Monthly Threat Actor Group Intelligence Report, April 2024 (KOR)
2024년 3월 21일에서 2024년 4월 20일까지 NSHC ThreatRecon팀에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.
이번 4월에는 총 29개의 해킹 그룹들의 활동이 확인되었으며, SectorJ 그룹이 34%로 가장 많았으며, SectorB와 SectorC 그룹의 활동이 그 뒤를 이었다.
이번 4월에 발견된 해킹 그룹들의 해킹 활동은 연구 기관과 정부 기관에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 유럽(Europe)과 북아메리카(North America)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.
1. SectorA 그룹 활동 특징
2024년 4월에는 총 3개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA05, SectorA07 그룹이다.
SectorA01 그룹의 활동은 인도, 방글라데시, 싱가포르, 헝가리에서 발견되었다. 해당 그룹은 채용 관련 직무기술서로 위장한 윈도우 바로가기(LNK) 파일 형식의 악성코드를 사용하여 채용에 관심있는 사람들이 해당 악성코드를 실행하도록 유도했다. 최종적으로 실행되는 악성코드의 주요 기능은 시스템 정보를 전송하고 레지스트리 등록을 통해 지속성을 확보하며, 공격자가 전달하는 악의적인 코드를 공격 대상 시스템에서 실행할 수 있다.
SectorA05 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 회의 계획서로 위장한 윈도우 바로가기(LNK) 파일 형식의 악성코드를 사용했으며, 드롭박스(Dropbox) API를 통해 추가 악성코드를 다운로드하여 사용했다.
SectorA07 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 북한 내부 동향 관련 문서로 위장한 윈도우 바로가기(LNK) 파일 형식의 악성코드를 사용했으며, 공격 대상이 악성코드를 실행할 경우 오토잇(AutoIt) 스크립트로 제작된 추가 악성코드를 다운로드 및 실행하여 악의적인 행위를 진행했다.
현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.
2. SectorB 그룹 활동 특징
2024년 4월에는 총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB09, SectorB22, SectorB94, SectorB96, SectorB97 그룹이다.
SectorB09 그룹의 활동은 대만에서 발견되었다. 해당 그룹은 정부, 기술, 연구 등의 조직을 대상으로 로더(Loader) 기능의 악성코드를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 실행된 원격 제어 기능의 악성코드를 통해서 C2 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 수행하였다.
SectorB22 그룹의 활동은 몽골, 미국, 독일에서 발견되었다. 해당 그룹은 플러그엑스(PlugX)로 알려진 원격 제어 기능의 악성코드가 포함된 압축 파일을 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 실행된 원격 제어 기능의 악성코드를 통해서 C2 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 수행하였다. 이외에도 해당 그룹은 이반티 커넥트 시큐어(Ivanti Connect Secure) 및 폴리시 시큐어(Ivanti Policy Secure) 솔루션의 취약점을 악용하여 초기 액세스(Initial Access) 권한을 획득한 다음에 악성코드를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 실행된 악성코드를 통해서 C2 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 수행하였다.
SectorB94 그룹의 활동은 캐나다, 대만, 러시아, 말레이시아, 홍콩, 미국, 중국, 영국에서 발견되었다. 해당 그룹은 정부 및 기관, 연구 및 교육 기관, 비정부기구(nongovernmental organization, NGO) 등의 조직을 대상으로 다양한 취약점을 악용하여 초기 액세스(Initial Access) 권한을 획득한 다음에 악성코드를 배포하는 공격 활동을 하였으며, 공격 대상 시스템에서 실행된 리버스 쉘 백도어(Reverse Shell Backdoor)를 통해서 C2 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 수행하였다.
SectorB96 그룹의 활동은 캐나다, 미국, 독일에서 발견되었다. 해당 그룹은 이반티 커넥트 시큐어(Ivanti Connect Secure) 및 폴리시 시큐어(Ivanti Policy Secure) 솔루션의 취약점을 악용하여 악성코드를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 실행된 고 언어(Go lang)로 개발된 침투 테스트 도구인 슬리버(Sliver)와 백도어(Backdoor) 기능의 악성코드를 통해서 C2 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 수행하였다.
SectorB97 그룹의 활동은 이탈리아에서 발견되었다. 해당 그룹은 이반티 커넥트 시큐어(Ivanti Connect Secure) 및 폴리시 시큐어(Ivanti Policy Secure) 솔루션의 취약점을 악용하여 악성코드를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 실행된 백도어(Backdoor) 기능의 악성코드는 시큐어 쉘(Secure Shell, SSH) 서버를 구성하여 C2 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 수행하였다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
2024년 4월에는 총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC04, SectorC05, SectorC08, SectorC13 그룹이다.
SectorC01 그룹은 iOS 장치를 대상으로 데이터 수집 및 원격 제어를 위한 iOS 악성코드를 사용했다.
SectorC04 그룹의 활동은 우크라이나, 독일, 체코, 인도, 이탈리아, 라트비아, 페루, 덴마크에서 발견되었다. 해당 그룹은 독일의 주요 정당인 기독민주연합(Christlich Demokratische Union, CDU)을 사칭하여 만찬에 초대하는 내용의 어도비(Adobe) PDF 문서를 사용했으며, 최종적으로 정보 수집 및 원격 제어 기능을 수행하는 악성코드를 사용했다.
SectorC05 그룹의 활동은 우크라이나, 프랑스, 한국, 영국, 미국에서 발견되었다. 해당 그룹은 국가 기반 시설들의 혼란을 야기할 수 있는 시스템 파괴 목적을 가진 ELF 악성코드를 사용했다.
SectorC08 그룹의 활동은 폴란드, 우크라이나에서 발견되었다. 해당 그룹은 경찰청 관련 문서로 위장한 MS 워드(Word) 형식의 악성코드를 사용하여 공격 대상이 직접 악성코드를 실행하도록 유도했다.
SectorC13 그룹의 활동은 우크라이나, 러시아, 벨라루스에서 발견되었다. 해당 그룹은 정부 기관 관련 문서로 위장한 MS 워드(Word) 형식의 악성코드를 사용하여 공격 대상이 직접 악성코드를 실행하도록 유도했다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.
4. SectorD 그룹 활동 특징
2024년 4월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD02, SectorD12 그룹이다.
SectorD02 그룹의 활동은 이스라엘, 루마니아, 터키, 캐나다에서 발견되었다. 해당 그룹은 웹 세미나 초대 문서로 위장한 링크가 포함된 피싱(Phishing) 메일을 사용했으며, 최종적으로 원격제어 도구인 아테라(Atera)를 통해 공격 대상 시스템에 대한 원격 제어를 시도했다.
SectorD12 그룹의 활동은 미국에서 발견되었다. 해당 그룹은 항공우주 및 방위 산업의 구직자들을 대상으로 피싱(Phishing) 공격을 수행하고, 인사 관리 소프트웨어로 위장한 악성코드를 공격 대상이 직접 실행하도록 유도했다.
SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.
5. SectorE 그룹 활동 특징
2024년 4월에는 총 3개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE04 그룹이다.
SectorE01 그룹의 활동은 미국에서 발견되었다. 해당 그룹은 이슬람의 경전인 코란(Koran)으로 위장한 윈도우 바로가기(LNK) 파일을 포함한 RAR 압축 파일을 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 실행된 고 언어(Go lang)로 작성된 악성코드를 통해서 C2 서버로부터 전달받은 명령에 따라 시스템 정보 탈취 및 화면 캡쳐 등의 다양한 악성 행위를 수행하였다.
SectorE02 그룹의 활동은 터키, 파키스탄에서 발견되었다. 해당 그룹은 특별 규정으로 위장한 MS 워드(Word) 문서를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 실행된 악성 DLL 파일을 통해서 추가 악성코드를 다운로드 받아 실행하도록 하여 추후 공격을 위한 발판을 마련하였다.
SectorE04 그룹의 활동은 스리랑카, 영국, 파키스탄, 미국, 이란, 아랍에미리트에서 발견되었다. 해당 그룹은 스리랑카 국방부 대상으로 분산형 예산 프로그램 양식으로 위장한 MS 워드(Word) 문서를 다운로드 받아 실행하도록 안내하는 스피어 피싱(Spear Phishing) 이메일을 발송하여 공격 활동을 하였으며, 공격 대상 시스템에서 실행된 악성 워드 문서를 통해서 원격 템플릿(Remote Template) 문서 파일을 다운로드 받아 실행하도록 하여 추후 공격을 위한 발판을 마련하였다. 이외에도 인텔 무선 디스플레이 프로그램으로 위장한 악성코드를 포함한 윈도우 디스크 이미지(ISO) 파일을 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 실행된 악성 DLL 파일을 통해서 컴퓨터 이름, 사용자의 개인 폴더 경로, C 드라이브 볼륨 일련 번호를 수집하여 C2 서버로 전송한 다음 C2 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 수행하였다.
현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.
6. SectorH 그룹 활동 특징
2024년 4월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.
SectorH03 그룹의 활동은 아랍에미리트, 인도에서 발견되었다. 해당 그룹은 이력서로 위장한 문서를 포함하는 RAR 실행 압축 파일을 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 실행된 악성 EXE 파일을 통해서 C2 서버로부터 추가 악성코드를 다운로드 받아 실행하도록 하여 추후 공격을 위한 발판을 마련하였다. 이외에도 해당 그룹은 분석 기반 카드로 위장한 RAR 압축 파일을 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 실행된 크림슨RAT(CrimsonRAT) 원격 제어 악성코드를 통해서 C2서버로부터 전달받은 명령에 따라 다양한 악성 행위를 수행하였다.
SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.
7. Cyber Crime 그룹 활동 특징
온라인 가상 공간에서 활동하는 사이버 범죄 그룹은 이번 4 월에는 총 10개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ09, SectorJ16, SectorJ61, SectorJ72, SectorJ94, SectorJ149, SectorJ160, SectorJ172, SectorJ174, SectorJ175 그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ09 그룹은 웹사이트에 난독화(Obfuscated) 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자 이름, 신용 카드 정보 등의 정보를 수집했다.
SectorJ16 그룹의 활동은 독일, 미국, 스위스, 오스트리아에서 발견되었다. 해당 그룹은 소매 업체를 사칭한 송장 관련 피싱 메일을 발송하였으며, 공격 대상이 윈도우 바로가기 파일(LNK)을 실행하면 스틸러(Stealer) 악성코드를 다운로드하는 기능을 수행하는 파워쉘(PowerShell) 명령어가 실행된다. 이들은 스틸러(Stealer) 악성코드를 통해 공격 대상 시스템으로부터 데이터를 탈취한 다음 C2 서버로 전송했다.
SectorJ61 그룹의 활동은 과테말라, 그리스, 네덜란드, 대만, 도미니카 공화국, 독일, 리투아니아, 라트비아, 러시아, 루마니아, 마케도니아, 멕시코, 모로코, 미국, 베트남, 불가리아, 브라질, 사이프러스, 세르비아, 스웨덴, 스위스, 스페인, 슬로바키아, 싱가포르, 아르헨티나, 아일랜드, 에콰도르, 영국, 요르단, 우루과이, 우크라이나, 이탈리아, 인도, 인도네시아, 중국, 체코 공화국, 칠레, 카자흐스탄, 캐나다, 코스타리카, 콜롬비아, 키르기스스탄, 태국, 터키, 파키스탄, 페루, 폴란드, 프랑스, 한국에서 발견되었다. 해당 그룹은 견적서로 위장한 악성 문서(RTF) 파일을 피싱 메일을 통해 유포했다. 해당 문서 파일에는 악성 매크로(Macro)가 삽입 되어있으며, 공격 대상이 해당 문서 파일을 열면 외부 다운로드 서버로부터 원격 제어 도구(Remote Access Tool, RAT)를 다운받게 되며 공격 대상으로부터 탈취한 데이터를 FTP 프로토콜을 통해 C2 서버로 전송했다.
SectorJ72 그룹의 활동은 미국, 에콰도르, 한국에서 발견되었다. 해당 그룹은 윈도우 바로가기(LNK) 파일을 통해 윈도우 인스톨러(msiexec)를 실행하였으며, 공격 대상이 윈도우 바로가기(LNK) 파일을 실행하면 공격 대상 시스템의 정보가 C2 서버로 전송되었다.
SectorJ94 그룹의 활동은 독일, 미국, 오스트리아, 이탈리아, 캐나다, 프랑스, 홍콩에서 발견되었다. 해당 그룹은 피싱 메일을 통해 MS 엑셀(Excel) 파일을 유포했으며, 공격 대상이 악성 자바스크립트(JavaScript)를 다운로드 하는 하이퍼링크를 클릭하도록 유도했다. 해당 자바스크립트는 이미지 파일로 위장한 스틸러(Stealer) DLL 파일을 추가적으로 다운로드 및 실행하였으며, 공격 대상 시스템으로부터 수집한 데이터를 C2 서버로 전송했다.
SectorJ149 그룹의 활동은 러시아, 슬로바키아, 우크라이나에서 발견되었다. 해당 그룹은 윈도우 바로가기(LNK) 파일을 활용했으며, 공격 대상이 윈도우 바로가기(LNK) 파일을 실행하면, 다운로드 서버로부터 실행 파일을 다운로드하는 파워쉘(PowerShell) 명령어가 실행된다. 다운로드 된 실행 파일은 오픈소스 기반의 원격 제어 도구(Remote Access Tool, RAT)로, 해당 그룹은 원격 제어 도구를 활용하여 C2 서버에서 전달한 명령어를 통해 키로깅(Keylogging), 화면 캡쳐, 클립보드(Clipboard) 데이터 수집 등 악성 행위를 수행하고자 한 것으로 확인된다.
SectorJ160 그룹은 중간자 공격(Adversary-in-The-Middle, AiTM) 기술을 기반으로 한 피싱 키트(Phishing Kit)를 판매했다. 해당 그룹이 판매한 피싱 키트(Phishing Kit)는 메일 본문이나 첨부 파일에 피싱 페이지로 리디렉션(Redirection) 되는 URL 또는 QR(Quick Response) 코드를 첨부하는 방법으로 동작하게 되며, 봇(Bot) 트래픽(Traffic) 탐지로부터 보호하기 위해 클라우드플레어 캡챠(Cloudflare Captcha) 페이지를 활용한 것으로 확인된다. 공격 대상이 캡챠(Captcha) 인증을 통과하면 마이크로소프트(Microsoft) 인증 페이지로 위장한 피싱 페이지로 이동하게 되며, 공격 대상이 피싱 페이지에 입력한 이메일 주소, 비밀번호, 2단계 인증(Two-factor authentication, 2FA) 코드를 C2 서버로 전송했다.
SectorJ172 그룹의 활동은 네덜란드, 미국, 방글라데시, 베트남, 스페인, 인도, 인도네시아, 중국, 파키스탄, 한국에서 발견되었다. 해당 그룹은 소셜 네트워크(Social Network) 계정을 탈취하기 위해 윈도우 바로가기(LNK) 파일을 사용했으며, 공격 대상이 이를 실행하면 외부 다운로드 서버로부터 악성 HTML 애플리케이션(HTML Application, HTA) 파일을 다운로드하는 파워쉘(PowerShell) 명령어가 실행된다. 다운로드 된 악성코드는 윈도우 프린터 하위 시스템 어플리케이션(Spoolsv.exe)로 위장한 PE 형태의 악성코드가 추가적으로 다운로드 및 실행되며, 실행된 악성코드는 공격 대상 시스템으로부터 탈취한 데이터를 텔레그램(Telegram)으로 전송한 것으로 확인된다.
SectorJ174 그룹은 금전적인 이윤을 확보하기 위해 고스트 라커 랜섬웨어(Ghost Locker Ransomware)를 사용했으며, 해당 그룹은 랜섬웨어(Ransomware)에 감염된 공격 대상 시스템 정보를 C2 서버로 전달했다.
SectorJ175 그룹의 활동은 러시아, 미국, 아르메니아, 에콰도르, 한국에서 발견되었다. 해당 그룹은 금전적인 이윤을 확보하기 위해 드래곤포스 랜섬웨어(Dragonforce Ransomware)를 사용했으며, 이메일 주소와 톡스(Tox)를 통해 공격 대상이 연락할 수 있도록 랜섬노트(RansomNote)를 공격 대상 시스템에 남겼다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.