Monthly Threat Actor Group Intelligence Report, September 2024 (KOR)
2024년 8월 21일에서 2024년 9월 20일까지 NSHC 위협분석 연구소(Threat Research Lab)에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.
이번 9월에는 총 47개의 해킹 그룹들의 활동이 확인되었으며, SectorA 그룹이 46%로 가장 많았으며, SectorJ, SectorB 그룹의 활동이 그 뒤를 이었다.
이번 9월에 발견된 해킹 그룹들의 해킹 활동은 금융 분야 및 정부 기관에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 북아메리카(North America)와 동아시아(East Asia)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.
1. SectorA 그룹 활동 특징
2024년 9월에는 총 6개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA03, SectorA04, SectorA05, SectorA06, SectorA07 그룹이다.
SectorA01 그룹의 활동은 일본, 네덜란드, 캐나다, 필리핀, 미국, 싱가포르, 러시아, 오스트레일리아, 폴란드, 인도, 베트남, 영국, 프랑스, 이집트, 브라질, 스웨덴, 터키, 카타르, 콜롬비아, 모로코, 벨기에, 아랍에미리트, 중국, 이란, 홍콩, 요르단, 리투아니아, 한국, 독일에서 발견되었다. 해당 그룹은 채용 담당자로 위장하여 채용 테스트 및 소스코드 리뷰 테스트 등의 파일명으로 위장한 압축 파일을 사용했으며, 압축 파일 내부의 악의적인 목적의 스크립트 실행을 유도했다.
SectorA03 그룹의 활동은 홍콩, 독일에서 발견되었다. 해당 그룹은 XOR알고리즘과 Base64 알고리즘을 통해 악성코드 동작에 사용되는 문자열들을 암호화한 DLL 파일 형식의 악성코드를 사용했다. DLL 파일 형식의 악성코드는 합법적인 윈도우(Windows) 사진 갤러리 뷰어 구성 요소 shimgvw.dll의 ImageView_Fullscreen모듈을 악용했으며, 최종적으로 실행되는 악성코드는 시스템 정보 수집 및 공격자가 상황에 따라 추가 악성코드를 전달 및 실행할 수 있는 기능을 가지고 있다.
SectorA04 그룹의 활동은 이탈리아, 콜롬비아에서 발견되었다. 해당 그룹은 채용 담당자로 위장하여 암호화된 PDF 파일과 이를 실행시키도록 설계된 악성 PDF 리더를 공격 대상들에게 전달했으며, 최종적으로 실행되는 악성코드는 원격 명령 실행, 파일 다운로드, 데이터 유출 기능을 가지고 있다.
SectorA05 그룹의 활동은 미국, 한국, 싱가포르, 인도, 일본, 모로코, 캐나다, 영국에서 발견되었다. 해당 그룹은 안보현안 비공개 정책간담회 계획서로 위장한 윈도우 바로가기(LNK) 파일 형식의 악성코드를 사용했으며, 드롭박스(Dropbox) API를 통해 추가 악성코드를 다운로드하여 파일리스(Fileless) 방식으로 실행하는 방법을 사용했다.
SectorA06 그룹의 활동은 오스트리아에서 발견되었다. 해당 그룹은 맥OS(macOS) 사용자들을 대상으로 VoIP 응용 소프트웨어인 디스코드(Discord) 프로그램으로 위장한 Mach-O 악성코드를 사용했다. 이 악성코드는 감염된 시스템에 설치된 디스코드 프로그램을 대체하고, 시스템이 부팅될 때마다 자동으로 실행되며, 최종적으로 원격 제어 기능을 수행하는 추가 악성코드를 생성하여 실행한다.
SectorA07 그룹의 활동은 미국, 한국, 캐나다에서 발견되었다. 해당 그룹은 메일 계정이 휴면 상태가 될 것이라는 내용으로 포털사이트 고객센터에서 보낸 것처럼 위장한 스피어 피싱 이메일(Spear-phishing email)을 사용했다.
현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.
2. SectorB 그룹 활동 특징
2024년 9월에는 총 8개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB01, SectorB08, SectorB22, SectorB62, SectorB72, SectorB79, SectorB100, SectorB103 그룹이다.
SectorB01 그룹의 활동은 미국, 태국, 캐나다, 중국, 싱가포르, 홍콩, 일본에서 발견되었다. 해당 그룹은 윈도우(Windows)와 리눅스(Linux) 시스템에 영향을 미치는 다중 플랫폼 백도어(Multiplatform Backdoor) 악성코드를 통해 대규모 공격 활동을 수행하였으며, 해당 백도어 악성코드는 공격 대상 시스템에서 명령 및 제어(C2) 서버를 통해 전달받은 명령에 따라 파일 조작, 명령 실행, 원격 포트 스캔 등의 악성 행위를 수행했다.
SectorB08 그룹의 활동은 일본, 영국, 베트남에서 발견되었다. 해당 그룹은 중동의 정부 기관을 대상으로 웹 쉘(Web Shell) 및 백도어(Backdoor) 악성코드를 배포하여 공격 활동을 수행하였으며, 해당 그룹은 공격 대상 시스템에 설치한 웹 쉘을 통해서 명령을 실행하고 측면 이동에 사용되는 다양한 오픈 소스 도구 및 백도어 악성코드를 설치했다.
SectorB22 그룹의 활동은 필리핀, 중국, 대만에서 발견되었다. 해당 그룹은 아시아-태평양(Asia-Pacific, APAC) 지역의 다양한 정부 기관을 대상으로 공격 활동을 수행하였으며, 공격 대상 시스템에 대한 초기 액세스(Initial Access)를 위해 이동식 드라이브(Removable drive)와 스피어 피싱 이메일(Spear-phishing email)을 활용했다.
SectorB62 그룹의 활동은 칠레, 네덜란드, 독일, 홍콩, 중국, 필리핀, 미국에서 발견되었다. 해당 그룹은 동남아시아의 정부 기관을 대상으로 다양한 오픈 소스 도구(open source tools) 및 상용 도구(off-the-shelf tools)를 배포하여 공격 활동을 수행하였다.
SectorB72 그룹의 활동은 독일에서 발견되었다. 해당 그룹은 정부 기관을 대상으로 다양한 공격 도구를 사용하여 공격 활동을 수행하였으며, 해당 그룹은 공격 대상 시스템의 마이크로소프트 익스체인지 서버(Microsoft Exchange Server)의 취약점을 악용하여 초기 액세스(Initial Access)를 하였으며, 공격 대상의 메일 서버에서 정부, 외교 및 군사 관련 키워드를 활용하여 민감한 정보를 검색하였다.
SectorB79 그룹의 활동은 미국, 대만, 중국에서 발견되었다. 해당 그룹은 다층 구조로 구성된 봇넷(Botnet) 악성코드를 사용하여 동남 아시아의 정부 기관 및 군대, 고등 교육, 통신 부문을 대상으로 공격 활동을 수행하였으며, 해당 그룹은 봇넷 악성코드 사용하여 공격 대상 시스템에서 파일 업로드 및 다운로드, 분산 서비스 거부 공격(Distributed Denial of Service Attack, DDoS) 등의 악성 행위를 수행하였다.
SectorB100 그룹은 시스코(Cisco) NX-OS 장치의 취약점을 악용하여 악성코드를 배포하는 공격 활동을 수행하였으며, 해당 그룹은 공격 대상 시스템에서 취약점을 악용하여 악성코드를 설치하였으며, 설치한 악성코드를 통해서 임의의 명령 실행, 파일 다운로드 및 업로드, 네트워크 트래픽 프록시를 위한 터널 설정과 같은 여러 기능을 통해 데이터 유출과 지속적인 액세스를 유지하였다.
SectorB103 그룹의 활동은 중국, 한국, 대만, 필리핀, 베트남, 태국에서 발견되었다. 해당 그룹은 OSGeo 지오서버(GeoServer) 취약점을 악용하거나 스피어 피싱 이메일(Spear-phishing email)을 사용하여 정부 기관, 통신 사업자, 에너지 산업을 대상으로 공격 활동을 수행하였다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
2024년 9월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC04, SectorC08, SectorC15, SectorC22 그룹이다.
SectorC04 그룹의 활동은 미국에서 발견되었다. 해당 그룹은 iOS와 구글 크롬(Google Chrome)의 알려진 취약점을 악용하여 패치가 적용되지 않은 시스템을 대상으로 워터링 홀(Watering Hole) 공격을 수행했으며, 브라우저 쿠키(Browser Cookies)와 사용자 세션(Session) 정보 탈취를 시도했다.
SectorC08 그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 HTML(Hypertext Markup Language) 형식의 악성코드를 사용했으며, 해당 악성 코드는 이미지 로드 오류를 의도적으로 발생시키며, 오류 발생시 실행되는 onerror 함수를 통해 악의적인 목적의 난독화(Obfuscated)된 코드가 동작하도록 설계했다.
SectorC15 그룹의 활동은 미국에서 발견되었다. 해당 그룹은 에너지, 금융, 국방, 정부 기관을 포함한 주요 산업을 공격 대상으로 삼았으며, 시스템 파괴와 정보 탈취를 주 기능으로 하는 악성코드를 사용했다.
SectorC22 그룹은 스위스의 보안 이메일 서비스인 프로톤메일(ProtonMail)이나 우크라이나 관련 도메인으로 위장하여 피싱(Phishing) 사이트를 구축했으며, 자격 증명(Credential) 및 민감한 정보 수집을 시도했다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.
4. SectorD 그룹 활동 특징
2024년 9월에는 총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD01, SectorD02, SectorD12, SectorD16, SectorD28 그룹이다.
SectorD01 그룹의 활동은 이라크, 파키스탄, 바레인에서 발견되었다. 해당 그룹이 사용한 악성코드는 정부 기관의 이메일 계정을 명령 제어(C2) 서버로 활용하고, DNS 요청을 통해 데이터를 전송할 수 있는 DNS 터널링 기법을 사용하여 데이터를 외부로 유출했다.
SectorD02 그룹의 활동은 이스라엘에서 발견되었다. 해당 그룹은 정보보안 관련 양식을 작성해 달라는 내용이 포함된 스피어 피싱 이메일(Spear-phishing email)을 사용했으며, 최종적으로 원격제어 도구인 아테라(Atera)를 통해 공격 대상 시스템에 대한 원격 제어를 시도했다.
SectorD12 그룹의 활동은 미국, 아랍에미리트에서 발견되었다. 해당 그룹은 위성 통신 회사의 정책 가이드와 인프라 보안 가이드 내용의 어도비(Adobe) PDF 문서로 위장한 악성코드를 사용했으며, 최종적으로 시스템 및 네트워크 환경에 대한 정보를 수집하고 상황에 따라 지속성 확보, 명령 실행, 추가 악성코드 다운로드 등을 수행할 수 있는 악성코드를 사용했다.
SectorD16 그룹의 활동은 이스라엘, 미국, 아제르바이잔, 아랍에미리트에 발견되었다. 해당 그룹은 네트워크 장치의 취약점을 악용하여 초기 접근(Initial Access)을 확보한 후, 이를 기반으로 네트워크 접근 권한을 얻어 후속 랜섬웨어 공격을 위한 발판을 마련했다. 이들은 획득한 네트워크 접근 권한과 도메인 관리자 권한을 랜섬웨어 제휴 조직에 제공하여 랜섬웨어 배포를 지원하고, 그 대가로 랜섬 지불 금액의 일부를 수수료로 받아 수익을 창출했다.
SectorD28 그룹의 활동은 이스라엘, 영국, 요르단, 이란, 사우디아라비아, 터키, 키프로스, 스웨덴, 이라크, 인도, 네덜란드, 미국, 쿠웨이트, 카타르에서 발견되었다. 해당 그룹은 웹 셸을 통해 초기 접근(Initial Access) 권한을 확보하고, 이후 원격 제어 악성코드를 사용해 네트워크 내에서 명령 제어를 수행했으며, 이를 통해 다른 위협 그룹에게 접근 권한을 넘겨주거나 후속 공격을 수행할 수 있는 기반을 마련했다.
SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.
5. SectorE 그룹 활동 특징
2024년 9월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE05 그룹이다.
SectorE01 그룹의 활동은 네덜란드, 미국, 중국에서 발견되었다. 해당 그룹은 악성 윈도우 바로가기(LNK) 파일을 포함한 압축 파일을 첨부한 스피어 피싱 이메일(Spear-phishing email)을 사용하여 공격 활동을 수행하였으며, 해당 그룹은 공격 대상 시스템에 설치한 다양한 원격 제어 기능의 악성코드를 통해서 공격 대상 시스템을 제어하였으며, 웹 브라우저(Web browser)에 기록된 비밀번호를 복호화하고, 중요한 데이터를 탈취하는 악성 행위를 수행하였다.
SectorE05 그룹의 활동은 중국에서 발견되었다. 해당 그룹은 입찰 정보로 위장한 악성 윈도우 도움말(CHM) 파일을 배포하여 공격 활동을 수행하였으며, 해당 그룹은 공격 대상 시스템에서 악성 윈도우 도움말 파일 실행을 통해서 작업 스케줄러에 악성코드 다운로드 명령의 파워쉘(PowerShell) 명령을 등록하여 지속적으로 실행하도록 설정하여 후속 공격을 위한 기반을 마련하였다.
현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.
6. SectorF 그룹 활동 특징
2024년 9월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorF01 그룹이다.
SectorF01 그룹의 활동은 베트남, 일본에서 발견되었다. 해당 그룹은 베트남 인권을 지원하는 비영리 단체를 대상으로 정보 탈취 목적의 공격 활동을 지속적으로 수행하였다.
SectorF 해킹 그룹들은 주로 이들을 지원하는 정부와 인접한 국가들의 정치, 외교 및 군사 활동과 같은 고급 정보를 수집하기 위한 목적과 자국의 경제 발전을 위한 첨단 기술 관련 고급 정보 탈취를 위한 목적을 갖는 것으로 분석된다.
7. SectorH 그룹 활동 특징
2024년 9월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.
SectorH03 그룹의 활동은 일본, 인도, 아랍에미리트에서 발견되었다. 해당 그룹은 외부 사이버 보안 감사 문서로 위장한 악성 리눅스 데스크톱 엔트리(.desktop) 파일을 배포하여 악성 활동을 수행하였으며, 해당 그룹이 공격 대상 시스템에서 다운로드 받아 실행한 악성코드는 레드 팀 프레임워크(red teaming framework)인 마이틱(Mythic)을 지원하는 포세이돈(Poseidon) 도구이며, 공격 대상 시스템에서 포세이돈 도구를 통해 명령 및 제어(C2) 서버로부터 전달받은 명령에 따라 공격 대상 시스템을 제어하였다.
SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.
8. SectorS 그룹 활동 특징
2024년 9월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorS01 그룹이다.
SectorS01 그룹의 활동은 콜롬비아, 이탈리아에서 발견되었다. 해당 그룹은 스피어 피싱 이메일(Spear-phishing email)을 사용하여 콜롬비아 보험 부문을 대상으로 공격 활동을 수행하였으며, 해당 그룹은 공격 대상이 스피어 피싱 이메일을 통해 다운로드 받은 ZIP 압축 파일에 포함된 원격 제어 기능의 악성코드를 통해 명령 및 제어(C2) 서버로부터 전달받은 명령에 따라 키로깅(Keylogging), 은행 및 결제 서비스 모니터링, 웹 브라우저(Web browser) 및 FTP 클라이언트 데이터 탈취 등의 악성 행위를 수행하였다.
현재까지 지속되는 SectorS 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가들에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다.
9. SectorT 그룹 활동 특징
2024년 9월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorT01 그룹이다.
SectorT01 그룹의 활동은 독일에서 발견되었다. 해당 그룹은 국방부 연락망으로 위장한 MS 엑셀(Excel) 파일 형식의 악성코드를 사용하여 공격 대상이 스스로 악성코드를 실행하도록 유도했다.
현재까지 지속되는 SectorT 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가들에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다.
10. Cyber Crime 그룹 활동 특징
온라인 가상 공간에서 활동하는 사이버 범죄 그룹은 이번 9월에는 총 18개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ01, SectorJ04, SectorJ06, SectorJ09, SectorJ25, SectorJ39, SectorJ73, SectorJ74, SectorJ84, SectorJ85, SectorJ110, SectorJ113, SectorJ119, SectorJ149, SectorJ172, SectorJ176, SectorJ189, SectorJ190그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ01 그룹은 피싱 사이트를 통해 악성코드를 유포했으며, 공격 대상이 피싱 사이트에 접속하게 되면 브라우저 확장 프로그램이 필요하다는 내용의 팝업창을 띄워 공격 대상이 다운로드 버튼을 클릭하도록 유도했다. 공격 대상이 다운로드 버튼을 클릭하면 다운로드 버튼에 하이퍼링크 된 드롭박스(Dropbox)로부터 윈도우 인스톨러(Microsoft Silent Installer) 형태의 추가적인 악성코드를 다운로드할 수 있는 것으로 판단된다.
SectorJ04 그룹의 활동은 독일, 러시아, 스페인, 미국, 브라질, 스위스, 인도, 중국, 터키, 폴란드, 프랑스에서 발견되었다. 해당 그룹은 오디오 파일인 것처럼 위장한 트로이목마 악성코드를 사용했다. 해당 악성코드는 공격 대상 시스템 정보 수집, 키로깅(Key Logging), 화면 캡쳐(Screen Capture), 클립보드(Clipboard) 데이터 수집 등의 기능을 수행하는 것으로 확인된다.
SectorJ06 그룹의 활동은 독일, 러시아, 스페인, 미국, 브라질, 스위스, 인도, 중국, 터키, 폴란드, 프랑스에서 발견되었다. 해당 그룹은 금전적인 이익을 확보하기 위해 콘티(Conti) 랜섬웨어를 사용하여 공격 대상 시스템을 암호화하였으며, 어니언(Onion) 도메인을 통해 금전적인 논의를 할 수 있도록 랜섬노트를 통해 이를 전달한 것으로 확인된다.
SectorJ09 그룹의 활동은 스위스에서 발견되었다. 해당 그룹은 온라인 쇼핑몰을 대상으로 난독화 된 스키밍 자바스크립트를 삽입하여, 공격 대상이 결제 페이지에 입력한 신용 카드 정보 등의 금융 정보를 탈취하는 폼재킹(FormJacking) 공격을 수행했다.
SectorJ25는 무차별 대입 공격을 통해 공격 대상 시스템에 침투한 후, 악성 스크립트를 공격 대상 시스템에 업로드했다. 해당 그룹이 업로드한 악성 스크립트는 채굴 악성코드와 관련된 프로세스를 종료하고, 공격 대상 시스템에 루트킷(Rootkit)을 설치하는 기능을 수행했으며 SSH를 통해 지속적으로 공격 대상 시스템에 접근할 수 있도록 백도어 계정을 생성하는 기능을 수행한다.
SectorJ39 그룹의 활동은 미국, 영국에서 발견되었다. 해당 그룹은 금전적인 이익을 확보하기 위해 언더그라운드(Underground) 랜섬웨어를 유포했다. 해당 그룹은 어니언(Onion) 도메인을 통해 금전적인 논의를 할 수 있도록 랜섬노트를 통해 이를 전달한 것으로 확인된다.
SectorJ73 그룹의 활동은 중국에서 발견되었다. 해당 그룹은 금전적인 이익을 확보하기 위해 헬로키티(HelloKitty) 랜섬웨어를 사용했다. 랜섬웨어는 시스템에 있는 파일들을 암호화한 후 랜섬노트(RansomNote)를 생성하여 금전적인 문제를 논의할 수 있는 연락 수단인 어니언(Onion) 도메인을 전달했다.
SectorJ74 그룹의 활동은 미국에서 발견되었다. 해당 그룹은 공격 대상 시스템에 추가적인 페이로드를 로드할 수 있는 로더(Loader) 기능의 악성코드를 사용했으며, 해당 악성코드는 코드 내 암호화된 페이로드를 복호화 한 후, 프로세스 인젝션(Process Injection) 기법을 통해 공격 대상 시스템에서 실행되는 것으로 분석된다.
SectorJ84의 활동은 캐나다에서 발견되었다. 해당 그룹은 공격 대상 시스템으로부터 데이터를 탈취하기 위해 폼북(Formbook)으로 알려진 스틸러(Stealer) 악성코드를 사용했다.
SectorJ85 그룹의 활동은 러시아, 아일랜드에서 발견되었다. 해당 그룹은 깃허브(GitHub)와 같은 코드 저장소에 노출된 클라우드 인증 토큰을 악용하거나, 피싱 사이트를 통해 확보된 자격증명(Credential)을 통해 공격 대상 시스템에 침투했다. 해당 그룹은 공격 대상 시스템에 침투한 후, Active Directory 정보를 수집하고, 원격 제어 프로그램(RMM)을 실행했다. 해당 그룹은 금전적인 이익을 확보하기 위해 최종적으로 공격 대상 시스템에 블랙캣(BlackCat) 랜섬웨어를 유포했다.
SectorJ110 그룹의 활동은 미국, 프랑스에서 발견되었다. 해당 그룹은 공격 대상 시스템에 추가적인 페이로드를 로드하기 위해 로더(Loader) 기능의 악성코드를 사용했다.
SectorJ113 그룹의 활동은 네덜란드, 독일, 러시아, 브라질, 인도, 폴란드에서 발견되었다. 해당 그룹은 금전적인 이익을 확보하기 위해 크립트(QRYPT) 랜섬웨어를 사용했다. 해당 그룹은 어니언(Onion) 도메인을 통해 금전적인 논의를 할 수 있도록 랜섬노트를 통해 이를 전달한 것으로 확인된다.
SectorJ119 그룹의 활동은 네덜란드, 독일, 마다가스카르, 미국, 예멘, 우크라이나, 이라크, 이집트, 이탈리아, 인도, 인도네시아, 캐나다, 코스타리카, 크로아티아, 폴란드, 프랑스, 필리핀에서 발견되었다. 해당 그룹은 금전적인 이익을 확보하기 위해 슬램(SLAM) 랜섬웨어를 사용했다. 슬램 랜섬웨어는 암호화된 시스템에 대한 정보와 암호화 키(Key), 스크린샷을 캡쳐한 후 명령 및 제어(C2) 서버로 전송했다.
SectorJ149 그룹의 활동은 독일, 미국, 캐나다에서 발견되었다. 해당 그룹은 공격 대상 시스템에 생성한 악성코드가 안티바이러스 소프트웨어에 탐지되지 않기 위해 이와 관련된 프로세스를 무력화시키거나 강제로 종료 시키는 안티 바이러스 킬러(Antivirus Killer) 악성코드를 사용했다.
SectorJ172 그룹의 활동은 나이지리아, 미국, 싱가포르, 아일랜드, 인도, 일본, 캐나다, 헝가리, 한국에서 발견되었다. 해당 그룹은 공격 대상 시스템으로부터 데이터를 탈취하기 위해 폼북(Formbook)으로 알려진 스틸러(Stealer) 악성코드를 사용했다.
SectorJ176 그룹의 활동은 캐나다에서 발견되었다. 해당 그룹은 공격 대상의 금융 정보와 개인정보를 탈취하기 위해 파밍(Pharming) 악성코드를 사용했으며, 악성코드는 수집한 개인 정보를 명령 및 제어(C2) 서버로 전송했다.
SectorJ189 그룹의 활동은 네덜란드, 방콕, 벨기에, 싱가포르, 이란, 인도, 중국, 태국, 필리핀, 한국, 홍콩에서 발견되었다. 해당 그룹은 웹 어플리케이션을 대상으로 취약점을 악용하여 웹쉘(WebShell)을 유포했으며, 해당 그룹이 유포한 웹 쉘은 오픈소스 웹쉘 중 하나인 ASPXspy 웹쉘인 것으로 분석된다. 해당 그룹은 웹쉘을 통해 공격 대상 시스템 정보를 수집하고 플러그엑스(PlugX)로 알려진 원격 제어 악성코드와 같은 추가적인 악성코드를 실행했다. 해당 그룹은 공격 대상 시스템에 설치된 플러그엑스 악성코드를 통해 명령 및 제어(C2) 서버로부터 전달받은 명령에 따라 시스템 정보 수집, 키로깅(Key Logging), 화면 캡쳐(Screen Capture) 등의 악성 행위를 수행하고자 한 것으로 분석된다.
SectorJ190의 활동은 독일, 러시아, 미국, 영국, 우크라이나, 일본, 튀니지에서 발견되었다. 해당 그룹은 공격 대상 시스템에 록빗(Lockbit) 랜섬웨어를 실행하여 공격 대상 시스템을 암호화했으며, 추가적으로 와이퍼(Wiper) 악성코드를 사용하여 연결된 드라이브의 MBR(Master Boot Record) 영역을 손상시켜 시스템을 정상적으로 부팅할 수 없게 만들었다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.