Monthly Threat Actor Group Intelligence Report, August 2024 (KOR)

2024년 7월 21일에서 2024년 8월 20일까지 NSHC 위협분석 연구소(Threat Research Lab)에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.

이번 8월에는 총 29개의 해킹 그룹들의 활동이 확인되었으며, SectorJ 그룹이 41%로 가장 많았으며, SectorA, SectorE 그룹의 활동이 그 뒤를 이었다.

이번 8월에 발견된 해킹 그룹들의 해킹 활동은 금융 및 교육 분야에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 유럽(Europe)과 북아메리카(North America)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.

1. SectorA 그룹 활동 특징

2024년 8월에는 총 6개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA04, SectorA05, SectorA06, SectorA07 그룹이다.

SectorA01 그룹의 활동은 세르비아, 인도, 벨기에, 파키스탄, 자메이카, 튀르키예, 싱가포르, 루마니아, 말레이시아, 핀란드, 이스라엘, 러시아, 캐나다, 미국, 아르헨티나, 오스트레일리아, 중국, 프랑스, 콜롬비아, 슬로베니아, 영국, 에스토니아, 방글라데시, 베트남, 노르웨이, 인도네시아, 일본, 아랍에미리트, 홍콩, 스페인, 크로아티아, 우크라이나, 튀니지, 브라질, 멕시코, 카자흐스탄, 이탈리아, 독일, 필리핀에서 발견되었다. 해당 그룹은 채용 담당자로 위장하여 채용 테스트 및 소스코드 리뷰 테스트 등의 파일명으로 위장한 압축 파일을 사용했으며, 압축 파일 내부의 악의적인 목적의 스크립트 실행을 유도했다.

SectorA02 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 마이크로소프트 윈도우(Microsoft Windows)의 스크립팅 엔진(Scripting Engine)에 존재하는 알려지지 않은 취약점을 악용하는 스크립트(Script) 악성코드를 유포했다.

SectorA04 그룹의 활동은 일본, 미국, 러시아, 한국에서 발견되었다. 해당 그룹은 백신 소프트웨어 관리 시스템에 존재하는 알려지지 않은 취약점을 악용하여, 시스템 및 네트워크 접속 정보 등을 수집하는 기능을 수행하는 악성코드를 유포했다.

SectorA05 그룹의 활동은 한국, 미국, 중국, 오스트레일리아, 몽골, 이탈리아에서 발견되었다. 해당 그룹은 국회 의사일정 공지로 위장한 CHM(Microsoft Compiled HTML Help) 파일 형식의 악성코드를 사용했으며, 최종적으로 정상 소프트웨어를 이용한 DLL 사이드 로딩(DLL side-loading) 기법을 통해서 명령 제어 기능을 수행하는 DLL 악성코드를 실행한다.

SectorA06 그룹의 활동은 프랑스, 아르메니아, 미국, 영국에서 발견되었다. 해당 그룹은 암호화폐와 관련된 맥OS(macOS) 사용자들을 대상으로 비트코인 가격 관련 문서로 위장한 Mach-O 악성코드를 사용했으며, Mach-O 악성코드는 공격용 서버로부터 추가 악성코드를 다운로드 및 실행하는 기능을 수행한다.

SectorA07 그룹의 활동은 한국, 캐나다에서 발견되었다. 해당 그룹은 가상 화폐 관련 프로젝트 정보 업데이트를 요청하는 문서로 위장한 윈도우 바로가기(LNK) 파일 형식의 악성코드를 사용했으며, 공격 대상이 악성코드를 실행할 경우 최종적으로 비주얼 베이직 스크립트(Visual Basic Script)와 배치(Batch) 스크립트 형식의 악성코드가 동작하여 정보 수집 및 추가 악성코드를 다운로드 및 실행한다.

현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.

2. SectorB 그룹 활동 특징

2024년 8월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB01, SectorB22 그룹이다.

SectorB01 그룹의 활동은 독일, 아랍에미리트, 카타르, 조지아, 이탈리아, 대만, 루마니아, 태국에서 발견되었다. 해당 그룹은 고질라(Godzilla)로 알려진 오픈소스(Open-source) 웹 쉘(Web Shell)을 공격 대상 시스템에 배포하였고, 웹 쉘을 통해 백도어를 설치하였다. 해당 그룹은 공격 대상 시스템에 설치한 백도어를 통해 명령 및 제어(C2) 서버로부터 전달받은 명령에 따라 파일 다운로드 및 업로드, 화면 캡쳐(Screen Capture), 레지스트리 작업 등의 악성 행위를 하였다.

SectorB22 그룹의 활동은 미국, 헝가리에서 발견되었다. 해당 그룹은 회의 초대 문서로 위장한 악성 윈도우 인스톨러(MSI) 파일을 배포하여 공격 활동을 하였다. 해당 그룹은 공격 대상 시스템에 설치한 플러그엑스(PlugX)로 알려진 원격 제어 기능의 악성코드를 통해 명령 및 제어(C2) 서버로부터 전달받은 명령에 따라 시스템 정보 수집, 키로깅(Key Logging), 화면 캡쳐(Screen Capture) 등의 악성 행위를 하였다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

2024년 8월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC08 그룹이다.

SectorC01 그룹의 활동은 아르메니아에서 발견되었다. 해당 그룹은 국방부 정책에 대한 내용으로 위장한 문서로 위장한 마이크로소프트 워드(Word) 형식의 악성코드를 사용하여 공격 대상이 직접 악성코드를 실행하도록 유도했으며, 최종적으로 공격용 서버로부터 추가 VBS 스크립트 코드를 받아와 실행하는 VBS 스크립트를 사용했다.

SectorC08 그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 HTML(Hypertext Markup Language) 형식의 악성코드를 사용했으며, 해당 악성 코드는 이미지 로드 오류를 의도적으로 발생시키며, 오류 발생시 실행되는 onerror 함수를 통해 악의적인 목적의  난독화(Obfuscated)된 코드가 동작하도록 설계했다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

4. SectorD 그룹 활동 특징

2024년 8월에는 총 3개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD02, SectorD05, SectorD30 그룹이다.

SectorD02 그룹의 활동은 스웨덴, 미국, 우크라이나, 폴란드, 인도, 이스라엘에서 발견되었다. 해당 그룹은 웹 세미나 자료로 위장한 MSI(Windows Installer) 악성코드를 사용했으며, 최종적으로 상업용 원격제어 도구인 아테라(Atera)를 통해 공격 대상 시스템에 대한 원격 제어를 시도했다.

SectorD05 그룹의 활동은 레바논에서 발견되었다. 해당 그룹은 마이크로소프트 SQL서버 관련 프로그램으로 위장한 Go 언어(Golang) 제작한 악성코드를 사용했으며, 공격용 서버로부터 명령을 전달받아 파일 시스템 조작 및 네트워크를 통한 내부 전파 기능을 수행한다.

SectorD30 그룹의 활동은 미국, 이란, 오스트레일리아, 이스라엘, 영국에서 발견되었다. 해당 그룹은 마이크로소프트 워드(Word) 형식의 악성코드를 사용했으며, 내부에 포함된 매크로에 의해 VBA 스크립트는 배치(Batch) 스크립트 형식의 악성 코드를 다운로드 및 실행하며, 최종적으로 공격 대상 시스템 정보 수집 및 자격 증명 탈취 기능을 가진 PE 악성코드를 사용했다.

SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.

5. SectorE 그룹 활동 특징

2024년 8월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE04, SectorE05 그룹이다.

SectorE01 그룹의 활동은 독일, 영국에서 발견되었다. 해당 그룹은 마이크로소프트 워드(Word) 문서 아이콘으로 위장한 다운로더(Downloader) 악성코드를 배포하여 공격 활동을 하였다. 해당 그룹은 공격 대상 시스템에 설치한 다운로더(Downloader) 악성코드를 통해 화면 캡쳐(Screen Capture) 기능의 악성코드와 파일 수집 기능의 악성코드를 다운로드 받아 화면 캡처와 파일 수집을 통해 시스템 정보를 수집한 후 명령 및 제어(C2) 서버로 전송하는 악성 행위를 하였다.

SectorE02 그룹의 활동은 일본, 중국, 캐나다, 스리랑카에서 발견되었다. 해당 그룹은 기술 혁신 포럼 문서로 위장한 악성 윈도우 바로가기(LNK) 파일을 포함한 ZIP 압축 파일을 배포하여 공격 활동을 하였다. 해당 그룹은 공격 대상 시스템에 설치한 악성 윈도우 바로가기 파일을 통해 다운로드 기능의 악성코드를 다운로드 받아 실행하여 추가 악성코드를 다운로드 받도록 하여 후속 공격을 위한 기반을 마련하였다.

SectorE04 그룹의 활동은 미국, 이집트, 파키스탄, 네덜란드, 스리랑카, 방글라데시, 미얀마, 네팔, 몰디브에서 발견되었다. 해당 그룹은 해양 조직(Maritime organizations)을 대상으로 스피어 피싱 이메일(Spear Phishing email)을 활용한 공격 활동을 하였다. 해당 그룹은 군사 고위 인사의 개인정보가 포함된 마이크로소프트 워드(Word) 문서 첨부 파일을 통해, 공격 대상 시스템의 취약점을 악용하여 악성 페이로드(Payload)를 실행하는 쉘코드(Shellcode)를 동작 시켜 시스템 정보 수집 및 추가 악성코드를 다운로드 받도록 하여 후속 공격을 위한 기반을 마련하였다.

SectorE05 그룹의 활동은 벨기에, 방글라데시, 싱가포르, 파키스탄, 중국, 미국, 홍콩, 이스라엘에서 발견되었다. 해당 그룹은 정책 변경 사항을 검토하도록 요청하는 내용의 어도비(Adobe) PDF 문서를 배포하여 공격 활동을 하였다. 해당 그룹은 공격 대상이 어도비 PDF 문서에 포함된 악성 링크를 클릭하도록 유도하였고, 악성 링크를 통해 다운로드 받은 악성 윈도우 도움말(CHM) 파일을 통해 공격 대상 시스템의 컴퓨터명과 사용자명을 수집하여 명령 및 제어(C2) 서버로 전송하였고, 추가 악성코드를 다운로드 받아 실행하도록 하여 후속 공격을 위한 기반을 마련하였다.

현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.

6. SectorT 그룹 활동 특징

2024년 8월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorT01 그룹이다.

SectorT01 그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 세금 신고서로 위장한 마이크로소프트 엑셀(Excel) 파일 형식의 악성코드를 사용하여 공격 대상이 스스로 악성코드를 실행하도록 유도했다.

현재까지 지속되는 SectorT 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가들에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다.

7. Cyber Crime 그룹 활동 특징

온라인 가상 공간에서 활동하는 사이버 범죄 그룹은 이번 8 월에는 총 11개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ01, SectorJ09, SectorJ22, SectorJ57, SectorJ61, SectorJ64, SectorJ94, SectorJ113, SectorJ177, SectorJ185, SectorJ188 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ01 그룹의 활동은 러시아, 미국에서 발견되었다. 해당 그룹은 상용 프로그램 홈페이지로 위장한 피싱 페이지를 통해 마이크로소프트 앱 패키지 파일(Microsoft App Package File, MSIX) 형태의 악성코드를 유포했다. 해당 그룹은 최종적으로 공격 대상 시스템에 넷서포트(NetSupport)로 알려진 원격 제어 악성코드를 실행하여 원격으로 공격 대상 시스템을 제어하고 악의적인 명령어를 실행하고자 한 것으로 판단된다.

SectorJ09 그룹은 난독화 된 스키밍(Skimming) 자바스크립트(JavaScript)를 통해 공격 대상이 결제 페이지에 입력한 금융 정보를 탈취하는 폼재킹(Formjacking) 공격을 수행했다.

SectorJ22 그룹의 활동은 러시아에서 발견되었다. 해당 그룹은 피싱 메일을 통해 악성 링크를 유포했으며, 공격 대상이 악성 링크에서 배포되는 압축 파일을 다운로드하도록 유도했다. 압축 파일 내부에는 윈도우 바로가기(LNK) 파일이 포함되어 있으며, 윈도우 바로가기 파일을 실행하면 자바스크립트 로더 악성코드가 다운로드 및 실행된다. 해당 그룹은 자바스크립트 로더를 통해 명령 및 제어(C2) 서버로부터 공격 대상 시스템에 자바스크립트 악성코드를 다운로드 및 실행하고자 한 것으로 판단된다.

SectorJ57 그룹의 활동은 네덜란드, 독일, 미국, 에스토니아, 캐나다에서 발견되었다. 해당 그룹은 피싱 메일을 통해 HTML 파일을 유포했으며, HTML 파일은 마이크로소프트 원드라이브(OneDrive) 오류 페이지인 것처럼 위장하여, 공격 대상이 자바스크립트를 다운로드하는 버튼을 클릭하도록 유도했다. 자바스크립트는 공격 대상 시스템에 오토잇(Autoit) 프로그램과 오토잇 스크립트 파일을 다운로드 및 실행하는 기능을 수행했다.

SectorJ61 그룹의 활동은 독일, 러시아, 루마니아, 베트남, 벨라루스, 불가리아, 알바니아, 우크라이나, 이탈리아, 조지아, 튀르키예, 한국에서 발견되었다. 해당 그룹은 피싱 메일을 통해 지불 청구서와 관련된 내용으로 작성된 메일을 통해 악성 문서 파일을 첨부하여 전달했다. 공격 대상이 첨부된 문서 파일을 실행하면 문서 파일 내 삽입된 매크로가 동작되며, 외부 서버의 이미지 파일 경로와 통신하는 기능을 수행한다. 이미지 파일은 스테가노그래피(Steganography) 기법으로 악성코드가 은닉되었으며, 해당 그룹은 공격 대상 시스템에 렘코스(Remcos)로 알려진 원격 제어 기능의 악성코드를 실행하여 명령 및 제어(C2) 서버로부터 전달받은 명령에 따라 공격 대상 시스템에 다양한 악성 행위를 수행하고자 한 것으로 판단된다.

SectorJ64 그룹의 활동은 멕시코, 미국, 터키, 홍콩에서 발견되었다. 해당 그룹은 암호화폐 채굴을 위해 파워쉘(PowerShell) 스크립트를 통해 악성코드를 유포했다. 파워쉘 스크립트를 실행하면 파워쉘 스크립트 변수에 정의된 Base64로 인코딩(Encoding) 된 데이터가 디코딩(Decoding) 된다. Base64로 인코딩 된 데이터는 EXE 형태의 파일로, 해당 파일은 명령 및 제어(C2) 서버로부터 DLL 형태의 악성코드를 다운로드한다. DLL 파일은 “AddInProcess.exe” 프로세스에 XMRig 페이로드를 로드한 후, 암호화폐 채굴을 수행했다.

SectorJ94 그룹의 활동은 독일, 러시아, 미국, 이탈리아에서 발견되었다. 해당 그룹은 자바스크립트(JavaScript, JS) 형태의 악성코드를 유포했으며, 자바스크립트는 다나봇(DanaBot)으로 알려진 DLL 형태의 악성코드를 공격 대상 시스템에 다운로드 및 실행하는 기능을 수행한다. 해당 그룹은 공격 대상 시스템의 정보를 수집하고 명령 및 제어(C2) 서버로 전송하고자 한 것으로 판단된다.

SectorJ113 그룹의 활동은 브라질, 폴란드, 홍콩에서 발견되었다. 해당 그룹은 금전적인 이익을 확보하기 위해 라 월드(RA World) 랜섬웨어를 사용했으며, 랜섬노트(RansomNote)를 통해 금전적인 문제를 논의할 수 있는 연락 수단을 전달했다.

SectorJ177 그룹의 활동은 덴마크, 독일, 미국, 싱가포르, 이탈리아, 폴란드, 한국에서 발견되었다. 해당 그룹은 금전적인 이익을 확보하기 위해 블랙 바스타(Black Basta) 랜섬웨어를 사용했다.

SectorJ185 그룹의 활동은 러시아, 미국, 중국에서 발견되었다. 해당 그룹은 윈도우 바로가기 파일(LNK) 파일을 포함한 압축 파일을 유포했다. 공격 대상이 윈도우 바로가기 파일을 실행하면 공격 대상 시스템에 DLL 형태의 악성코드를 드롭한 후, DLL 사이드 로딩(Side-loading) 기법으로 이를 실행했다. DLL 파일은 공격 대상이 악성코드 실행 사실을 인지할 수 없도록 미끼 PDF 문서를 여는 기능을 수행했다. DLL 파일은 퍼피 원격제어 악성코드(Pupy RAT)를 로드하게 되며, 명령 및 제어(C2) 서버로부터 전달받은 명령에 따라 시스템 정보 수집, 키로깅(Keylogging) 등 다양한 명령을 수행할 수 있는 것으로 확인된다.

SectorJ188 그룹의 활동은 이탈리아, 쿠웨이트에서 발견되었다. 해당 그룹은 피싱 메일을 통해 원격제어 악성코드(RAT)를 공격 대상 시스템에 유포했으며, 공격 대상 시스템을 원격으로 제어하고 다양한 악성 행위를 수행하고자 한 것으로 확인된다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.