Monthly Threat Actor Group Intelligence Report, October 2024 (KOR)
2024년 9월 21일에서 2024년 10월 20일까지 NSHC 위협분석 연구소(Threat Research Lab)에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.
이번 10월에는 총 31개의 해킹 그룹들의 활동이 확인되었으며, SectorA 그룹이 37%로 가장 많았으며, SectorJ, SectorE 그룹의 활동이 그 뒤를 이었다.
이번 10월에 발견된 해킹 그룹들의 해킹 활동은 정부 기관 및 상업 시설에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 북아메리카(North America)와 유럽(Europe)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.
1. SectorA 그룹 활동 특징
2024년 10월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA05, SectorA07 그룹이다.
SectorA01 그룹의 활동은 미국, 알제리, 한국, 대만, 중국, 네덜란드, 이집트, 브라질에서 발견되었다. 해당 그룹은 깃허브(GitHub)에 nft_marketplace-main이라는 악성 프로젝트를 업로드하여 이를 정상적인 NFT 마켓플레이스 프로젝트로 위장함으로써 개발자들이 의심 없이 다운로드하도록 유도했다. 최종적으로 사용된 백도어는 공격 대상 시스템에 설치되어 데이터를 장기적으로 수집할 수 있는 기반을 마련했으며, 공격자의 서버와 통신하여 추가 명령을 실행하고 수집된 데이터를 전송하는 기능을 수행했다.
SectorA02 그룹의 활동은 캄보디아, 이스라엘, 한국, 일본에서 발견되었다. 해당 그룹은 초기 침투 단계에서 “NGO Income_edit.zip”이라는 압축 파일이 첨부된 피싱 이메일(Phishing Email)을 사용했다. 최종적으로 사용된 악성코드는 파워쉘(PowerShell) 기반의 악성코드이며, 공격자의 명령에 따라 파일을 탈취하고, 레지스트리를 수정하고, 예약된 작업을 만드는 등의 작업을 수행했다.
SectorA05 그룹의 활동은 한국, 일본에서 발견되었다. 해당 그룹은 암호화폐 관련 내용의 서적으로 위장한 윈도우 바로가기(LNK) 파일 형식의 악성코드를 사용했으며, 드롭박스(Dropbox) API를 통해 추가 악성코드를 다운로드하여 파일리스(Fileless) 방식으로 실행하는 방법을 사용했다.
SectorA07 그룹의 활동은 한국, 캐나다에서 발견되었다. 해당 그룹은 프로젝트 정보 확인 요청서로 위장한 윈도우 바로가기(LNK) 파일 형식의 악성코드를 사용했으며, 공격 대상이 악성코드를 실행할 경우 최종적으로 비주얼 베이직 스크립트(Visual Basic Script)와 배치(Batch) 스크립트 형식의 악성 코드가 동작하여 정보 수집 및 추가 악성코드를 다운로드 및 실행했다.
현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.
2. SectorB 그룹 활동 특징
2024년 10월에는 총 3개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB22, SectorB60, SectorB104 그룹이다.
SectorB22 그룹의 활동은 태국, 이집트, 파키스탄, 한국, 미국, 스리랑카, 베트남에서 발견되었다. 해당 그룹은 베트남 공안 보고서(Public Security Report)로 위장한 윈도우 바로가기(LNK) 파일을 배포하여 공격 활동을 하였으며, 해당 그룹은 윈도우 바로가기 파일을 통해 공격 대상 시스템에 설치한 침투 테스트(Penetration Testing) 도구인 코발트 스트라이크를 통해서 명령 및 제어(C2) 서버로부터 전달받은 다양한 명령에 따라 악성 행위를 수행하였다.
SectorB60 그룹은 구글(Google) 도메인(Domain)과 유사한 피싱(Phishing) 도메인을 사용하여 공격 활동을 하였다.
SectorB104 그룹의 활동은 인도, 브라질, 싱가포르, 베트남, 모리셔스에서 발견되었다. 해당 그룹은 아시아 국가의 정부 기관, 학술 기관, 정치 단체를 대상으로 공격 활동을 하였으며, 해당 그룹은 공격 대상의 공개 웹 서버의 취약점을 이용해 악성 SQL 코드를 주입하는 SQL 인젝션(Injection) 기법을 활용하여 자격 증명(Credential)을 탈취하려는 목적으로 웹 셸(Web Shell)이나 악성코드를 설치하였다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
2024년 10월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC08 그룹이다.
SectorC08 그룹의 활동은 우크라이나, 불가리아, 라트비아, 리투아니아, 폴란드, 러시아에서 발견되었다. 해당 그룹은 군 관련 문서로 위장한 PE(Portable Executable) 형식의 악성코드를 사용했다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.
4. SectorD 그룹 활동 특징
2024년 10월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD01, SectorD02, SectorD05, SectorD30 그룹이다.
SectorD01 그룹의 활동은 아랍에미리트, 이란에서 발견되었다. 해당 그룹은 마이크로소프트 익스체인지(Microsoft Exchange) 서버와 같은 공용 애플리케이션의 취약점을 악용했으며, 공격 대상 서버에 웹 셸(Web Shell)을 설치하여 원격 명령 실행 환경을 구축하고 공격 대상 시스템에서 닷넷(.NET) 기반의 악성코드를 실행하여 공격 대상 시스템에서 데이터를 수집하고 암호화된 형태로 외부로 전송했다.
SectorD02 그룹의 활동은 아제르바이잔, 이스라엘, 아일랜드, 미국, 파키스탄, 독일에서 발견되었다. 해당 그룹은 컨퍼런스 자료로 위장한 윈도우 인스톨러(MSI) 악성코드를 사용했으며, 최종적으로 원격제어 도구인 PDQ Connect를 통해 공격 대상 시스템 원격 제어를 시도했다.
SectorD05 그룹의 활동은 미국, 이스라엘에서 발견되었다. 해당 그룹은 정부 기관, 군사 조직, 연구 기관 등을 주요 공격 대상으로 삼고 있으며, 피싱 이메일(Phishing Email)을 통해 악성 PDF 문서를 전달했다.
SectorD30 그룹은 이메일(Email), 메시징 플랫폼(Messaging Platform), 또는 소셜 미디어(Social Media)를 통해 공격 대상에게 접근했으며, 신뢰할 수 있는 기관이나 개인을 사칭해 자격 증명(Credential)을 입력하도록 유도했다.
SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.
5. SectorE 그룹 활동 특징
2024년 10월에는 총 7개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE03, SectorE04, SectorE05, SectorE08, SectorE09 그룹이다.
SectorE01 그룹의 활동은 부탄, 중국에서 발견되었다. 해당 그룹은 동남아시아의 항공 우주, 기술 연구, 정부 기관 등의 기관을 대상으로 윈도우 바로가기(LNK) 파일을 배포하여 공격 활동을 하였으며, 해당 그룹은 윈도우 바로가기 파일을 통해 공격 대상 시스템에 설치한 추가 악성코드를 통해서 보안 모니터링 API를 수정하여 탐지를 회피하였고, 명령 및 제어(C2) 서버로부터 전달받은 명령에 따라 시스템 정보를 수집하고 추가 명령에 따라 악성 행위를 하였다.
SectorE02 그룹의 활동은 인도, 튀니지에서 발견되었다. 해당 그룹은 회계와 관련된 SOP(Standard Operating Procedure) 문서로 위장한 마이크로소프트 워드(Microsoft Word)를 배포하여 공격 활동을 하였으며, 해당 그룹은 워드 문서를 통해 실행된 매크로를 통해서 설치한 추가 악성코드를 통해서 시스템 정보 탈취 및 추가 악성코드를 다운로드 받도록 하여 후속 공격을 위한 기반을 마련하였다.
SectorE03 그룹의 활동은 네덜란드에서 발견되었다. 해당 그룹은 무슬림 순례 중 하나인 하즈(Hajj) 예산 증가와 관련된 공고 문서로 위장한 윈도우 바로가기(LNK) 파일을 포함한 RAR 압축 파일을 배포하여 공격 활동을 하였으며, 해당 그룹은 윈도우 바로가기 파일을 통해서 공격 대상 시스템에 설치한 악성코드를 통해서 컴퓨터 이름, 사용자 이름 등의 시스템 정보 및 특정 확장자의 파일을 탈취하는 악성 행위를 하였다.
SectorE04 그룹의 활동은 캄보디아, 중국, 파키스탄, 인도, 대만, 미국, 이란, 마샬 군도, 네덜란드, 방글라데시, 지부티, 요르단, 말레이시아, 몰디브, 미얀마, 네팔, 사우디아라비아, 스리랑카, 튀르키예, 아랍에미리트, 아프가니스탄, 프랑스, 인도네시아, 모로코에서 발견되었다. 해당 그룹은 캄보디아 정부의 공식 문서로 위장한 마이크로소프트 워드(Microsoft Word) 문서를 배포하여 공격 활동을 하였으며, 해당 그룹은 워드 문서를 통해 공격 대상 시스템에 원격 템플릿(Remote Template) 문서 파일을 다운로드 받아 실행하도록 하여 후속 공격을 위한 발판을 마련하였다.
SectorE05 그룹의 활동은 벨라루스, 영국, 파키스탄, 방글라데시, 라트비아, 미국, 튀르키예에서 발견되었다. 해당 그룹은 라오스 국방부 회의 프로그램 문서로 위장한 윈도우 인스톨러(MSI) 파일을 배포하여 공격 활동을 하였으며, 해당 그룹은 윈도우 인스톨러 파일을 통해 공격 대상 시스템이 설치한 플러그엑스(PlugX)로 알려진 원격 제어 악성코드를 설치하여 명령 및 제어(C2) 서버로부터 전달받은 명령에 따라 다양한 악성 행위를 하였다.
SectorE08 그룹의 활동은 영국, 파키스탄, 방글라데시, 독일, 네덜란드, 중국, 태국, 스리랑카, 싱가포르에서 발견되었다. 해당 그룹은 정부 테마 문서 파일로 위장한 윈도우 도움말(CHM) 파일을 배포하여 공격 활동을 하였으며, 해당 그룹은 윈도우 도움말 파일을 통해 공격 대상 시스템에 설치한 백도어(Backdoor) 악성코드를 통해서 명령 및 제어(C2) 서버 명령에 따라 원격 명령 실행, 파일 업로드 및 다운로드 등의 다양한 악성 행위를 수행하였다.
SectorE09 그룹의 활동은 파키스탄, 방글라데시, 스리랑카, 네팔, 중국에서 발견되었다. 해당 그룹은 일본 대사관에 보내는 초청장으로 위장한 악성코드를 포함한 RAR 압축 파일을 배포하여 공격 활동을 하였으며, 해당 그룹은 공격 대상 시스템에서 RAR 파일 압축 해제 시 취약점(CVE-2023-38831)을 악용하여 경로 조작(Directory Traversal)을 통해 악성 DLL 파일을 설치하여 클라우드플레어(Cloudflare)의 서버리스 플랫폼인 워커스(Workers)를 활용하여 명령 및 제어(C2) 활동을 수행하였다.
현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.
6. SectorF 그룹 활동 특징
2024년 10월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorF01 그룹이다.
SectorF01 그룹의 활동은 말레이시아에서 발견되었다. 해당 그룹은 백도어(Backdoor) 기능을 가진 로더 악성코드를 배포하여 공격 활동을 하였으며, 해당 그룹은 로더 악성코드를 통해 공격 대상 시스템에 백도어를 설치하여 컴퓨터 이름, 디스크 정보를 수집하고, 암호화된 페이로드가 포함된 DLL 파일을 로드 하여 후속 공격을 위한 발판을 마련하였다.
SectorF 해킹 그룹들은 주로 이들을 지원하는 정부와 인접한 국가들의 정치, 외교 및 군사 활동과 같은 고급 정보를 수집하기 위한 목적과 자국의 경제 발전을 위한 첨단 기술 관련 고급 정보 탈취를 위한 목적을 갖는 것으로 분석된다.
7. SectorH 그룹 활동 특징
2024년 10월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.
SectorH03 그룹의 활동은 뉴질랜드, 인도에서 발견되었다. 해당 그룹은 어도비 PDF 문서로 위장한 리눅스 데스크톱 엔트리(.desktop) 파일을 배포하여 악성 활동을 하였으며, 해당 그룹은 공격 대상 시스템에서 리눅스 데스크톱 엔트리 파일을 통해 설치한 레드 팀 프레임워크(Red Teaming Framework)인 마이틱(Mythic)을 지원하는 포세이돈(Poseidon) 도구를 통해 명령 및 제어(C2) 서버로부터 전달받은 명령에 따라 공격 대상 시스템을 제어하였다.
SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.
8. Cyber Crime 그룹 활동 특징
온라인 가상 공간에서 활동하는 사이버 범죄 그룹은 이번 10월에는 총 10개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ02, SectorJ09, SectorJ39, SectorJ40, SectorJ57, SectorJ64, SectorJ72, SectorJ149, SectorJ175, SectorJ190그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ02 그룹은 가짜 이력서로 위장한 ZIP 압축 파일을 첨부한 피싱 메일을 통해 백도어 악성코드를 유포했다. 압축 파일에는 난독화 된 명령어가 포함된 윈도우 바로가기 파일(LNK)이 포함되어 있었으며, 이를 실행하면 공격 대상 시스템에 백도어가 설치된다. 해당 백도어를 통해 공격자는 원격 접근 권한을 확보하고 추가 악성 페이로드를 실행해 정보 탈취 및 금전적 이득을 취한 것으로 분석된다.
SectorJ09 그룹은 온라인 결제 페이지를 대상으로 스키밍(Skimming) 스크립트를 삽입했으며, 공격 대상이 입력한 신용 카드 정보 등의 금융 정보를 탈취하는 폼재킹(Formjacking) 공격을 수행했다.
SectorJ39 그룹의 활동은 우크라이나, 프랑스에서 발견되었다. 해당 그룹은PDF 파일을 첨부한 피싱 메일을 통해 스닙봇(SnipBot) 악성코드를 유포했다. 공격 대상이 첨부된 PDF 문서를 열게 되면, 문서의 올바른 표시를 위해 폰트 패키지를 설치하라는 내용의 알람을 띄워 공격 대상이 첨부된 하이퍼링크를 클릭하도록 유도했다. 공격 대상이 하이퍼링크를 클릭하면 어도비(Adobe) 사이트로 위장한 피싱 사이트로 이동하게 되며, 공격 대상이 다운로드 버튼을 클릭하도록 유도했다. 해당 그룹은 공격 대상 시스템에 최종적으로 스닙봇 악성코드를 유포했으며, 해당 악성코드는 공격 대상 시스템에 악의적인 명령어를 실행하거나, 정보 탈취 등의 기능을 수행하는 것으로 분석된다.
SectorJ40 그룹의 활동은 독일, 미국, 벨기에, 스위스, 영국, 인도, 헝가리에서 발견되었다. 해당 그룹은 합법적인 사이트로 위장한 피싱 사이트를 통해 드리덱스(Dridex) 악성코드를 유포했다. 해당 악성코드는 공격 대상 시스템에서 웹 브라우저 로그인 데이터나 계좌번호와 같은 금융 데이터 등을 탈취하는 기능을 수행하는 것으로 분석된다.
SectorJ57 그룹은 가짜 구글 밋(Google Meet) 사이트로 위장한 피싱 사이트를 통해 악성코드를 유포했다. 공격 대상이 피싱 사이트에 접속하면 마이크 또는 헤드셋에 문제가 있다는 내용의 팝업창을 띄워 공격 대상이 악성코드를 다운로드하는 버튼을 클릭하도록 유포했다. 공격 대상이 버튼을 클릭하면 공격 대상 시스템에 정보 탈취 기능을 수행하는 스틸씨(StealC) 및 라다만티스(Rhadamanthys) 악성코드가 설치되는 것으로 분석된다.
SectorJ64 그룹의 활동은 멕시코, 미국에서 발견되었다. 해당 그룹은 공격 대상 시스템에 악성코드를 유포하기 위해 취약점을 악용했다.
SectorJ72 그룹은 윈도우 바로가기(LNK) 형태의 악성코드를 유포했다. 공격 대상이 윈도우 바로가기 파일을 실행하게 되면 파일에 내장된 명령어가 실행된다. 해당 명령어는 공격자의 명령 및 제어(C2) 서버로 공격 대상 시스템의 정보를 전송하는 기능을 수행하는 것으로 확인된다.
SectorJ149 그룹의 활동은 독일, 러시아, 아르메니아, 영국, 우크라이나, 콜롬비아, 체코공화국, 파나마, 폴란드, 오스트레일리아에서 발견되었다. 해당 그룹은 보험 회사에서 지급 명령서와 관련된 내용인 것처럼 위장한 스피어 피싱 메일을 통해 악성코드를 유포했다. 해당 그룹은 피싱 메일에 압축 파일을 첨부했으며, 압축 파일에는 패스워드가 설정된 또 다른 압축 파일과 압축 파일 패스워드를 안내하는 PDF 문서 및 텍스트 파일이 압축되어 있다. 공격 대상이 모든 압축 파일의 압축을 해제하면, 결제 주문과 관련된 이름의 비주얼 베이지 스크립트(Visual Basic Script, VBS) 파일을 실행하도록 유도했다. 공격 대상이 해당 스크립트 파일을 실행하게 되면 비트버킷(Bitbucket)을 통해 공격 대상 시스템에 악성코드를 다운로드 하는 파워쉘(PowerShell) 명령어가 동작한다. 최종적으로 공격 대상 시스템에 다운로드 된 악성코드는 공격 대상 시스템을 원격으로 제어하거나 민감 정보 탈취, 추가 악성 페이로드 다운로드 등의 악성 행위를 수행할 수 있는 것으로 분석된다.
SectorJ175 그룹의 활동은 남아프리카 공화국, 뉴질랜드, 말레이시아, 미국, 벨기에, 스웨덴, 스페인, 싱가포르, 아랍에미리트, 아르헨티나, 아일랜드, 영국, 이탈리아, 인도, 중국, 캐나다, 콜롬비아, 퀴라소, 체코 공화국, 팔라우, 프랑스, 오스레일리아에서 발견되었다. 해당 그룹은 금전적 이득을 취득하기 위해 드래곤 포스(DragonForce) 랜섬웨어(Ransomware)를 유포했다. 이들은 랜섬웨어를 통해 공격 대상 시스템의 데이터를 암호화한 뒤, 복호화 대가와 함께 탈취한 데이터를 유출하겠다고 위협하는 이중 갈취(double extortion) 전술을 사용한 것으로 분석된다. 해당 그룹은 암호화된 시스템에 랜섬노트(RansomNote)를 남겨 공격 대상에게 금전적인 문제를 논의할 수 있는 연락 수단을 전달했다.
SectorJ190 그룹은 와이퍼(Wiper) 악성코드와 랜섬웨어를 결합한 공격 기법을 활용했다. 해당 그룹은 랜섬웨어를 사용하여 데이터를 암호화한 뒤 금전을 요구했으며, 와이퍼 악성코드도 함께 유포하여 공격 대상 시스템의 복구를 어려운 상태로 만드는 이중 파괴 전술(Double Destruction Attack)을 수행했다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.