Monthly Threat Actor Group Intelligence Report, February 2021
이 문서는 2021년도 1월 21일에서 2021년 2월 20일까지 발견된 해킹 그룹 활동과 관련된 이슈를 설명하고 이와 관련된 침해사고 정보와 ThreatRecon Platform 내 위협 이벤트 정보를 포함합니다.
1. SectorA 그룹 활동 특징
올해 2월 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA05와 SectorA07 그룹입니다.
SectorA01 그룹의 활동은 프랑스, 미국, 캐나다, 스페인, 오스트레일리아, 스위스, 러시아, 한국, 홍콩, 인도, 싱가포르, 터키, 이탈리아, 우크라이나, 독일에서 발견되었습니다. 이번 활동에서 공격자는 사회공학(Social Engineering) 기법을 사용하여 특정 기업의 보안 연구원들을 표적으로 삼았습니다. 이들은 SNS(Social Network Service) 계정을 사용해 해킹 대상과 신뢰 관계를 구축했으며, 해킹 대상과 관련된 여러 신상 정보를 지속적으로 관찰했습니다. 이외에 취약점과 매크로 스크립트를 포함하는 MS 워드 문서를 사용하여 특정 기업을 대상으로 악성코드를 유포하기도 했습니다.
SectorA05 그룹의 활동은 홍콩, 한국에서 발견되었습니다. 공격자는 ‘바이든(Biden)’, ‘대북정책’, ‘COVID-19’와 같은 사회적 이슈를 주제로 하는 악성코드를 사용해 다양한 형태의 공격을 했습니다 이외에 감염 시스템 정보를 수집해 한국의 특정 웹 메일 서버로 전송하는 기능을 갖는 악성코드가 발견되기도 했습니다. 악성코드는 한국에서 사용하는 워드 프로세스 모듈로 위장했습니다.
SectorA07 그룹의 활동은 인도, 이탈리아, 필리핀, 스페인, 미국, 러시아에서 발견되었습니다. 공격자가 지난 2년 동안 이탈리아의 특정 방산 기업 내부에서 지속적으로 활동했음이 확인되었습니다. 이외에 러시아에서 한국과 북한의 경제 활동을 연구하는 연구원을 대상으로 하는 공격 활동이 확인되었습니다.
현재까지 지속되는 SectorA 해킹 그룹들의 목적은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위함이며, 이와 더불어 전 세계를 대상으로 재화 확보를 위한 해킹 활동을 병행합니다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적은 당분간 변화 없이 유지될 것으로 판단됩니다.
2. SectorB 그룹 활동 특징
올해 2월 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB04, SectorB22와 SectorB32 그룹입니다.
SectorB04 그룹의 활동은 일본, 터키, 미국에서 발견되었습니다. 이번 활동의 주요 공격 대상은 일본에 위치하거나 해외 지사를 가지고 있는 일본 기업으로, 공격자는 초기 접근(Initial Access) 방식으로 SSL-VPN의 취약점을 사용했습니다.
SectorB22 그룹의 활동은 대만, 홍콩, 스리랑카, 우간다, 폴란드, 캐나다에서 발견되었습니다. 공격자는 PC용 안드로이드 에뮬레이터(Android Emulator) 소프트웨어 업데이트 과정에 개입하여 사용자가 악성 기능을 포함하는 업데이트 프로그램을 다운로드 받도록 했습니다.
SectorB32 그룹의 활동은 러시아에서 발견되었습니다. 이번 활동에서 바로가기 파일(LNK) 형식의 악성코드가 발견되었으며, 실행 시 특정 파일을 환경변수로 등록하기 위한 파워쉘(PowerShell) 명령을 실행합니다. 바로가기 파일은 특정 소프트웨어 파일명을 사용하여 정상 프로그램으로 위장했습니다.
현재까지 지속되는 SectorB 해킹 그룹들의 목적은 전 세계 각국 정부 기관의 정치, 외교 활동 등과 관련된 고급 정보를 수집하기 위한 것으로 분석됩니다.
3. SectorC 그룹 활동 특징
올해 2월 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01과 SectorC08와 SectorC13 그룹입니다.
SectorC01 그룹의 활동은 카자흐스탄, 영국, 독일에서 발견되었습니다. 공격자는 매크로 스크립트(Macro Script)가 포함된 MS 워드 문서를 사용하여 델파이(Delphi)로 작성된 다운로더(Downloader)를 감염 시스템에 생성했습니다. 사용된 문서는 ‘사전 명세서(Advanced Statement)’를 주제로 작성되었습니다.
SectorC08 그룹의 활동은 우크라이나와 프랑스에서 발견되었습니다. 공격자는 템플릿 인젝션(Template Injection)을 사용하여 공격자 서버에서 매크로 스크립트가 포함된 MS 워드 문서를 다운로드하는 기존의 해킹 방식을 유지했습니다.
SectorC13 그룹의 활동은 우크라이나, 벨라루스, 프랑스에서 발견되었습니다. 이들은 ‘EU 보안 연구소(EUISS)의 공통 보안 및 방어 정책’ 등을 주제로 하는 MS 워드 문서를 사용했으며, 실행 시 공격자 서버에 접속해 파워쉘(PowerShell) 또는 VBScript와 같이 후속 작업을 위한 스크립트를 다운로드 합니다.
현재까지 지속되는 SectorC 해킹 그룹들의 목적은 이들을 지원하는 국가와 인접한 국가를 포함하여 전 세계 각 국가들의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석됩니다.
4. SectorD 그룹 활동 특징
올해 2월 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD02 그룹입니다.
SectorD02 그룹의 활동은 아랍에미리트에서 발견되었습니다. 공격자는 쿠웨이트 외무부에서 작성한 것으로 위장한 MS 워드 문서를 사용했습니다. 문서는 추가 악성코드를 다운로드 하기 위한 악성 링크를 포함합니다.
이들은 주로 SectorD 해킹 그룹을 지원하는 국가의 정부와 정치적인 경쟁 관계에 있는 국가 또는 개인, 단체를 공격 대상으로 삼으며, 이들과 관련된 정치, 외교 활동 등의 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석됩니다.
5. SectorE 그룹 활동 특징
올해 2월 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE02와 SectorE05 그룹입니다.
SectorE02 그룹의 활동은 스리랑카, 미국, 이탈리아, 중국, 대만, 일본, 네팔, 파키스탄에서 발견되었습니다. 공격자는 MS 워드(Word)와 RTF(Rich Text Format) 형식의 악성 문서를 사용했으며, 문서를 통해 생성되는 악성코드는 모두 동일한 인증서를 사용하여 디지털 서명되었다는 공통점을 갖습니다.
SectorE05 그룹의 활동은 중국에서 발견되었습니다. 이번 활동에서 공격자는 윈도우 10(Windows 10) 운영체제에서 권한을 상승할 수 있는 제로 데이(Zero Day) 취약점인 CVE-2021-1732를 활용해 공격을 수행했습니다.
SectorE 해킹 그룹들은 주로 이들을 지원하는 국가와 지리적으로 근접한 주변국의 정치, 외교 및 군사 활동 등의 고급 정보를 수집하는 것을 목적으로 합니다. 하지만 최근 이들은 극동 아시아를 포함하는 다른 지역으로 공격 대상을 확대했습니다. 이는 정치, 외교 관련 정보와 더불어 고급 기술 정보들을 획득하기 위한 활동의 비중과 범위를 늘리고 있는 것으로 분석됩니다.
6. SectorF 그룹 활동 특징
올해 2월 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorF01 그룹입니다.
SectorF01 그룹은 베트남, 중국에서 이들의 활동이 발견되었습니다. 공격자는 MS 워드(Word) 문서에 매크로 스크립트를 삽입해 사용자가 콘텐츠 허용을 누르도록 유도합니다. 매크로 스크립트 실행 시 DLL 사이드 로딩(DLL Side Loading)을 사용해 정상 프로그램에 악성 DLL을 로드하며, 사용자의 의심을 피하기 위한 정상 문서를 생성하고 실행합니다.
SectorF01 해킹 그룹은 이들을 지원하는 국가와 근접한 국가들의 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하고, 자국의 경제 발전을 위해 첨단 기술 관련 고급 정보 탈취 목적을 갖는 것으로 분석됩니다.
7. SectorH 그룹 활동 특징
올해 2월 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹입니다.
SectorH03 그룹의 활동은 파키스탄에서 발견되었습니다. 공격자는 주간 리포트를 주제로 작성된 MS 워드 문서를 사용했으며 이는 실행파일을 생성하기 위한 매크로 스크립트를 포함합니다.
SectorH 해킹 그룹은 사이버 범죄 목적과 정부 지원 목적을 갖습니다. 특히, 인접한 국가와 외교적 마찰이 계속되고 있어 해당 국가의 정부기관, 군사, 정치 관련된 고급 정보 탈취를 위한 활동이 지속될 것으로 분석됩니다.
8. Cyber Crime 그룹 활동 특징
올해 2월 온라인 가상 공간에서 활동하는 사이버 범죄 그룹 중 총 5 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ01, SectorJ03, SectorJ04, SectorJ06와 SectorJ09 그룹입니다.
이들은 현실 세계에서 금전적인 이윤을 확보하기 위해 사용될 수 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행합니다.
SectorJ01 그룹의 활동은 스페인, 프랑스, 이탈리아, 스웨덴, 오스트리아, 아일랜드, 인도, 캐나다, 중국, 스위스, 우크라이나, 폴란드, 호주, 말레이시아, 불가리아, 이스라엘, 칠레, 몰도바, 대한민국, 태국, 독일, 영국, 미국에서 발견되었습니다. 공격자는 청구서(Invoice)를 주제로 하는 피싱(Phishing) 메일에 매크로 스크립트를 포함하는 악성 문서를 첨부했습니다. 문서 실행 후 콘텐츠 허용을 누르면 난독화 된 악성 자바스크립트 파일을 다운로드하고 실행합니다.
SectorJ03 그룹의 활동은 팔레스타인, 독일, 미국, 러시아, 인도, 영국, 칠레, 프랑스, 불가리아, 튀니지에서 발견되었습니다. 공격자는 안드로이드(Android)를 대상으로 하는 악성코드를 사용해 SMS 정보, 사진, 통화 녹음 등을 수집했습니다. 이외에 송금 통지서를 주제로 하고 매크로 스크립트를 포함하는 MS 워드 문서가 발견되었습니다.
SectorJ04 그룹의 활동은 이집트, 영국, 말레이시아, 폴란드, 스위스, 에스토니아, 이탈리아, 캐나다, 독일, 프랑스, 미국에서 발견되었습니다. 공격자는 MS 엑셀(Excel) 문서가 전자 서명에 의해 암호화 되었다는 경고문을 통해, 사용자가 콘텐츠 실행을 클릭하도록 유도했습니다. 문서 실행 시 셀에 포함된 수식을 통해 추가적인 악성코드를 다운로드 하고 실행합니다.
SectorJ06 그룹의 활동은 프랑스, 아일랜드, 독일, 벨기에, 영국, 세이셸, 캐나다, 말레이시아, 인도, 미국, 핀란드, 스웨덴, 이스라엘, 싱가폴, 세르비아, 아르헨티나, 칠레, 호주, 포르투갈, 스페인, 니카라과, 중국에서 발견되었습니다. 공격자는 콘티(Conti) 랜섬웨어를 사용해 파일을 암호화 시키고 사용자에게 금전을 요구했으며, SMB 원격 코드 실행 취약점을 사용하여 내부 네트워크에 랜섬웨어를 전파시켰습니다. 이들은 랜섬웨어를 유포함과 동시에 원격 제어 도구를 사용하여 데이터 유출을 시도했습니다.
SectorJ09 그룹은 결제 페이지에 난독화 된 스키밍(Skimming) 스크립트를 삽입해 사용자명, 주소, 이메일, 전화번호, 신용카드 지불 정보 등을 수집하는 해킹 방식을 유지하고 있습니다. 이번 활동에서 기존에 발견되던 것과 동일한 유형의 자바스크립트(Javascript)가 확인되었습니다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.