Activity of Hacking Group Targeted Financial Industry in 2023 (KOR)

개요

NSHC 위협 분석 연구소(Threat Research Lab)에서는 2023 년에 금융 산업군 대상의 해킹 그룹들의 해킹 활동 정보를 분석하였다.
본 보고서는 금융 산업군으로 분류할 수 있는 은행(Bank), 금융 서비스 관련 기업 및 기관(Finance), 보험(Insurance) 산업군을 대상으로 해킹 활동을 수행한 해킹 그룹들의 해킹 활동 정보를 분석한 정보를 서술하고 있다.

해킹 그룹 활동 통계

2023년에는 총 34개의 해킹 그룹 활동이 확인되었으며, 상위 5개의 해킹 그룹 중 온라인 가상 공간에서 활동하는 사이버 범죄 그룹인 SectorJ 그룹이 60%로 가장 많았으며, SectorA, SectorB 그룹의 활동이 그 뒤를 이었다.

SectorJ 그룹은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

공격 대상 국가 통계

2023년에는 금융 산업군 대상의 해킹 그룹들의 상위 10개의 공격 대상 국가 중 미국이 20%로 가장 많았으며, 독일과 영국이 그 뒤를 이었다.

공격 대상 기업 산업군 통계

2023년에 확인된 해킹 그룹들의 공격 대상이 된 금융 산업군과 관련된 기업은 총 26개로 확인되었으며, 은행(Bank) 산업군이 50%로 가장 많은 것으로 확인된다.

이들은 은행 뿐만 아니라, 금융과 관련된 서비스를 제공하는 다양한 기업 및 기관, 보험 업체도 대상으로 해킹 활동을 수행한 것으로 확인된다.

해킹 그룹 활용 최초 침투 경로 통계

2023년에 확인된 해킹 그룹들의 최초 침투 경로(Initial Access) 상위 5개 중 스피어 피싱을 통해 악성 링크(Spear Phishing Link)와 악성 첨부 파일(Spear Phishing Attachment)을 유포하는 방법을 가장 많이 활용한 것으로 확인된다.

스피어 피싱 공격은 특정 개인이나 조직을 대상으로 수행되는 사회공학적(Social Engineering) 공격으로 악성 링크를 통해 공격 대상의 자격 증명(Credential)을 입력하도록 유도할 수 있고 공격 대상이 악성 코드를 실행하도록 유도할 수 있다.

이들은 공격 대상과 신뢰성이 있는 관계자로 위장하여 공격 대상이 악성 링크와 첨부 파일을 실행하도록 유도하여 최초 침투가 성공할 가능성이 높기 때문에 스피어 피싱을 가장 많이 활용한 것으로 확인된다.

해킹 그룹 활용 취약점 통계

2023년에 확인된 해킹 그룹이 활용한 취약점 중, CVE-2021-26855 (Microsoft Exchange Server 원격 코드 실행 취약점(RCE, Remote Code Execution)) 취약점이 16%로 가장 많은 것으로 확인된다.

해킹 그룹들은 목적을 달성하기 위해 공격 대상 시스템에 악성코드나 소프트웨어를 설치하는데, 해당 과정에서 원격 코드 실행 취약점(RCE, Remote Code Execution)이 가장 많이 악용된 것으로 확인된다

취약점 코드

취약점 분류

취약점 대상

CVE-2021-26855

Remote Code Execution Vulnerability Microsoft Exchange Server

CVE-2018-13379

Path Traversal Vulnerability Fortinet FortiOS

CVE-2020-12812

Improper Authentication Vulnerability Fortinet FortiOS

CVE-2021-27065

Remote Code Execution Vulnerability Microsoft Exchange Server

CVE-2021-36934

Elevation of Privilege Vulnerability Security Accounts Manager (SAM) Database

CVE-2021-4034

Elevation of Privilege Vulnerability Polkit

CVE-2021-40539

Authentication Bypass Vulnerability Zoho ManageEngine ADSelfService Plus

CVE-2023-29059

embedded malicious code 3CX DesktopApp

CVE-2015-2291

Windows Denial-of-Service Vulnerability Intel Ethernet Diagnostics Driver

(iqvw64.sys)

CVE-2015-5317

Information Disclosure Vulnerability Jenkins User Interface (UI)

공격 대상 시스템 통계

취약점이 있는 소프트웨어는 서버(Server)와 클라이언트(Client)로 분류할 수 있으며, 해킹 그룹들은 네트워크 중심에 위치하여, 내부 네트워크에 대한 추가적인 공격을 용이하게 수행할 수 있는 서버 시스템과 관련된 취약점을 통해 해킹 활동을 수행한다.

2023년에 확인된 해킹 그룹들의 공격 대상 시스템 상위 10개 중, 전 세계적으로 널리 사용되는 Microsoft의 전자 메일 서비스 제품인 “Microsoft Exchange Server” 시스템을 대상으로 가장 많은 공격을 수행한 것으로 확인되며, 이는 조직 내부 시스템에 침투하기 위한 발판을 마련하고 고부가 가치 정보를 탈취하기 위한 목적으로 서버 유형의 시스템을 공격 대상으로 삼은 것으로 판단된다.

해킹 그룹 활용 오픈소스 및 프리웨어 도구 활용 통계

해킹 그룹들은 다양한 목적으로 개발된 오픈 소스(Open Source) 기반 도구와 프리웨어(Freeware)를 악용하는 전략을 사용하고 있으며, 이러한 전략은 새로운 악성코드를 개발하는 시간 및 비용을 절감하고, 침입한 시스템에 자신들의 고유한 흔적을 남기지 않아, 해킹 그룹의 주요 전략 중 하나로 자리잡아 가고 있다.

2023년에 해킹 그룹들이 활용한 오픈 소스(Open Source) 및 프리웨어(Freeware) 도구 상위 10개 중 권한 상승에 사용되는 미미카츠(Mimikatz)가 22%로 가장 많이 사용된 것으로 확인되며, 이외 에도 일반 적으로 메신저 프로그램으로 사용되는 텔레그램(Telegram)은 탈취한 데이터를 텔레그램 채널로 전송하거나, 텔레그램 API를 통해 공격 대상 시스템을 제어하는 용도로 활용되었다.

도구명

도구 기능

도구 링크

mimikatz

윈도우 자격증명(Credential) 정보 수집 도구 https://github.com/gentilkiwi/mimikatz

Telegram

메신저 프로그램 https://telegram.org/

AnyDesk

원격 제어 프로그램 https://anydesk.com/

PsExec

원격 실행 프로그램 https://learn.microsoft.com/en-us/sysinternals/downloads/psexec

Cobalt Strike

침투 테스트 도구 https://www.cobaltstrike.com/

Discord

메신저 프로그램 https://discord.com/

Chisel

네트워크 터널링 프로그램 https://github.com/jpillora/chisel

Google Drive

구글 클라우드 파일 저장 및 공유 서비스 https://www.google.com/drive/

No-IP

IP 주소 확인 웹 서비스 https://www.noip.com/

Splashtop

원격 제어 프로그램 https://www.splashtop.com/

ifconfig

IP 주소 확인 웹 서비스 http://ifconfig.me/ip

결론

본문에서는 2023년 금융 산업군 대상의 해킹 그룹들이 활용하는 다양한 공격 기법 및 공격 도구 정보를 기술하고 있으며, 이를 통해 이들의 공격 기술 및 전략이 다양해졌다는 것을 알 수 있다.

또한 본문에서 기술된 2023년 금융 산업군 대상 해킹 그룹 활동 통계를 통해 SectorJ 그룹이 가장 많은 해킹 활동을 수행한 것을 알 수 있다. SectorJ 그룹은 금전적인 이윤 확보를 위해 정보 탈취 및 랜섬웨어 유포 등의 공격을 수행했으며, 이와 같은 공격 유형은 정보 유출 및 서비스 중단과 같은 큰 규모의 피해를 초래할 수 있기 때문에 피해 방지를 위한 대비 및 대응 체계를 갖출 필요가 있다.

따라서, 금융 산업군 대상의 해킹 그룹들이 활용하는 공격 기법, 공격 도구 정보에 대해 알 수 있는 사이버 위협 인텔리전스(Cyber Threat Intelligence)를 확보하게 된다면, 최근 공격 기법과 공격과 관련된 데이터를 활용하여 능동적인 대응 체계를 갖출 수 있다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.