Monthly Threat Actor Group Intelligence Report, March 2024 (KOR)
2024년 2월 21일에서 2024년 3월 20일까지 NSHC ThreatRecon팀에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다. 이번 3월에는 총 33개의 해킹 그룹들의 활동이 확인되었으며, SectorJ 그룹이 37%로 가장 많았으며, SectorA와 SectorB 그룹의 활동이 그 뒤를 이었다.
이번 3월에 발견된 해킹 그룹들의 해킹 활동은 상업 시설 분야와 정부 기관에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 유럽(Europe)과 동아시아(East Asia)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.
1. SectorA 그룹 활동 특징
2024년 3월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA05, SectorA07 그룹이다.
SectorA01 그룹의 활동은 한국, 대만, 미국에서 발견되었다. 해당 그룹은 공식 파이썬 저장소인 파이썬 패키지 인덱스(Python Package Index, PyPI)을 통해 악성 파이썬 패키지 (Python package)를 배포하고 있으며, 최종적으로 정보 수집, 원격 제어 기능을 가진 악성코드를 사용했다.
SectorA02 그룹의 활동은 중국, 한국에서 발견되었다. 해당 그룹은 북한 인권 정보 센터 관계자를 사칭한 피싱(Phishing) 메일을 사용했으며, 메일에 첨부된 압축파일 내부에 존재하는 안보 칼럼 문서로 위장한 윈도우 바로가기(LNK) 형식의 악성코드 실행을 유도했다. 최종적으로 실행된 악성코드는 얀덱스(Yandex), 피클라우드(pCloud) 등의 클라우드 서비스를 사용했으며, 정보 수집 및 원격 제어 기능을 수행했다.
SectorA05 그룹의 활동은 한국, 파키스탄, 미국, 홍콩, 영국, 프랑스, 루마니아, 노르웨이, 러시아, 중국에서 발견되었다. 해당 그룹은 강의 의뢰서로 위장한 윈도우 바로가기(LNK) 파일 형식의 악성코드를 사용했으며, 드롭박스(DropBox) API를 통해 추가 악성코드를 다운로드하여 최종적으로 오픈소스 기반의 원격 제어 도구를 사용했다.
SectorA07 그룹의 활동은 러시아, 한국에서 발견되었다. 해당 그룹은 가상 화폐 거래소를 사칭하여 개인 정보 수집 이용 동의서로 위장한 윈도우 바로가기(LNK) 형식의 악성코드 실행을 유도했으며, VBS(Visual Basic Script) 파일 형식의 악성코드와 배치(Batch) 스크립트 악성코드를 사용하여 정보 수집 및 명령 제어에 따른 다양한 기능을 수행했다.
현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.
2. SectorB 그룹 활동 특징
2024년 3월에는 총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB22, SectorB71, SectorB86, SectorB92, SectorB93 그룹이다.
SectorB22 그룹의 활동은 포르투갈, 러시아, 대만에서 발견되었다. 해당 그룹은 감염된 USB 장치를 통해 플러그엑스(PlugX)로 알려진 원격 제어 기능의 악성코드를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 원격 제어 기능의 악성코드를 실행하여 C2서버로부터 전달받은 명령에 따라 다양한 악성 행위를 수행하였다.
SectorB71 그룹의 활동은 티베트, 중국, 말레이시아, 인도, 대만, 홍콩, 오스트레일리아, 미국에서 발견되었다. 해당 그룹은 티베트 불교 축제인 몬람(Monlam) 축제에 대한 국제적인 관심을 이용해 특정 몬란 축제 웹사이트 방문 시 티베트인을 대상으로 윈도우 및 맥OS(macOS)용 악성 드로퍼(Dropper)를 배포하는 워터링 홀(Watering hole) 공격 활동을 하였으며, 공격 대상 시스템에서 원격 제어 기능의 악성코드를 실행하여 C2 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 수행하였다.
SectorB86 그룹의 활동은 한국, 슬로바키아, 중국, 인도, 미국에서 발견되었다. 해당 그룹은 정부 및 기관, 에너지, 금융 산업 등을 대상으로 이반티 커넥트 시큐어(Ivanti Connect Secure) 및 폴리시 시큐어(Policy Secure) 솔루션의 취약점을 악용 후 악성 스크립트를 배포하는 공격 활동을 하였으며, 공격 대상 시스템에서 암호화폐(Cryptocurrency) 채굴 악성코드를 다운로드 받아 실행하였다.
SectorB92 그룹의 활동은 이집트, 파키스탄, 대만, 프랑스, 스위스, 그리스, 마카오, 한국, 알제리, 미국, 중국, 영국, 태국, 싱가포르, 인도, 홍콩, 남아프리카, 일본에서 발견되었다. 해당 그룹은 정부 및 기관을 대상으로 인터넷에 공개된 서버의 취약점을 악용하여 악의적인 액세스를 하였으며, 다양한 악성코드를 배포하였다.
SectorB93 그룹의 활동은 미국에서 발견되었다. 해당 그룹은 방위산업을 대상으로 이반티 커넥트 시큐어(Ivanti Connect Secure) 솔루션의 취약점을 악용하여 악성코드를 배포하는 공격 활동을 하였다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
2024년 3월에는 총 3개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC04, SectorC08 그룹이다.
SectorC01 그룹의 활동은 미국, 이스라엘, 프랑스, 독일, 우크라이나, 스웨덴, 벨기에, 브라질, 라트비아, 리투아니아, 노르웨이, 폴란드, 한국, 영국, 체코, 이탈리아, 요르단, 몬테네그로, 슬로바키아, 튀르키예, 아랍에미리트, 스페인에서 발견되었다. 해당 그룹은 취약한 보안 설정을 가진 라우터 장비를 대상으로 오픈SSH(OpenSSH)을 변조한 악성코드를 설치하여 원격 제어가 가능한 상태로 만들었으며, 자격증명 수집 및 악성코드 배포 등 추가적인 사이버 공격 활동을 위한 발판으로 활용했다.
SectorC04 그룹의 활동은 라트비아에서 발견되었다. 해당 그룹은 와인 시음 행사에 외교관을 초대하는 내용의 어도비(Adobe) PDF 문서를 사용했으며, 최종적으로 정보 수집 및 원격 제어 기능을 수행하는 악성코드를 사용했다.
SectorC08 그룹의 활동은 러시아, 우크라이나에서 발견되었다. 해당 그룹은 헌병대 관련 내용의 문서로 위장한 PE(Portable Executable) 형식의 악성코드를 사용했으며, 최종적으로 원격 제어 도구인 울트라 VNC(UltraVNC)를 사용하여 정보탈취를 시도했다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.
4. SectorD 그룹 활동 특징
2024년 3월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD15 그룹이다.
SectorD15 그룹의 활동은 독일, 아랍에미리트, 인도, 이스라엘, 이란, 루마니아, 튀르키예, 알바니아에서 발견되었다. 해당 그룹은 중동 국가의 항공우주 및 방위 산업군을 대상으로 가짜 채용 제안 테마(Thema)와 이스라엘-하마스 전쟁 테마를 사용했으며, 피싱(Phishing) 웹 사이트를 통한 자격 증명 수집과 정보 수집 및 원격 제어 기능을 수행하는 악성코드를 사용했다.
SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.
5. SectorE 그룹 활동 특징
2024년 3월에는 총 3개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE04, SectorE05 그룹이다.
SectorE01 그룹의 활동은 파키스탄에서 발견되었다. 해당 그룹은 어도비(Adobe) PDF 문서를 여는데 필요한 암호 정보를 포함한 문서로 위장한 윈도우 바로가기(LNK) 파일을 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 고 언어(Go lang)로 작성된 악성코드를 다운로드 받아 실행하였다.
SectorE04 그룹의 활동은 캐나다, 중국, 스리랑카, 몰디브에서 발견되었다. 해당 그룹은 특사 연설(Special Envoy Speech)로 위장한 윈도우 바로가기(LNK) 파일 또는 직원 가이드 문서로 위장한 MS 워드(Word) 문서를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 악성코드를 실행하여 C2 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 수행하였다.
SectorE05 그룹의 활동은 파키스탄, 홍콩에서 발견되었다. 해당 그룹은 이력서 양식으로 위장한 MS 워드(Word) 문서를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 악성코드를 실행하여 작업 스케줄러에 등록한 curl 명령을 통해서 사용자명, 컴퓨터명을 C2 서버로 전송한 다음 추가 악성코드를 다운로드 받아 실행하도록 하여 추후 공격을 위한 발판을 마련하였다.
현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.
6. Cyber Crime 그룹 활동 특징
2024년 3월에는 총 17개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ21, SectorJ25, SectorJ40, SectorJ45, SectorJ64, SectorJ74, SectorJ85, SectorJ94, SectorJ110, SectorJ113, SectorJ146, SectorJ147, SectorJ148, SectorJ150, SectorJ153, SectorJ154, SectorJ155 그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ21 그룹의 활동은 슬로베니아에서 발견되었다. 해당 그룹은 프로그램 호환성 관리자 설정 서비스(Program Compatibility Assistant Service, pcalua.exe)를 악용하였다. 해당 그룹은 악성코드가 지속적으로 동작하도록 작업 스케줄러를 생성하였으며, C2 서버로부터 추가 악성코드를 다운로드 받아 실행하도록 하여 추후 공격을 위한 발판을 마련하였다.
SectorJ25 그룹의 활동은 브라질, 영국, 프랑스에서 발견되었다. 해당 그룹은 아틀라시안 컨플루언스 센터 및 데이터 센터(Atlassian Confluence Server and Data Center) 원격 코드 실행(Remote Code Execution, RCE) 취약점(CVE-2022-26134)을 악용하여 암호화폐(Cryptocurrency)를 채굴하는 크립토재커(Cryptojacker)를 유포하였다.
SectorJ40 그룹의 활동은 프랑스에서 발견되었다. 해당 그룹은 윈도우 시스템 기본 파일 중 하나인 DeviceEnroller.exe를 대상으로 DLL 사이드 로딩(DLL Side loading) 공격을 수행하였으며 이를 통해 드리덱스(Dridex) 악성코드를 유포했다.
SectorJ45 그룹의 활동은 영국, 인도에서 발견되었다. 해당 그룹은 송장 내용으로 위장한 스피어 피싱(Spear Phishing) 이메일을 통해 악성 VBA(Visual Basic for Applications) 스크립트가 삽입된 MS 워드(Word) 파일을 유포하였다.
SectorJ64 그룹의 활동은 미국, 이란, 콜롬비아, 한국에서 발견되었다. 해당 그룹은 암호화폐(Cryptocurrency)를 채굴하는 크립토재커(Cryptojacker)를 유포했다.
SectorJ74 그룹의 활동은 독일, 미국, 사우디아라비아, 스페인, 이탈리아, 체코공화국, 한국에서 발견되었다. 해당 그룹은 호텔 예약 환불 내용으로 위장한 스피어 피싱(Spear Phishing) 메일을 통해 악성 자바스크립트(JavaScript)를 다운로드하는 어도비(Adobe) PDF 파일을 유포하였다.
SectorJ85 그룹의 활동은 미국, 캐나다, 태국에서 발견되었다. 해당 그룹은 특정 기업 도메인과 유사한 피싱 웹사이트를 구축하여, 타이포스쿼팅(Typosquatting) 공격을 통해 기업과 관련된 사용자들의 자격 증명을 수집하였다.
SectorJ94 그룹의 활동은 뉴질랜드, 독일, 미국, 우크라이나, 이탈리아, 일본, 체코공화국, 캐나다, 한국에서 발견되었다. 해당 그룹은 스피어 피싱(Spear Phishing) 메일을 통해 HTML 파일을 압축한 ZIP 압축 파일을 유포했으며, HTML 파일을 통해 공격 시스템의 NTLM 해시(NT LAN Manager Hash) 정보를 외부 SMB(Server Message Block) 서버로 수집하였다.
SectorJ110 그룹의 활동은 미국, 우크라이나, 체코공화국에서 발견되었다. 해당 그룹은 송장과 관련된 내용으로 위장한 피싱(Phishing) 메일을 통해 악성 파워쉘(PowerShell) 스크립트가 포함된 MS 워드(Word) 파일을 유포하였다.
SectorJ113 그룹의 활동은 대만, 독일, 미국, 우크라이나, 인도, 콜롬비아에서 발견되었다. 해당 그룹은 금전적인 이윤을 확보하기 위해 RA 그룹 랜섬웨어(RA Group Ransomware)를 유포하였다.
SectorJ146 그룹의 활동은 네덜란드, 미국, 러시아, 베트남에서 발견되었다. 해당 그룹은 범죄 수사 관련 자료로 위장한 피싱(Phishing) 메일에 악성코드를 첨부하여 공격 대상이 실행하도록 유도했다.
SectorJ147 그룹은 투자 플랫폼으로 위장한 피싱 사이트를 통해 사용자가 입력한 개인 정보를 탈취한 것으로 확인된다.
SectorJ148 그룹의 활동은 미국에서 발견되었다. 해당 그룹은 입찰 제안과 관련된 내용으로 위장한 어도비(Adobe) PDF 문서에 피싱 사이트로 연결되는 QR 코드(Quick Response Code) 이미지를 첨부하여, 공격 대상이 피싱 사이트에 입력한 자격 증명을 수집한 것으로 확인된다.
SectorJ150 그룹의 활동은 네덜란드, 독일, 미국, 스페인, 싱가포르, 아일랜드, 영국, 캐나다, 태국에서 발견되었다. 해당 그룹은 이반티 커넥트 시큐어(Ivanti Connect Secure) 및 폴리시 시큐어(Policy Secure) 취약점을 통해 백도어(Backdoor) 악성코드를 유포한 것으로 확인된다.
SectorJ153 그룹은 젯브레인즈 팀시티(JetBrains TeamCity) 취약점(CVE-2023-42793, CVE-2024-21798)을 통해 백도어 기능을 수행하는 파워쉘(PowerShell) 스크립트를 유포한 것으로 확인된다.
SectorJ154 그룹의 활동은 러시아에서 발견되었다. 해당 그룹은 건설 회사를 사칭한 피싱 메일을 통해 공격 대상 시스템의 시스템 정보, 스크린샷 등을 탈취하는 스틸러(Stealer) 악성코드를 배포했다.
SectorJ155 그룹의 활동은 러시아에서 발견되었다. 해당 그룹은 피싱(Phishing) 메일을 통해 어도비(Adobe) PDF 파일로 위장한 배치(Batch) 스크립트 파일을 압축하여 유포하였으며, WinRAR 취약점 (CVE-2023-38831)을 통해 악성코드를 실행하여 원격으로 공격 대상 시스템을 제어하고 데이터를 탈취하여 텔레그램(Telegram) 메신저로 전송하였다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.