2023 Activities Summary of SectorB groups (KOR)

SectorB 그룹 활동

2023년 총 36개의 SectorB 하위 그룹들의 해킹 활동이 발견되었다. 이들은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하는 것을 목적으로 하며, 각각의 하위 그룹들이 해킹 활동을 위한 악성코드나 취약점 등을 공유하는 양상을 보인다.

2023년 한 해 동안 발생한 SectorB 그룹들의 활동량을 분석한 결과 SectorB22 그룹의 활동이 가장 두드러진 것으로 확인된다.

[그림 1: 2023년 확인된 SectorB의 하위 그룹 활동량]

SectorB 그룹들의 주요 공격 대상이 된 산업군들을 살펴보면 정부 기관에 종사하고 있는 관계자 또는 시스템이 가장 많은 공격 대상이 되었으며, 다음으로는 제조업, 교육 분야 순서로 확인된다.

[그림 2: 2023년 공격 대상이 된 산업 분야 통계]

다음은 2023년 SectorB 그룹의 공격 대상이었던 국가의 정보를 지도에 표기한 것이며, 붉은 색이 짙을수록 공격 횟수가 잦았음을 의미한다. 이를 통해 SectorB 그룹은 미국을 대상으로 가장 많은 해킹 활동을 수행했음을 확인할 수 있으며 대만, 홍콩이 그 뒤를 이어가고 있다.

[그림 3: 2023년 SectorB 그룹의 주요 공격 대상 국가]

SectorB 그룹 활용 최초 침투 경로

2023년에 확인된 SectorB 그룹의 최초 침투 경로(Initial Access) 중 스피어 피싱을 통해 악성 첨부 파일(Spear phishing Attachment)을 유포하는 방법을 가장 많이 활용한 것으로 확인된다.

스피어 피싱 공격은 특정 개인이나 조직을 대상으로 수행되는 사회공학적(Social Engineering) 공격으로 악성 링크를 통해 공격 대상의 자격 증명(Credential)을 입력하도록 유도할 수 있고 공격 대상이 악성 코드를 실행하도록 유도할 수 있다.

이들은 공격 대상과 신뢰성이 있는 관계자로 위장하여 공격 대상이 악성 링크 또는 첨부 파일을 실행하도록 유도하여 최초 침투가 성공할 가능성이 높기 때문에 스피어 피싱을 가장 많이 활용한  것으로 확인된다.

[그림 4: SectorB 그룹 활용 최초 침투 경로 통계]

SectorB 그룹 활용 취약점

2023년에 확인된 SectorB 그룹이 활용한 취약점 상위 5개 중 CVE-2017-11882(MS Office 수식 편집기 취약점) 취약점과 CVE-2023-2868(Barracuda Networks ESG Appliance 부적절한 인증 취약점) 취약점을 가장 많이 활용한 것으로 확인된다.

SectorB 그룹은 CVE-2017-11882(Microsoft Office 수식 편집기 취약점) 취약점을 악용하여 악성 첨부 파일을 스피어 피싱을 통해 유포하여, 사용자가 문서를 실행하도록 유도하여 공격 대상 시스템에 추가 악성 코드를 다운로드 및 실행한 것으로 확인된다.

또한 CVE-2023-2868(Barracuda Networks ESG Appliance 부적절한 인증 취약점) 취약점을 악용하여 공격 대상 시스템을 제어하고 민감한 데이터를 탈취한 것으로 확인된다.

[그림 5: SectorB 그룹 활용 취약점 Top5]

취약점 코드

취약점 분류

취약점 대상

CVE-2017-11882

Memory Corruption Vulnerability Barracuda Networks ESG Appliance

CVE-2023-2868

Improper Input Validation Vulnerability

Microsoft Office

CVE-2018-0798

Memory Corruption Vulnerability Microsoft Office
CVE-2018-0802 Memory Corruption Vulnerability

Microsoft Office

CVE-2021-40539 Authentication Bypass Vulnerability

Zoho ManageEngine ADSelfService Plus

[표 1: SectorB 그룹 활용 취약점 Top5]

SectorB 그룹 공격 대상 시스템

취약점이 있는 소프트웨어는 서버(Server)와 클라이언트(Client)로 분류할 수 있으며, 해킹 그룹들은 네트워크 중심에 위치하여, 내부 네트워크에 대한 추가적인 공격을 용이하게 수행할 수 있는 서버 시스템과 관련된 취약점을 통해 해킹 활동을 수행한다.

2023년에 확인된 SectorB 그룹의 공격 대상 시스템 상위 5개 중 Microsoft 비즈니스 전자 메일 서비스인 “Microsoft Exchange Server” 시스템을 대상으로 가장 많은 공격을 수행한 것으로 확인되며, 이는 조직 내부 시스템에 침투하기 위한 발판을 마련하고 고부가 가치 정보를 탈취하기 위한 목적으로 서버 유형의 시스템을 공격 대상으로 삼은 것으로 판단된다.

[그림 6: 2023년 SectorB 그룹의 공격 대상 시스템 Top5]

SectorB 그룹 활용 오픈소스 및 프리웨어 도구

2023 년에 확인된 SectorB 그룹이 활용한 오픈소스 및 프리웨어 도구 상위 5개 중 침투 테스트 도구로 알려진 “코발트 스트라이크(Cobalt Strike)”가 가장 많은 것으로 확인된다.

코발트 스트라이크(Cobalt Strike)는 권한 상승, 정보 탈취 및 C2 통신 등 다양한 기능을 수행할 수 있어 공격 대상을 효율적으로 제어할 수 있어 SectorB 그룹이 가장 많이 활용한 것으로 확인된다.

[그림 7: 2023년 SectorB 그룹 활용 오픈소스 및 프리웨어 도구 Top5]

도구명

도구 기능

Cobalt Strike

침투 테스트 도구

Mimikatz

윈도우 자격증명(Credential) 정보 수집 도구

Impacket

네트워크 프로토콜 관련 파이썬(Python) 클래스

Fscan

네트워크 스캔 도구

NbtScan

넷바이오스 네임서버(NETBIOS NameServer) 스캔 도구

[표 2: 2023년 SectorB 그룹 활용 오픈소스 및 프리웨어 도구 Top5]

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.