Monthly Threat Actor Group Intelligence Report, May 2024 (KOR)

2024년 4월 21일에서 2024년 5월 20일까지 NSHC 위협분석 연구소(Threat Research Lab)에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.

이번 5월에는 총 25개의 해킹 그룹들의 활동이 확인되었으며, SectorJ 그룹이 32%로 가장 많았으며, SectorA, SectorC 그룹의 활동이 그 뒤를 이었다.

이번 5월에 발견된 해킹 그룹들의 해킹 활동은 정부 기관과 정보 기술(Information Technology, IT) 분야에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 유럽(Europe)과 동아시아(East Asia)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.

1. SectorA 그룹 활동 특징

2024년 5월에는 총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA04, SectorA05, SectorA07 그룹이다.

SectorA01 그룹의 활동은 미국, 폴란드, 한국, 필리핀, 브라질, 러시아, 독일, 우크라이나, 터키, 루마니아, 아제르바이잔, 아르헨티나, 아르메니아, 영국, 일본, 프랑스, 캐나다, 이탈리아, 방글라데시, 파키스탄, 모로코, 싱가포르에서 발견되었다. 해당 그룹은 채용 담당자로 위장하여 링크드인(LinkedIn) 등의 채용 플랫폼에서 소프트웨어 개발자(Software Developer) 및 IT 엔지니어(IT Engineer) 직군의 인력들을 대상으로 채용 인터뷰 및 코드 리뷰 테스트 등을 목적으로 악의적인 목적의 스크립트(Script) 파일을 전달하는 공격 활동을 하였으며, 채용 테스트 및 소스코드 리뷰 테스트 등의 파일명으로 위장한 압축 파일에 감염 시스템의 정보, 키보드 입력 데이터 등의 정보를 탈취하는 악의적인 기능의 악성 스크립트를 포함시켰다.

SectorA02 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 방문자 출입 명단으로 위장한 윈도우 바로가기(LNK) 파일을 활용하여 공격 활동을 하였으며, 공격 대상 시스템에 설치된 악성코드를 통해서 C2 서버로부터 전달받은 명령에 따라 시스템 정보 수집, CMD 명령 실행 등의 악성 행위를 수행하였다.

SectorA04 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 제조 및 건설업, 교육 기관을 대상으로 오픈VPN 클라이언트(OpenVPN Client)로 위장한 악성코드가 포함된 압축 파일을 배포하여 공격 활동을 하였으며, 공격 대상 시스템에 설치된 악성코드를 통해서 C2 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 수행하였다.

SectorA05 그룹의 활동은 한국, 인도, 스위스, 미국, 일본에서 발견되었다. 해당 그룹은 웹 서버를 통해 피싱 이메일을 발송하였으며, 피싱 이메일을 통해 한국의 포털 웹사이트인 네이버의 로그인(Login) 페이지로 위장한 피싱 웹사이트로 이동하도록 유도하여 네이버 이메일 계정과 비밀번호를 탈취하였다. 또한 해당 그룹은 동일한 웹서버를 통해 오픈소스(Open-source) 프로젝트에서 생성된 지노RAT(Xeno RAT)로 알려진 원격 제어 악성코드를 배포하였으며, 공격 대상 시스템에 설치된 지노RAT를 통해서 C2 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 수행하였다.

SectorA07 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 소명자료 목록으로 위장한 윈도우 바로가기 파일(LNK)을 배포하여 공격 활동을 하였으며, 공격 대상 시스템에 설치된 오토잇스크립트(AutoItScript) 파일을 통해서 악성 행위를 하였다.

현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.

2. SectorB 그룹 활동 특징

2024년 5월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB86, SectorB98 그룹이다.

SectorB86 그룹은 VM웨어(VMware) vCenter 서버의 원격 코드 실행(Remote Code Execution, RCE) 취약점(CVE-2021-21972)을 악용하여 확보한 초기 액세스 권한을 통해서 랜섬웨어(Ransomware)를 배포하는 공격 활동을 하였다.

SectorB98 그룹은 중국의 만리방화벽(Great Firewall, GFW)을 악용하여 잘못된 MX 레코드를 포함한 허위 정보를 반환하도록 하여 공격 활동을 하였으며, 이를 통해서 해당 그룹의 공격 활동의 의도와 목적을 숨겼다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

2024년 5월에는 총 3개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC02, SectorC08 그룹이다.

SectorC01 그룹의 활동은 독일, 미국, 벨라루스, 우크라이나, 중국, 체코공화국, 폴란드에서 발견되었다. 해당 그룹은 피싱 메일을 통해 악성 코드가 포함된 압축 파일을 유포했다. 공격 대상이 압축 파일 내 실행 파일을 실행하면, DLL 사이드 로딩(Side-Loading) 기법을 통해 숨겨진 배치 스크립트 파일(Batch Script File, BAT)을 실행하는 DLL 파일을 로드 한다. 해당 배치 스크립트 파일은 최종적으로 C2 서버로 시스템 정보를 전송하는 기능을 수행하는 추가 배치 스크립트 파일을 다운로드 및 실행하게 된다.

SectorC02 그룹의 활동은 슬로바키아에서 발견되었다. 해당 그룹은 외교부를 대상으로 백도어(Backdoor) 형태의 악성코드를 유포하기 위해 스피어 피싱 이메일을 통해 악성 매크로(Macro)가 삽입된 MS 워드(Word) 문서를 전달했다. 해당 워드(Word) 문서 내 VBA(Visual Basic for Applications) 스크립트를 통해 다운로드 된 백도어(Backdoor)는 아웃룩 메시지 API(Outlook Messaging API, MAPI)를 활용하여 C2 서버와 통신을 수행하는 것으로 확인된다.

SectorC08 그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 우크라이나 국가 규제 서비스와 관련된 내용으로 위장한 MS 워드(Word) 문서를 유포했다. 공격 대상이 워드 문서를 실행하면 다운로드 받은 외부 템플릿(Template) 파일을 통해 추가 악성코드를 설치하여 추후 공격을 위한 발판을 마련하였다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

4. SectorD 그룹 활동 특징

2024년 5월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD02, SectorD30 그룹이다.

SectorD02 그룹의 활동은 미국, 싱가포르, 이스라엘, 이집트, 이탈리아, 인도, 터키에서 발견되었다. 해당 그룹은 피싱 메일을 통해 이그나이트(Egnyte) 파일 공유 웹사이트로부터 압축 파일을 다운로드 하도록 유도하였으며, 중동 지역의 골란(Golan) 고원 의회와 관련된 내용으로 위장하여 원격 모니터링 및 관리 솔루션(Remote Monitoring and Management, RMM) 중 하나인 아테라(Atera)를 설치하도록 유도하였다.

SectorD30 그룹의 활동은 미국, 영국, 우크라이나, 이스라엘, 호주에서 발견되었다. 해당 그룹은 추가적인 악성코드를 다운로드할 수 있는 VBS(Visual Basic Script) 파일을 공격 대상 시스템에 유포했다. 공격 대상이 VBS 파일을 실행하면 성평등과 관련된 내용의 어도비(Adobe) PDF 미끼 파일과 함께 윈도우 PE 형태의 추가적인 악성코드를 공격 대상 시스템으로 다운로드한 것으로 확인된다.

SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.

5. SectorE 그룹 활동 특징

2024년 5월에는 총 3개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE02, SectorE04, SectorE05 그룹이다.

SectorE02 그룹의 활동은 파키스탄, 인도, 포르투갈, 독일, 나이지리아, 네덜란드, 캐나다, 터키, 몰도바, 폴란드, 필리핀, 홍콩, 이란에서 발견되었다. 해당 그룹은 채팅 앱으로 위장한 안드로이드(Android) 악성코드를 배포하여 공격 활동을 하였으며, 공격 대상 단말기에 설치된 악성코드를 통해서 연락처 목록, SMS 메시지, 통화 기록, 디바이스 위치, 설치 앱 목록, 특정 확장자의 파일 등의 민감한 정보를 수집하여 C2 서버로 전송하였다.

SectorE04 그룹의 활동은 파키스탄, 중국, 아랍에미리트, 인도에서 발견되었다. 해당 그룹은 최근에 업데이트된 전장 관리 및 분석 센터(Battlefield Management and Analysis Center, BMAC)와 관련된 목록이나 데이터를 포함한 MS 엑셀(Excel) 문서를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에 설치된 악성코드를 통해서 C2 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 수행하였다.

SectorE05 그룹의 활동은 네덜란드, 파키스탄, 일본에서 발견되었다. 해당 그룹은 회의록으로 위장한 악성코드를 포함하는 압축 파일을 배포하여 공격 활동을 하였으며, 공격 대상 시스템에 설치된 악성코드를 통해서 컴퓨터 이름과 사용자 이름을 C2 서버로 전송한 다음 추가 악성코드를 다운로드 받아 실행하도록 하여 추후 공격을 위한 발판을 마련하였다.

현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.

6. SectorF 그룹 활동 특징

2024년 5월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorF01 그룹이다.

SectorF01 그룹의 활동은 중국, 미국, 일본, 싱가포르에서 발견되었다. 해당 그룹은 러스트(Rust) 언어로 작성된 원격 제어 악성코드가 포함된 NSIS(Nullsoft Scriptable Install System) 설치 프로그램으로 패키징 된 파일을 배포하여 공격 활동을 하였으며, 공격 대상 시스템에 설치된 악성코드를 통해서 C2 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 수행하였다.

7. SectorH 그룹 활동 특징

2024년 5월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.

SectorH03 그룹의 활동은 오스트레일리아, 독일, 인도에서 발견되었다. 해당 그룹은 인도 정부를 대상으로 인도 광산안전부(Director General of Mines Safety, DGMS)의 약어인 DGMS 가 포함된 이름의 MS 엑셀(Excel) 문서를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에 설치된 크림슨RAT(CrimsonRAT) 원격 제어 악성코드를 통해서 C2 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 수행하였다.

SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.

8. Cyber Crime 그룹 활동 특징

온라인 가상 공간에서 활동하는 사이버 범죄 그룹은 이번 5 월에는 총 8개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ01, SectorJ06, SectorJ61, SectorJ85, SectorJ146, SectorJ152, SectorJ172, SectorJ177그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ01 그룹의 활동은 미국에서 발견되었다. 해당 그룹은 일반 사용자들이 자주 사용하는 상용 프로그램 공식 홈페이지를 사칭한 피싱 사이트를 통해 MSIX 파일을 유포했다. 공격 대상이 MSIX 파일을 실행하면, 파일 내부에 포함된 파워쉘(PowerShell) 스크립트가 실행되며 최종적으로 넷서포트(NetSupport) RAT를 다운로드 하고 실행한다. 이들은 넷서포트 RAT를 통해 공격 대상 시스템을 원격을 제어하고자 한 것으로 확인된다.

SectorJ06 그룹의 활동은 벨기에, 스위스, 스페인, 영국, 우크라이나, 이탈리아, 한국, 호주, 헝가리에서 발견되었다. 해당 그룹은 스피어 피싱과 취약점을 활용하여 블랙 바스타 랜섬웨어(Black Basta Ransomware)를 유포했다. 해당 그룹은 클라우드 스토리지 파일 전송 프로그램인 Rclone을 통해 원본 데이터를 탈취했다.

SectorJ61 그룹은 템플릿 인젝션(Template Injection) 기법을 활용하여 외부 C2 서버로부터 RTF 파일을 다운로드하는MS 워드(Word) 문서를 배포하였다. 다운로드 된 RTF는 텍스트 공유 사이트 Paste.ee로부터 스테가노그래피(Steganography) 기법을 통해 윈도우 PE 포맷의 악성코드가 은닉된 이미지 파일을 다운로드했다. 이들은 프로세스 할로윙(Process Hollowing) 기법을 통해 최종적으로 공격 대상 시스템에 렘코스(Remcos)로 알려진 악성코드를 실행하여, C2 서버로부터 전달받은 명령에 따라 악성 행위를 수행했다.

SectorJ85 그룹은 실제 기업 및 기관에서 사용 중인 도메인과 유사하게 하여 불특정 다수의 사용자들을 대상으로 사용자의 오타 또는 인지적 실수를 이용하여 이득을 취하는 방식인 타이포스쿼팅(Typosquatting) 공격 기법을 사용했다. 공격 대상이 오타 또는 인지적 실수로 인하여 해당 그룹이 호스팅하고 있는 피싱 사이트로 접근하게 되면 가짜 로그인 페이지를 통해 공격 대상의 계정 정보를 수집하고자 한 것으로 확인된다.

SectorJ146 그룹의 활동은 러시아에서 발견되었다. 해당 그룹은 연방 기관으로 사칭한 피싱 메일을 발송했으며, 공격 대상으로부터 첨부된 압축 파일을 다운로드 및 실행하도록 유도했다. 압축 파일 내부에는 스틸러(Stealer) 악성코드가 포함되어 있었으며, 해당 악성코드를 통해 공격 대상 시스템으로부터 데이터를 탈취한 후 C2 서버로 전송한 것으로 확인된다.

SectorJ152 그룹은 클릭 센스(Qlik Sense) 취약점을 활용하여 캑터스 랜섬웨어(Cactus Ransomware)를 유포했다. 이들은 클라우드 스토리지 파일 전송 프로그램인 Rclone을 통해 공격 대상 시스템의 데이터를 탈취했다.

SectorJ172 그룹의 활동은 나이지리아, 남아프리카공화국, 네덜란드, 노르웨이, 독일, 러시아, 루마니아, 말레이시아, 멕시코, 모로코, 미국, 베트남, 벨기에, 브라질, 사우디 아라비아, 스웨덴, 시리아, 영국, 에콰도르, 이란, 이라크, 이집트, 인도네시아, 일본, 중국, 콜롬비아, 터키, 파키스탄, 폴란드, 프랑스, 필리핀, 한국에서 발견되었다. 해당 그룹은 영화 파일로 위장한 윈도우 바로가기(LNK) 파일을 사용했다. 윈도우 바로가기 파일을 실행하면 내장된 파워쉘(PowerShell) 명령어가 실행되며, 컨텐츠 전송 네트워크(Content Delivery Network, CDN) 도메인을 다운로드 서버로 악용하여 공격 대상 시스템으로 추가 악성코드를 다운로드 했다.

SectorJ177 그룹의 활동은 미국, 캐나다에서 발견되었다. 해당 그룹은 마이크로소프트 팀즈(Microsoft Teams)를 사용하여 공격 대상에게 메시지 및 전화를 하여 퀵 어시스트(Quick Assist)를 통해서 해당 그룹이 원격으로 공격 대상 시스템에 접속할 수 있도록 유도했다. 해당 그룹은 원격으로 공격 대상 시스템에서 추가 악성코드를 다운로드하는 배치 스크립트(Batch Script) 파일을 실행했으며, 최종적으로 PsExec를 활용하여, 공격 대상 시스템과 연결된 다른 네트워크에 블랙 바스타(Black Basta) 랜섬웨어를 유포했다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.