Monthly Threat Actor Group Intelligence Report, December 2024 (KOR)
2024년 11월 21일에서 2024년 12월 20일까지 NSHC 위협분석 연구소(Threat Research Lab)에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.
이번 12월에는 총 65개의 해킹 그룹들의 활동이 확인되었으며, SectorJ 그룹이 49%로 가장 많았으며, SectorA, SectorE 그룹의 활동이 그 뒤를 이었다.
이번 12월에 발견된 해킹 그룹들의 해킹 활동은 정부 기관 및 에너지 분야에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 유럽(Europe)과 북아메리카(North America)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.
1. SectorA 그룹 활동 특징
2024년 12월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA05, SectorA07 그룹이다.
SectorA01 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 링크드인(LinkedIn)과 같은 플랫폼에서 채용 관련 직원을 사칭하여 가짜 취업 기회를 제공하는 방식으로 잠재적 피해자에게 접근했으며, 최종적으로 사용한 악성코드는 명령 및 제어(C2) 서버와 통신하여 추가적인 페이로드를 다운로드하거나 민감한 데이터를 유출하는 데 사용되었다.
SectorA02 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 “김국성강의자료”라는 파일명을 가진 윈도우 바로가기(LNK) 파일 형식의 악성코드를 사용했으며, 최종적으로 백도어 악성코드를 사용하여 공격자의 명령에 따라 파일을 탈취하고, 피클라우드(pCloud), 얀덱스(Yandex)와 같은 클라우드 서비스를 사용하여 공격자의 클라우드 서버로 전송했다.
SectorA05 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 한국의 포털 웹사이트인 네이버의 로그인(Login) 페이지로 위장한 피싱 웹사이트로 이동하도록 유도하여 네이버 이메일 계정과 비밀번호 탈취를 시도했다.
SectorA07 그룹의 활동은 러시아, 한국에서 발견되었다. 해당 그룹은 금융거래 확인서로 위장한 CHM(Compiled HTML Help) 파일 형식의 악성코드를 사용했으며, 최종적으로 파워쉘(PowerShell) 명령을 통해 공격자로부터 전달된 추가 배치 스크립트 악성코드를 다운로드 및 실행한다.
현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.
2. SectorB 그룹 활동 특징
2024년 12월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB01, SectorB22, SectorB91, SectorB107 그룹이다.
SectorB01 그룹의 활동은 그리스, 독일, 필리핀, 대만, 말레이시아, 남아프리카 공화국, 미국, 아프가니스탄, 브라질, 에스와티니, 인도, 인도네시아, 파키스탄, 태국, 베트남에서 발견되었다. 해당 그룹은 정부 기관 및 비영리 기구(Non-Governmental Organization, NGO), 통신, 기술, 컨설팅 등의 다양한 분야를 대상으로 공격 활동을 하였으며, 공격 대상 시스템의 다양한 공개된 서버의 N-Day 취약점을 악용하여 초기 접근(Initial Access)을 하였다. 그런 다음 해당 그룹은 공격 대상 시스템에 추가적인 악성코드를 배포하고, 장기간에 걸친 스파이 활동을 수행하였다.
SectorB22 그룹의 활동은 프랑스, 대만, 영국, 싱가포르, 필리핀, 칠레, 한국에서 발견되었다. 해당 그룹은 공격 대상 시스템에 알려지지 않은 취약점을 악용하여 초기 접근(Initial Access)을 하여 다양한 웹 쉘(Web Shell)을 설치하였고, 최종적으로 리눅스 백도어를 설치하여 민감한 정보를 탈취하였다.
SectorB91 그룹의 활동은 일본에서 발견되었다. 해당 그룹은 일본의 개인 및 조직을 대상으로 스피어 피싱 이메일(Spear Phishing Email)을 배포하여 공격 활동을 하였으며, 최종적으로 설치한 악성코드를 통해서 감염된 환경의 정보를 수집하였다. 또한, 해당 그룹은 공격 대상 시스템에 추가로 설치한 악성코드를 통해서 명령 및 제어(C2) 서버로부터 전달받은 명령에 따라 악성 행위를 하였다.
SectorB107 그룹의 활동은 미국, 중국에서 발견되었다. 해당 그룹은 취약점을 자동으로 악용해 악성코드를 배포하는 도구인 익스플로잇 키트(Exploit Kit)를 활용하여 안드로이드(Android) 및 윈도우(Windows) 플랫폼을 대상으로 공격 활동을 하였으며, 최종적으로 설치한 백도어를 통해서 공격 대상 시스템을 원격으로 제어하고 민감한 정보를 수집하였다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
2024년 12월에는 총 7개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC02, SectorC04, SectorC05, SectorC08, SectorC13, SectorC24 그룹이다.
SectorC01 그룹의 활동은 아르메니아, 중국, 그리스, 헝가리, 인도, 카자흐스탄, 키르기스스탄, 타지키스탄, 투르크메니스탄, 우크라이나, 우즈베키스탄에서 발견되었다. 해당 그룹은 피싱 이메일, 사회 공학적 기법을 통해 초기 침투(Initial Access)를 시도했으며, 침투 성공 후에는 맞춤형 악성코드를 이용해 공격 대상 시스템에 백도어를 설치하고, 장기간 접근 권한을 유지하며 민감한 데이터를 지속적으로 수집했다.
SectorC02 그룹의 활동은 우크라이나, 네덜란드, 파키스탄, 미국, 스웨덴, 아프가니스탄에서 발견되었다. 해당 그룹은 다른 해킹 그룹들의 명령 및 제어(C2) 인프라를 침해하여 자신들의 악성코드를 배포하는 방식으로 해킹 활동을 수행했으며, 다른 해킹 그룹의 도구와 인프라를 활용함으로써 자신의 활동을 은폐하고 탐지를 회피했다.
SectorC04 그룹의 활동은 체코에서 발견되었다. 해당 그룹은 체코 정부 및 군사 조직을 주요 대상으로 삼았으며, 피싱 이메일을 통해 공격 대상에게 악성 RDP(Remote Desktop Protocol) 구성 파일을 배포했다. 이 악성 RDP 구성 파일을 실행한 공격 대상은 공격자가 제어하는 RDP 릴레이 서버와 연결되었고, 이를 통해 민감한 데이터를 유출하거나 추가 악성 코드를 설치할 기반을 마련했다.
SectorC05 그룹의 활동은 우크라이나, 독일, 미국, 슬로바키아에서 발견되었다. 해당 그룹은 국제 군용 헬리콥터 관련 회의 안건 내용을 담은 PDF 문서를 미끼로 활용했으며, 등록 양식으로 위장한 윈도우 바로가기(LNK) 파일 형식의 악성코드를 실행하도록 유도했다. 최종적으로 사용한 비주얼 베이직 스크립트(VBS) 악성코드는 파워쉘 명령을 통해 추가 명령을 전달받아 실행하는 백도어형 악성코드로 활용되었다.
SectorC08 그룹의 활동은 홍콩, 네덜란드, 타지키스탄, 우즈베키스탄, 시리아, 카자흐스탄, 영국, 독일, 미국, 키르기스스탄, 폴란드, 아랍 에미리트, 터키, 우크라이나, 슬로바키아에서 발견되었다. 해당 그룹은 법원 통지 관련 내용이 포함된 피싱 이메일에 RAR 압축 파일을 첨부하여 공격 대상에게 전달했으며, 압축 파일 내부에 포함된 HTA(HTML Application) 파일 형식의 악성코드를 실행할 경우 비주얼 베이직 스크립트(VBS)가 동작하여 추가 HTA 악성코드를 다운로드 및 실행하도록 설계했다.
SectorC13 그룹의 활동은 러시아, 벨라루스에서 발견되었다. 해당 그룹은 정부 기관을 사칭해 피싱 이메일을 발송했으며, 템플릿 인젝션(Template Injection) 기법을 사용한 워드(Word) 파일 형식의 악성 문서를 첨부하여 공격 대상에게 전달했다.
SectorC24 그룹의 활동은 파키스탄, 러시아에서 발견되었다. 해당 그룹은 “Армія+” 애플리케이션의 공식 웹사이트를 모방한 피싱 웹사이트를 제작했으며, 악성 파워쉘(PowerShell) 스크립트가 포함된 설치 프로그램을 통해 OpenSSH 서버를 설치하고, 원격 접근 권한을 확보하며, 토르(Tor) 네트워크를 통해 SSH 서비스를 설정하여 공격 대상 시스템에 원격으로 접근할 수 있는 수단을 마련했다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.
4. SectorD 그룹 활동 특징
2024년 12월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD37 그룹이다.
SectorD37 그룹의 활동은 미국, 이스라엘에서 발견되었다. 해당 그룹은 공급망 공격과 피싱 이메일을 활용하여 초기 침투(Initial Access)에 성공한 뒤, IoT(Internet of Things) 및 OT(Operational Technology) 환경에 특화된 악성코드를 사용했다. 이들이 사용한 악성코드는 MQTT(Message Queuing Telemetry Transport) 프로토콜을 사용해 공격자 서버와 통신하며, 주요 기능에는 연료 서비스 방해, 데이터 탈취, 장비의 오작동 유발이 포함되어 있다.
SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.
5. SectorE 그룹 활동 특징
2024년 12월에는 총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE04, SectorE05, SectorE08 그룹이다.
SectorE01 그룹의 활동은 파키스탄, 중국, 홍콩, 인도, 미국, 카자흐스탄, 영국, 튀르키예, 스웨덴, 폴란드, 베트남, 체코, 우크라이나, 칠레, 독일, 핀란드, 러시아, 불가리아, 벨기에, 브라질, 인도네시아, 프랑스, 스위스, 태국, 조지아, 싱가포르, 이집트에서 발견되었다. 해당 그룹은 프로젝트 가이드라인 제안서로 위장한 윈도우 바로가기(LNK) 파일을 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 시스템의 작업 스케줄러에 등록한 명령을 통해서 추가 악성코드를 다운로드 받도록 하여 후속 공격을 위한 발판을 마련하였다.
SectorE02 그룹의 활동은 파키스탄에서 발견되었다. 해당 그룹은 “새로운 대표단 세부정보”라는 파일명으로 위장한 안드로이드(Android) 앱을 배포하여 공격 활동을 하였으며, 최종적으로 설치한 안드로이드 앱을 통해서 SMS 메시지, 연락처, 통화 기록과 같은 민감한 정보를 탈취하는 악성 행위를 수행하였다.
SectorE04 그룹의 활동은 스리랑카, 네팔에서 발견되었다. 해당 그룹은 의료 보조금 신청서로 위장한 마이크로소프트 워드(Word) 문서를 배포하여 공격 활동을 하였으며, 최종적으로 배포한 워드 문서를 통해서 원격 템플릿(Remote Template) 문서 파일을 다운로드 받아 실행하도록 하여 후속 공격을 위한 발판을 마련하였다.
SectorE05 그룹의 활동은 말레이시아, 중국, 스웨덴, 한국, 영국, 핀란드, 파키스탄, 인도에서 발견되었다. 해당 그룹은 “교육부”라는 파일명으로 위장한 MSC(Microsoft Management Console Snap-in Control) 파일을 배포하여 공격 활동을 하였으며, 최종적으로 배포한 MSC 파일에 포함된 시스템 명령을 사용해 작업 스케줄러를 등록하고, 이를 통해 공격 대상 시스템의 컴퓨터명과 사용자명을 명령 및 제어(C2) 서버로 전송한 뒤, 추가 악성코드를 다운로드 및 실행하도록 하여 후속 공격을 위한 발판을 마련하였다.
SectorE08 그룹의 활동은 파키스탄, 캐나다, 방글라데시, 이란에서 발견되었다. 해당 그룹은 RARLAB의 WinRAR 코드 실행 취약점(CVE-2023-38831)을 악용하는 압축 파일을 배포하여 공격 활동을 하였으며, 최종적으로 설치한 악성코드를 통해서 명령 및 제어(C2) 서버로부터 전달받은 CMD 명령을 실행하여 악성 행위를 하였다.
현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.
6. SectorH 그룹 활동 특징
2024년 12월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.
SectorH03 그룹의 활동은 인도, 스페인에서 발견되었다. 해당 그룹은 “국방부 장관 주재 회의”라는 파일명의 어도비(Adobe) PDF 문서를 배포하여 공격 활동을 하였으며, 최종적으로 배포한 PDF 문서에서 제공한 링크를 통해서 이메일 계정 로그인 후 PDF 문서를 다운로드 받도록 유도한다. 공격 대상이 제공한 링크를 클릭하면 해당 그룹이 제작한 인도 정부 웹사이트로 위장한 피싱(Phishing) 웹사이트로 이동하여 이메일 계정 정보를 수집하도록 하여 후속 공격을 위한 발판을 마련하였다.
SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.
7. SectorR 그룹 활동 특징
2024년 12월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorR01 그룹이다.
SectorR01 그룹의 활동은 중국에서 발견되었다. 해당 그룹은 중국 민간항공 관련 공식 홈페이지를 모방한 피싱 페이지를 제작하여 공격을 수행했다. 이들은 웹페이지에 악성 스크립트를 삽입하여, 공격 대상이 해당 페이지에 접속할 경우 자동으로 악성 파일이 다운로드 되도록 설계했으며, 최종적으로 Sliver RAT를 로드하고 실행하는 역할을 수행했다.
현재까지 지속되는 SectorR 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부와 인접한 국가와 인접한 정치적 경쟁국인 중국 정부와 관련된 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다.
8. SectorS 그룹 활동 특징
2024년 12월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorS01 그룹이다.
SectorS01 그룹의 활동은 콜롬비아에서 발견되었다. 해당 그룹은 악성 코드를 삽입한 RARLAB의 WinRAR 압축 해제 라이브러리를 배포하여 공격 활동을 하였으나, 잘못된 코드 패치(Code Patch)에 의해 정상 동작이 불가한 테스트 목적의 파일로 판단된다. 해당 그룹이 배포한 WinRAR 압축 해제 라이브러리를 올바른 주소로 코드 패치하여 정상 동작하도록 하여 배포하였다면 명령 및 제어(C2) 서버로부터 전달받은 명령에 따라 악성 행위를 했을 것으로 판단된다.
현재까지 지속되는 SectorS 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가들에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다.
9. Cyber Crime 그룹 활동 특징
온라인 가상 공간에서 활동하는 사이버 범죄 그룹은 이번 12월에는 총 10개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ09, SectorJ14, SectorJ25, SectorJ39, SectorJ47, SectorJ93, SectorJ115, SectorJ135, SectorJ149, SectorJ194 그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ09 그룹은 온라인 결제 페이지를 대상으로 스키밍(Skimming) 스크립트를 삽입하여 금융 정보를 탈취하는 폼재킹(Formjacking) 공격을 수행했다. 해당 그룹은 전자 상거래 웹사이트의 결제 페이지에 난독화 된 악성 자바스크립트 코드를 주입하여, 공격 대상이 입력한 카드번호, 유효기간, CVC 코드와 같은 민감한 금융 데이터를 탈취한 것으로 분석된다.
SectorJ14 그룹은 트위터 단축 URL을 첨부한 문자 메시지를 공격 대상에게 발송한 후, 공격 대상이 첨부된 링크를 클릭하도록 유도했다. 공격 대상이 첨부된 단축 URL로 접속하게 되면, 애플(Apple) 로그인 페이지로 위장한 피싱 페이지로 리디렉션되며, 공격 대상이 입력한 애플 자격 증명을 탈취하고자 한 것으로 분석된다.
SectorJ25 그룹의 활동은 한국, 크로아티아에서 발견되었다. 해당 그룹은 공격 대상 시스템에 난독화 된 셸 스크립트(Shell Script) 형태의 악성코드를 유포했으며, 해당 스크립트 파일은 공격 대상 시스템에 추가적인 악성코드들을 다운로드하는 기능을 수행하는 것으로 분석된다. 해당 그룹이 공격 대상 시스템에 다운로드한 악성코드는 깃허브(GitHub)를 통해 소스코드가 공개된 드모르핀(Diamorphine) 루트킷(Rootkit)과 암호화폐 채굴 기능을 수행하는 XMRig로 분석된다. 해당 그룹은 루트킷을 통해 탐지를 회피하여 악성 행위를 수행하고, 최종적으로 XMRig를 통해 암호화폐 채굴을 수행하여 금전적인 이익을 확보하고자 한 것으로 분석된다.
SectorJ39 그룹의 활동은 독일, 미국, 우크라이나에서 발견되었다. 해당 그룹은 피싱 웹사이트를 구축했으며, 이들이 구축한 웹사이트에 공격 대상이 접속하게 되면 특정 취약점을 실행할 수 있도록 설정된 익스플로잇(Exploit) 호스팅 서버로 리디렉션했다. 이들은 해당 서버에서 호스팅한 취약점을 악용하여 롬콤(RomCom)으로 알려진 백도어 악성코드를 공격 대상 시스템에 다운로드 및 실행하는 셸코드(Shellcode)를 실행한 것으로 분석된다.
SectorJ47 그룹의 활동은 헝가리에서 발견되었다. 해당 그룹은 윈도우 바로가기 파일을 공격 대상에게 유포했으며, 공격 대상이 이를 실행하도록 유도했다. 공격 대상이 윈도우 바로가기 파일을 실행하게 되면 파일에 내장된 윈도우 명령어가 실행되며, 외부 서버로부터 이미지 파일과 추가적인 악성코드를 다운로드하는 기능을 수행한다. 다운로드 받은 이미지 파일은 공격 대상이 악성코드를 실행한 내역을 인지할 수 없도록 유도하기 위한 목적으로 악용되었으며, 함께 다운로드 된 추가적인 악성코드는 웹 소켓을 사용하여 명령 및 제어(C2) 서버와 통신하는 DLL 형식의 악성코드이다. 해당 악성코드는 명령 및 제어 서버와 공격 대상이 통신하는 기능을 수행할 뿐만 아니라, 공격 대상 시스템에 저장된 브라우저 크리덴셜(Credentials)을 탈취하거나 스크린샷 캡쳐 등의 기능을 수행하는 것으로 분석된다.
SectorJ93 그룹의 활동은 러시아, 영국, 이탈리아에서 발견되었다. 해당 그룹은 피싱 메일을 통해 공격 대상에게 압축 파일을 전달했으며, 공격 대상이 압축 파일 내 HTA 스크립트 파일을 실행하도록 유도했다. 공격 대상이 HTA 스크립트 파일을 실행하게 되면 외부 서버로부터 이미지 파일과 배치 스크립트(Batch Script) 파일을 공격 대상 시스템에 다운로드한다. 다운로드 된 이미지 파일은 문서 파일을 연 것과 같은 화면으로 위장한 형태로 공격 대상이 악성코드를 실행한 사실을 인지할 수 없도록 유도하는 목적으로 사용되었다. 이미지 파일과 함께 다운로드 된 배치 스크립트 파일은 넷서포트(NetSupport)로 알려진 원격제어 악성코드로, 이들은 공격 대상 시스템을 원격으로 제어하고, 악의적인 명령어를 수행하고자 한 것으로 분석된다.
SectorJ115 그룹의 활동은 네덜란드, 브라질에서 발견되었다. 해당 그룹은 암호화 프로토콜 오픈소스 소프트웨어인 OpenSSL을 사용하고 있는 리눅스 서버를 대상으로 악성코드를 유포한 것으로 분석된다. 해당 그룹은 리버스 쉘(Reverse Shell) 기능을 수행하는 ELF 형식의 악성코드 및 암호화폐 채굴 기능을 수행하는 크립토 마이너와 추가적인 악성코드를 다운로드하는 셸 스크립트 파일을 유포한 것으로 분석된다.
SectorJ135 그룹은 이력서로 위장한 피싱 페이지를 공격 대상에게 유포했으며, 공격 대상이 피싱 페이지에 업로드 된 압축 파일을 다운로드하도록 유도했다. 공격 대상이 압축 파일 내 윈도우 바로가기 파일을 실행하면, 바로가기 파일 내 내장된 윈도우 명령어가 실행된다. 실행되는 명령어는 윈도우 인터넷 익스플로러(Internet Explorer) 설정과 관련된 유틸리티인 “ie4uinit.exe”를 실행하여, 악성 INF 파일을 로드한다. 해당 그룹은 최종적으로 공격 대상 시스템에 백도어 악성코드를 유포했으며 공격 대상 시스템에서 백도어가 지속적으로 동작할 수 있도록 작업 스케줄러를 악용한 것으로 분석된다.
SectorJ149 그룹의 활동은 우크라이나에서 발견되었다. 해당 그룹은 명령 및 제어(C2) 서버로부터 EXE 형태의 실행 파일을 다운로드하는 기능을 수행하는 파워쉘(PowerShell) 명령어가 내장된 윈도우 바로가기 파일을 사용했다. 최종적으로 공격 대상 시스템에 다운로드 된 악성코드는 렘코스(Remcos)로 알려진 원격 제어 악성코드로 해당 그룹은 공격 대상 시스템을 원격으로 제어하고 악의적인 명령어를 수행하고자 한 것으로 분석된다.
SectorJ194 그룹은 공격 대상에게 피싱 사이트 링크를 첨부한 피싱 메일을 발송했으며, 최신 마이크로코드 업데이트가 필요하다는 내용도 작성하여 공격 대상이 메일에 첨부된 링크를 클릭하도록 유도했다. 공격 대상이 첨부된 링크로 접속하게 되면 링크에서 제공된 명령어를 실행하라는 설명과 함께 리눅스 명령어가 제공된다.
공격 대상이 제공된 명령어를 공격 대상 시스템에서 실행하게 되면, 깃허브(GitHub)에 업로드 된 셸 스크립트 파일(Shell Script) 파일을 공격 대상 시스템에 다운로드한다. 해당 그룹이 다운로드한 셸 스크립트 파일은 현재 삭제되었으나, 유사한 공격 기법에 활용한 깃허브에서 호스팅 된 파일이 백도어 악성코드였던 것을 통해, 해당 셸 스크립트 파일도 백도어 악성코드였을 것으로 판단된다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.