Monthly Threat Actor Group Intelligence Report, July 2024 (KOR)
2024년 6월 21일에서 2024년 7월 20일까지 NSHC 위협분석 연구소(Threat Research Lab)에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.
이번 7월에는 총 30개의 해킹 그룹들의 활동이 확인되었으며, SectorJ 그룹이 37%로 가장 많았으며, SectorB, SectorA 그룹의 활동이 그 뒤를 이었다.
이번 7월에 발견된 해킹 그룹들의 해킹 활동은 상업 시설 및 금융 분야에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 유럽(Europe)과 남아시아(South Asia)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.
1. SectorA 그룹 활동 특징
2024년 7월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA04, SectorA05, SectorA07 그룹이다.
SectorA01 그룹의 활동은 프랑스, 파키스탄, 말레이시아, 대만, 스페인, 미국, 인도, 필리핀, 한국, 베트남, 모로코, 브라질, 이스라엘, 보스니아 헤르체고비나에서 발견되었다. 해당 그룹은 채용 담당자로 위장하여 채용 테스트 및 소스코드 리뷰 테스트 등의 파일명으로 위장한 압축 파일을 사용했으며, 압축 파일 내부의 악의적인 목적의 스크립트 실행을 유도했다.
SectorA04 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 파일 배포 기능을 통해 악성코드를 배포하기 위해 기업의 중앙 집중형 관리 솔루션을 주요 목표로 삼았으며, 중앙 집중형 관리 솔루션의 제어권을 탈취하기 위해 취약점을 악용했다.
SectorA05 그룹의 활동은 한국, 독일에서 발견되었다. 해당 그룹은 강연 의뢰서로 위장한 윈도우 바로가기(LNK) 파일 형식의 악성코드를 사용했으며, 드롭박스(Dropbox) API를 통해 추가 악성코드를 다운로드하여 파일리스(Fileless) 방식으로 실행하는 방법을 사용했다.
SectorA07 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 부가가치세 수정신고 안내서로 위장한 윈도우 바로가기(LNK) 파일 형식의 악성코드를 사용했으며, 공격 대상이 악성코드를 실행할 경우 최종적으로 비주얼 베이직 스크립트(Visual Basic Script)와 배치(Batch) 스크립트 형식의 악성 코드가 동작하여 정보 수집 및 추가 악성코드를 다운로드 및 실행한다.
현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.
2. SectorB 그룹 활동 특징
2024년 7월에는 총 7개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB01, SectorB07, SectorB10, SectorB17, SectorB28, SectorB38, SectorB101 그룹이다.
SectorB01 그룹의 활동은 미국, 루마니아, 태국, 이탈리아, 스페인, 터키, 영국, 대만에서 발견되었다. 해당 그룹은 공격 대상 시스템에 악성코드 로더(Loader)를 배포하여 명령 및 제어 통신을 위해 구글 드라이브(Google Drive)를 악용한 백도어를 설치하는 공격 활동을 하였으며, 공격 대상 시스템에서 명령 및 제어 통신을 위해 구글 드라이브를 악용하여 전달받은 명령에 따라 컴퓨터 이름, 사용자 이름, OS 버전 등의 정보 수집과 명령줄 명령(Command line commands) 실행 등의 악성 행위를 하였다.
SectorB07 그룹의 활동은 오스트레일리아에서 발견되었다. 해당 그룹은 오스트레일리아의 정부 기관 및 기업을 대상으로 인터넷에 노출된 인프라의 취약점을 악용하는 공격 활동을 하였으며, 초기 액세스(Initial Access) 권한을 얻은 다음 유효한 자격 증명(Credential)을 얻고 웹 쉘(Web Shell)과 악성 인프라에 연결하기 위해 오픈 소스 도구인 시큐어 소켓 퍼널링(Secure Socket Funneling)을 사용하였다.
SectorB10 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 한국 대학교의 취업률 통계 자료로 위장한 윈도우 도움말(CHM) 파일을 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 최종적으로 설치된 악성코드를 통해 cmd.exe 명령을 통한 악성 파일을 실행하도록 하여 추후 공격을 위한 발판을 마련하였다.
SectorB17 그룹의 활동은 이탈리아에서 발견되었다. 해당 그룹은 스카이프 웹 앱(Skype Web App)을 통해 회의에 참여하는 방법을 설명하는 마이크로소프트 워드(Word) 문서를 배포하여 공격 활동을 하였으며, 해당 워드 문서 본문에서 스카이프 웹 앱을 통해 회의에 참여하는 방법을 설명하면서 스카이프 웹 앱으로 가장한 악성 윈도우 인스톨러(MSI) 파일을 다운로드 받도록 유도하였다. 해당 그룹은 공격 대상 시스템에서 최종적으로 설치된 원격 제어 기능의 악성코드를 통해서 명령 및 제어 서버로부터 전달받은 명령에 따라 화면 캡쳐(Screen Capture), 프로그램 실행, 파일 탐색, 프로세스 관리 등의 악성 행위를 수행하였다.
SectorB28 그룹은 쉐도우패드(ShadowPad) 빌더(Builder)를 사용하여 악성코드를 생성 및 배포하였다.
SectorB38 그룹의 활동은 베트남에서 발견되었다. 해당 그룹은 베트남 공산당 중앙 기관의 통신사에서 발송된 공문으로 위장한 마이크로소프트 워드(Word) 문서를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 원격 템플릿(Remote Template) 문서 파일을 다운로드 받아 실행하도록 하였다. 해당 그룹은 공격 대상 시스템에서 최종적으로 로열클라이언트(RoyalCli)로 알려진 백도어(Backdoor)를 다운로드 받아 설치하여 외부 서버로부터 악성코드를 다운로드 받아 실행하도록 하여 추후 공격을 위한 발판을 마련하였다.
SectorB101 그룹의 활동은 앙골라, 러시아, 네덜란드에서 발견되었다. 해당 그룹은 정부 기관을 대상으로 RAR 압축 파일이 첨부된 스피어 피싱(Spear Phishing) 이메일을 배포하여 공격 활동을 하였으며, 공격 대상 시스템에 설치된 악성코드를 통해서 명령 및 제어 서버로부터 전달받은 명령에 따라 시스템 정보 탈취, 파일 다운로드, 임의의 명령 및 바이너리 실행 기능과 같은 악성 행위를 수행하였다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
2024년 7월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC02, SectorC08 그룹이다.
SectorC02 그룹의 활동은 미국, 아일랜드에서 발견되었다. 해당 그룹은 국가 통계 기관의 문서로 위장한 윈도우 바로가기(LNK) 파일 형식의 악성코드를 사용했으며, 최종적으로 공격자 서버의 명령에 따라 추가 악성코드를 다운로드 및 실행하거나, 파워쉘(PowerShell) 명령을 전달받아 실행할 수 있는 악성코드를 사용했다.
SectorC08 그룹의 활동은 미국, 독일, 네덜란드, 러시아, 노르웨이, 우크라이나에서 발견되었다. 해당 그룹은 긴급 특별 공지 문서로 위장한 피싱 메일(Phishing Mail)에 HTML(Hypertext Markup Language) 형식의 악성코드를 첨부하여 공격 대상에게 전달했으며, 피싱 메일에 첨부된 HTML 형식의 악성 코드는 onmousemove 이벤트 속성을 사용하여, 공격 대상이 HTML 화면에서 마우스를 움직일 경우 Base64 형식으로 인코딩(Encoding) 된 자바 스크립트(Java Script)가 디코딩(Decoding) 되어 실행되도록 설계했다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.
4. SectorD 그룹 활동 특징
2024년 7월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD02 그룹이다.
SectorD02 그룹의 활동은 요르단, 이스라엘, 터키, 사우디 아라비아, 인도, 포르투갈, 폴란드, 독일, 싱가포르, 네덜란드에서 발견되었다. 해당 그룹은 웹 세미나 자료로 위장한 MSI(Windows Installer) 악성코드를 사용했으며, 최종적으로 원격제어 도구인 아테라(Atera)를 통해 공격 대상 시스템 원격 제어를 시도했다.
SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.
5. SectorE 그룹 활동 특징
2024년 7월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE04, SectorE05, SectorE06 그룹이다.
SectorE01 그룹의 활동은 부탄, 미국에서 발견되었다. 해당 그룹은 자금 조달(Funding) 제안 문서로 위장한 윈도우 바로가기(LNK) 파일을 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 최종적으로 침투 테스트(Penetration Testing) 도구인 브루트 라텔(Brute Ratel)과 고(Golang) 언어로 작성된 백도어(Backdoor)를 설치하였다.
SectorE04 그룹의 활동은 파키스탄, 영국에서 발견되었다. 해당 그룹은 직원 목록으로 위장한 마이크로소프트 엑셀 문서를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 해당 문서를 열면 외부 서버로부터 악성코드를 다운로드 받아 실행하도록 하여 추후 공격을 위한 발판을 마련하였다.
SectorE05 그룹의 활동은 파키스탄, 미국, 중국에서 발견되었다. 해당 그룹은 캠스캐너(CamScanner)라는 파일명을 사용한 윈도우 도움말(CHM) 파일을 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 해당 윈도우 도움말 파일을 열면 컴퓨터명과 사용자명을 명령 및 제어 서버에 전달한 다음 악성코드를 다운로드 받아 실행하도록 하여 추후 공격을 위한 발판을 마련하였다.
SectorE06 그룹의 활동은 방글라데시, 중국에서 발견되었다. 해당 그룹은 제안(Proposal)이라는 파일명을 사용한 윈도우 도움말(CHM) 파일을 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 해당 윈도우 도움말 파일을 열면 컴퓨터명과 사용자명을 명령 및 제어 서버에 전달한 다음 파워쉘(PowerShell) 악성코드를 다운로드 받아 실행하도록 하여 추후 공격을 위한 발판을 마련하였다.
현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.
6. SectorH 그룹 활동 특징
2024년 7월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.
SectorH03 그룹의 활동은 인도, 러시아에서 발견되었다. 해당 그룹은 틱톡(TikTok)으로 위장한 안드로이드(Android) 앱을 배포하여 공격 활동을 하였으며, 공격 대상 단말기에서 안드로이드 앱을 실행하면 명령 및 제어 서버로부터 전달받은 명령에 따라 SMS 메시지, 연락처, 통화 기록과 같은 민감한 정보를 탈취하는 악성 행위를 수행하였다. 이외에도 해당 그룹은 재무 회계 강의로 위장한 마이크로소프트 워드(Word) 문서를 배포하여 공격 활동을 하였으며, 공격 대상 시스템에서 최종적으로 크림슨RAT(Crimson RAT)로 알려진 원격 제어 악성코드를 설치하여 명령 및 제어 서버로부터 전달받은 명령에 따라 시스템 정보 탈취, 키로깅(Keylogging), 화면 캡쳐(Screen Capture) 등의 악성 행위를 한다.
SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.
7. Cyber Crime 그룹 활동 특징
온라인 가상 공간에서 활동하는 사이버 범죄 그룹은 이번 7 월에는 총 11개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ01, SectorJ09, SectorJ64, SectorJ74, SectorJ146, SectorJ149, SectorJ154, SectorJ164, SectorJ168, SectorJ184, SectorJ187 그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ01 그룹의 활동은 네덜란드, 대만, 독일, 러시아, 루마니아, 말레이시아, 미국, 오스트리아, 이탈리아, 인도, 캐나다, 포르투갈, 프랑스, 오스트레일리아에서 발견되었다. 해당 그룹은 피싱 사이트를 통해 마이크로소프트 앱 패키지 파일 (Microsoft App Package File, MSIX)을 유포했으며 공격 대상이 해당 파일을 실행하면 MSIX 파일 내부에 포함된 파워쉘(PowerShell) 스크립트가 동작한다. 파워쉘 스크립트는 외부 서버로부터 공격 대상 시스템에 넷서포트(NetSupport) RAT 악성코드를 다운로드 및 실행했으며, 원격으로 공격 대상 시스템을 제어하여 악의적인 공격 행위를 수행하고자 한 것으로 확인된다.
SectorJ09 그룹은 난독화 된 스키밍(Skimming) 자바스크립트(JavaScript)를 통해 공격 대상이 결제 페이지에 입력한 금융 정보를 탈취하는 폼재킹(Formjacking) 공격을 수행했다.
SectorJ64 그룹의 활동은 이탈리아에서 발견되었다. 해당 그룹은 오라클 웹로직 서버(Oracle WebLogic Server)의 원격 코드 실행 취약점(Remote Code Execution Vulnerability, RCE)을 악용하여 공격 대상 시스템에 ELF(Executable and Linkable Format) 형태의 악성코드를 실행했다. 실행된 ELF 악성코드는 디도스(DDoS) 봇넷(Botnet)과 채굴 악성코드를 다운로드하는 스크립트를 추가적으로 다운로드 했다. 해당 그룹은 최종적으로 공격 대상 시스템에 다운로드 된 디도스 봇넷과 채굴 악성코드를 통해 원격으로 공격 대상 시스템을 제어하고, DDoS 공격을 수행하거나 모네로(Monero) 암호화폐(Cryptocurrency)를 채굴한 것으로 확인된다.
SectorJ74 그룹의 활동은 대만, 독일, 미국, 베트남, 사우디 아라비아, 스페인, 이스라엘, 일본, 태국에서 발견되었다. 해당 그룹은 구매주문서와 관련된 내용으로 위장한 피싱 메일을 통해 인터넷 바로가기 파일(URL)을 유포했다. 공격 대상이 첨부된 인터넷 바로가기 파일을 실행하면 마이크로소프트 윈도우 MSHTML 플랫폼의 스푸핑(Spoofing) 취약점(CVE-2024-38112)로 인해 인터넷 익스플로러(Internet Explorer)를 통해 공격자가 제어하는 URL로 접속하게 되며, 공격 대상이 HTML 애플리케이션(HTML Application HTA) 파일 형태의 추가적인 악성코드를 다운로드하도록 유도했다.
SectorJ146 그룹의 활동은 남아프리카공화국, 독일, 루마니아, 미국, 베트남, 아랍에미리트, 영국, 이스라엘, 인도, 자메이카, 체코공화국, 캐나다, 케냐, 필리핀에서 발견되었다. 해당 그룹은 세금 송장과 관련된 내용으로 위장한 피싱 메일을 통해 배치(Batch) 파일 형식의 스크립트를 포함한 압축 파일을 유포했다. 공격 대상이 배치 스크립트 파일을 실행하게 되면, 배치 스크립트 내부에 포함된 난독화 된 파워쉘(PowerShell) 명령어가 실행된다. 난독화 된 파워쉘 명령어는 공격 대상 시스템에 스틸러(Stealer) 악성코드를 다운로드 및 실행하게 되며, 해당 그룹은 공격 대상 시스템 데이터를 수집하여 이를 C2 서버로 전송한 것으로 확인된다.
SectorJ149 그룹의 활동은 네덜란드, 독일, 미국, 베네수엘라, 브라질, 아르헨티나, 아일랜드, 에스토니아, 우크라이나, 일본, 폴란드, 콜롬비아에서 발견되었다. 해당 그룹은 윈도우 바로가기(LNK) 파일을 포함한 압축 파일을 유포했으며, 공격 대상이 윈도우 바로가기 파일을 실행하도록 유도했다. 공격 대상이 윈도우 바로가기 파일을 실행하면, 파일에 포함된 파워쉘 명령어가 실행되며 외부 서버로부터 압축 파일과 미끼용 문서 파일이 다운로드 된다. 압축 파일에 포함된 DLL 파일은 DLL 사이드 로딩(Side-Loading) 기법을 통해 공격 대상 시스템에서 실행되며, 이를 통해 시스템 데이터 탈취, DDoS 공격, 랜섬웨어 유포 등과 같은 추가적인 악성 행위를 수행했다.
SectorJ154 그룹의 활동은 러시아, 체코 공화국, 태국에서 발견되었다. 해당 그룹은 회계팀에서 보낸 메일인 것처럼 위장한 피싱 메일을 통해 비밀번호가 설정된 압축 파일을 전달했다. 해당 그룹은 PDF 파일로 위장한 EXE 형태의 실행 파일을 공격 대상이 실행하도록 유도했다. 해당 그룹은 원격 제어 악성코드를 통해서 C2 서버로부터 전달받은 명령에 따라 시스템 정보 수집, 화면 캡쳐(Screen Capture), 키로깅(Keylogging) 등의 악성 행위를 수행하였다.
SectorJ164 그룹의 활동은 네덜란드, 몰도바, 미국, 스웨덴, 이탈리아, 캐나다, 키프로스, 터키, 프랑스에서 발견되었다. 해당 그룹은 금전적인 이윤을 확보하기 위해 메두사 랜섬웨어(Medusa Ransomware)를 유포했으며, 랜섬웨어는 시스템에 있는 파일들을 암호화한 이후 랜섬노트(RansomNote)를 생성하여 금전적인 문제를 논의할 수 있는 연락 수단을 전달했다.
SectorJ168 그룹의 활동은 우크라이나, 칠레에서 발견되었다. 해당 그룹은 빔(Veeam) 백업 서버(Backup Server)를 대상으로 아키라 랜섬웨어(Akira Ransomware)를 유포하기 위해 취약점을 활용했다.
SectorJ184 그룹의 활동은 한국, 독일, 미국, 스페인, 러시아, 인도, 중국, 체코 공화국, 캐나다, 터키에서 발견되었다. 해당 그룹은 공격 대상 시스템에 여러 개의 악성코드를 일괄적으로 유포하기 위해 윈도우 캐비닛(Windows Cabinet) 파일을 실행할 때 사용되는 윈도우 프로그램 “Wextract”로 위장한 로더(Loader) 악성코드를 사용했다. 해당 악성코드를 통해 C2 서버로부터 공격 대상 시스템에 봇넷(Botnet) 악성코드, 스틸러(Stealer) 악성코드 등 추가적인 악성코드를 다운로드 및 실행한 것으로 확인된다.
SectorJ187 그룹의 활동은 네덜란드, 독일, 루마니아, 미국, 영국, 중국, 캐나다, 태국, 오스트레일리아에서 발견되었다. 해당 그룹은 깃허브(GitHub)를 통해 인공지능(Artificial Intelligence, AI)와 관련된 파이썬(Python) 스크립트로 위장한 악성코드를 유포했다. 공격 대상이 파이썬 스크립트를 실행하게 되면 공격 대상의 데이터를 수집한 후, 디스코드(Discord) 웹훅(WebHook)으로 수집된 데이터를 전송했다. 또한, 해당 그룹은 자동차 시뮬레이션 게임인 “BeamNG”와 관련된 커뮤니티 포럼을 통해 루아(Lua)로 작성된 악성코드를 포함한 압축 파일을 유포했으며, 해당 루아 악성코드에서 실행되는 파워쉘에서 추가적으로 다운로드 되는 원격 제어 기능의 악성코드를 통해 록빗(Lockbit) 랜섬웨어를 유포한 것으로 확인된다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.