)로 분류할 수 있으며, 해킹 그룹들은 네트워크 중심에 위치하여, 내부 네트워크에 대한 추가적인 공격을 용이하게 수행할 수 있는 서버 시스템과 관련된 취약점을 통해 해킹 활동을 수행한다.

2023년에 확인된 SectorC 그룹의 공격 대상 시스템 상위 5개 중 “Microsoft Office”을 대상으로 가장 많은 공격을 수행한 것으로 확인되며, 이들은 스피어 피싱을 통해 첨부된 첨부 파일을 공격 대상이  클릭하도록 유도하여, 공격 대상에 악성코드를 배포하거나 데이터를 탈취하기 위해 클라이언트(Client) 소프트웨어 취약점을 악용한 것으로 확인된다.

[그림 6: 2023년 SectorC 그룹의 공격 대상 시스템 Top5]

SectorC 그룹 활용 오픈소스 및 프리웨어 도구

2023년에 확인된 SectorC 그룹이 활용한 오픈소스 및 프리웨어 도구 상위 5개 중 메신저 프로그램으로 사용되는 텔레그램(Telegram)이 가장 많은 것으로 확인된다. 이들은 텔레그램을 통해 탈취한 데이터를 텔레그램 채널로 전송하거나, 텔레그램 API를 통해 공격 대상 시스템을 제어하는 용도로 활용한 것으로 확인된다.

[그림 7: 2023년 SectorC 그룹 활용 오픈소스 및 프리웨어 도구 Top5]

도구명

도구 기능

Telegram

메신저 프로그램

DropBox

클라우드 스토리지

UltraVNC

원격 제어 도구

OneDrive

클라우드 스토리지

Notion

프로젝트 괸리 소프트웨어

[표 2: 2023년 SectorC 그룹 활용 오픈소스 및 프리웨어 도구 Top5]

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.