Monthly Threat Actor Group Intelligence Report, February 2025 (KOR)
2025년 1월 21일에서 2025년 2월 20일까지 NSHC 위협분석 연구소(Threat Research Lab)에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.
이번 2월에는 총 62개의 해킹 그룹들의 활동이 확인되었으며, SectorJ 그룹이 42%로 가장 많았으며, SectorA, SectorB 그룹의 활동이 그 뒤를 이었다.
이번 2월에 발견된 해킹 그룹들의 해킹 활동은 정부 기관 및 금융 분야에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 북아메리카(North America)와 유럽(Europe)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.
1. SectorA 그룹 활동 특징
2025년 2월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA05, SectorA07 그룹이다.
SectorA01 그룹의 활동은 브라질, 미국, 러시아, 폴란드, 네덜란드, 프랑스에서 발견되었다. 해당 그룹은 링크드인(LinkedIn), 텔레그램(Telegram), 디스코드(Discord) 등의 플랫폼을 활용하여 채용 담당자로 위장하고, 화상 인터뷰를 가장하여 공격 대상이 특정 명령어를 복사하여 실행하도록 유도했으며, 최종적으로 백도어 기능을 수행하는 악성코드를 사용했다.
SectorA02 그룹의 활동은 한국, 일본에서 발견되었다. 해당 그룹은 북한 관련 내용이 포함된 악성 한글(HWP) 파일 형식의 문서를 사용했으며, 최종적으로 백도어 악성코드를 사용하여 공격자의 명령에 따라 파일을 탈취하고, 피클라우드(pCloud), 얀덱스(Yandex)와 같은 클라우드 서비스를 사용하여 공격자의 클라우드 서버로 전송했다.
SectorA05 그룹의 활동은 오스트리아, 미국, 한국, 멕시코, 인도, 이탈리아에서 발견되었다. 해당 그룹은 부가가치세 신고를 주제로 피싱 공격을 시도했으며, 국세청, 포털 사이트, 인증 메일 등을 사칭해 사용자에게 이메일을 발송했다. 이메일에 포함된 링크를 클릭하면 포털 사이트 로그인 화면으로 위장한 피싱 페이지로 연결되며, 사용자가 로그인 정보를 입력할 경우 공격자에게 전송되도록 설계했다.
SectorA07 그룹의 활동은 일본, 한국, 베트남에서 발견되었다. 해당 그룹은 국세징수 관련 소명 자료 요청서로 위장한 윈도우 바로가기(LNK) 파일 형식의 악성코드를 사용했으며, 공격 대상이 악성코드를 실행할 경우 최종적으로 비주얼 베이직 스크립트(Visual Basic Script)와 배치(Batch) 스크립트 형식의 악성 코드가 동작하여 정보 수집 및 추가 악성코드를 다운로드 및 실행한다.
현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.
2. SectorB 그룹 활동 특징
2025년 2월에는 총 6개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB01, SectorB22, SectorB71, SectorB108, SectorB109, SectorB110 그룹이다.
SectorB01 그룹의 활동은 대만, 사우디아라비아, 예멘, 일본, 한국, 스페인, 벨기에, 러시아, 영국, 필리핀, 그리스, 독일, 에콰도르, 파나마, 미국에서 발견되었다. 해당 그룹은 제조업, 교육, 에너지, 엔터테인먼트 산업군을 대상으로 쉐도우패드(ShadowPad)로 알려진 원격 제어 기능의 악성코드와 랜섬웨어(Ransomware)를 배포하여 지적 재산권 도용 목적의 공격 활동을 하였다.
SectorB22 그룹의 활동은 태국, 싱가포르, 미국, 중국, 베트남, 필리핀에서 발견되었다. 해당 그룹은 초대장 문서로 위장한 MSC(Microsoft Management Console Snap-in Control) 파일을 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 시스템에 설치한 악성 배치 파일을 통해 추가적으로 다운로드 받은 원격 제어 기능의 악성코드를 통해, 명령 및 제어(Command and Control, C2) 서버로부터 전달받은 명령을 수행하며 악성 행위를 했다.
SectorB71 그룹의 활동은 한국에서 발견되었다. 해당 그룹은 리눅스 기반의 공격 대상 시스템을 대상으로 SSH 데몬(Daemon)에 주입하는 악성코드를 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 시스템에서 SSH 데몬에 의해 로드 한 악성 SSL 라이브러리를 통해, 명령 및 제어(Command and Control, C2) 서버로부터 전달받은 명령을 수행하며 악성 행위를 했다.
SectorB108 그룹의 활동은 아르헨티나, 방글라데시, 인도네시아, 말레이시아, 멕시코, 네덜란드, 태국, 미국, 베트남에서 발견되었다. 해당 그룹은 전 세계 통신사들의 패치 되지 않은 Cisco 네트워크 장비를 대상으로 공격 활동을 하였다. 해당 그룹은 최종적으로 공격 대상 네트워크에서 GRE(Generic Routing Encapsulation) 터널을 구성하여 공격 대상 Cisco 장비와 해당 그룹의 인프라와 통신 시 은밀한 데이터 유출을 용이하게 하였고, 네트워크 모니터링을 우회할 수 있었다.
SectorB109 그룹의 활동은 한국, 일본, 중국에서 발견되었다. 이 그룹은 한국의 VPN 개발사를 대상으로 공급망 공격을 수행했으며, 이를 통해 백도어 악성코드를 배포했다. 해당 백도어 악성코드는 공격 대상 시스템에서 민감한 정보를 수집하고, 저장된 파이썬 모듈을 실행하며, 시스템 레지스트리를 수정하여 지속성을 확보했다.
SectorB110 그룹의 활동은 홍콩, 태국, 미국, 브라질, 한국에서 발견되었다. 해당 그룹은 남미 외무부를 대상으로 악성코드를 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 시스템에 설치한 악성 파일을 통해, 명령 및 제어(Command and Control, C2) 서버로부터 전달받은 명령을 수행하며 악성 행위를 했다.
현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.
3. SectorC 그룹 활동 특징
2025년 2월에는 총 6개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC04, SectorC05, SectorC26, SectorC28, SectorC29 그룹이다.
SectorC01 그룹의 활동은 아랍에미리트에서 발견되었다. 해당 그룹은 피싱 이메일을 통해 악성 문서를 유포하고, 취약점을 악용해 내부 시스템에 침투하는 공격을 수행했다. 공격자는 WinRAR 취약점(CVE-2023-38831)이 포함된 압축 파일을 통해 악성코드를 실행시키며, 이후 파워쉘(PowerShell), 비주얼 베이직 스크립트(VBS), 배치(BAT) 스크립트를 연계해 다단계 페이로드를 로딩 하고 백도어를 설치한다.
SectorC04 그룹은 최근 디바이스 코드 인증(Device Code Authentication) 방식을 악용해 마이크로소프트 365(Microsoft 365) 계정을 탈취하는 피싱 공격을 수행했다. 이들은 미국 국무부, 유럽 연합 의회, 우크라이나 국방부 등 정부기관을 사칭해 피싱 이메일을 전송했고, 마이크로소프트 팀즈(Microsoft Teams) 회의 초대, 채팅방 참여 요청, 외부 애플리케이션 승인 요청 등 업무 연관성이 높은 시나리오를 활용해 사용자 신뢰를 유도했다.
SectorC05 그룹의 활동은 우크라이나, 스페인, 프랑스, 폴란드, 영국, 미국, 캐나다, 오스트레일리아에서 발견되었다. 해당 그룹은 윈도우 업데이트(Windows Update)로 위장한 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP) 악성코드를 배포하는 공격을 수행했다. 해당 악성코드는 사용자에게 일반적인 시스템 업데이트처럼 보이도록 설계된 실행 파일로 위장되어 있으며, 실행 시 시스템에 RDP 설정을 강제로 변경해 외부 접속을 허용한다.
SectorC26 그룹은 마이크로소프트 디바이스 코드 인증(Device Code Authentication) 절차를 악용하여 마이크로소프트 365(Microsoft 365) 계정을 탈취하는 정교한 피싱 캠페인을 수행했으며 마이크로소프트 팀즈(Microsoft Teams) 초대 또는 외부 애플리케이션 인증 요청처럼 보이도록 위장된 메시지를 사용했다
SectorC28 그룹은 시그널(Signal) 메신저의 그룹 초대 페이지를 위조해 사용자를 속이고, 공격 대상의 계정에 공격자 디바이스를 연결하는 피싱 공격을 수행했다. 정상적인 그룹 초대 링크처럼 보이는 페이지 내부에 디바이스 연결 URL를 삽입해, 클릭만으로 계정 탈취 없이 메시지 감시가 가능한 구조를 악용한 정교한 공격이다.
SectorC29 그룹은 시그널(Signal) 메신저의 디바이스 연결 기능을 악용해, 악성 QR 코드 기반 피싱 공격을 수행했다. 공격 대상이 QR 코드를 스캔하면 공격자의 디바이스가 시그널 계정에 연결되며, 이후 메시지를 실시간으로 탈취할 수 있는 상태가 된다.
현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.
4. SectorE 그룹 활동 특징
2025년 2월에는 총 3개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE04 그룹이다.
SectorE01 그룹의 활동은 중국, 대만에서 발견되었다. 해당 그룹은 군 특별전형 안내 문서로 위장한 윈도우 바로가기(LNK) 파일을 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 시스템에 추가 악성 파일을 1분 단위로 다운로드 받은 후 실행하기 위해 작업 스케줄러에 등록하여 후속 공격을 위한 발판을 마련하였다.
SectorE02 그룹의 활동은 네덜란드, 방글라데시에서 발견되었다. 해당 그룹은 채팅 애플리케이션으로 위장한 안드로이드(Android) 앱을 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 단말기에서 실행한 안드로이드 앱을 통해서 SMS 메시지, 연락처, 통화 기록과 같은 민감한 정보를 탈취하는 악성 행위를 수행하였다.
SectorE04 그룹의 활동은 스리랑카, 미국, 중국, 홍콩에서 발견되었다. 해당 그룹은 스리랑카 대통령 비서실에서 발행한 공식 문서로 위장한 마이크로소프트 워드(Microsoft Word) 문서를 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 시스템에서 실행한 워드 문서를 통해서 원격 템플릿(Remote Template) 문서 파일을 다운로드 받아 실행하도록 하여 후속 공격을 위한 발판을 마련하였다.
현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.
5. SectorH 그룹 활동 특징
2025년 2월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH01, SectorH03 그룹이다.
SectorH01 그룹의 활동은 영국, 미국, 스위스, 오스트레일리아에서 발견되었다. 해당 그룹은 세금 소프트웨어 솔루션 조직을 사칭한 피싱 이메일(Phishing Email)을 통해서 악성코드를 배포하는 공격 활동을 하였으며, 최종적으로 공격 대상 시스템에 설치한 원격 제어 기능의 악성코드를 통해, 명령 및 제어(Command and Control, C2) 서버로부터 전달받은 명령을 수행하며 악성 행위를 했다.
SectorH03 그룹의 활동은 인도, 아프가니스탄에서 발견되었다. 해당 그룹은 사이버보안 가이드라인 문서로 위장한 윈도우 바로가기(LNK) 파일을 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 시스템에 설치한 악성 DLL 파일을 통해 추가 악성코드를 다운로드 및 실행하도록 하여 후속 공격을 위한 기반을 마련하였다.
SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.
6. SectorQ 그룹 활동 특징
2025년 2월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이는 SectorQ02 그룹이다.
SectorQ02 그룹은 중국 대학교를 포함한 항공우주 및 과학기술 관련 기관을 대상으로 고도화된 사이버 작전을 실행했으며, 공격 대상 시스템에 NOPEN 백도어와 같은 맞춤형 악성코드를 삽입해 장기적인 원격 통제를 가능하게 했다.
현재까지 지속되는 SectorQ 해킹 그룹들의 해킹 활동은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다. 이러한 고급 정보의 수집은 자국의 정치적, 경제적 이익을 극대화하기 위한 목적에 기인한 것으로 판단된다.
7. SectorR 그룹 활동 특징
2025년 2월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorR02 그룹이다.
SectorR02 그룹의 활동은 중국에서 발견되었다. 해당 그룹은 중국의 IT 기업인 넷이즈(NetEase)의 무료 이메일 서비스인 163.com 사용자를 표적으로 삼아 피싱 캠페인을 전개했다. 이들은 피해자의 이메일 계정에 접근하고 민감한 정보를 수집하기 위해 사용자로 하여금 로그인 자격 증명을 입력하도록 유도하고 로그인 자격 증명을 탈취했다.
현재까지 지속되는 SectorR 해킹 그룹들의 해킹 활동 목적은 이들을 지원하는 정부와 인접한 국가와 인접한 정치적 경쟁국인 중국 정부와 관련된 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다.
8. SectorS 그룹 활동 특징
2025년 2월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorS01 그룹이다.
SectorS01 그룹의 활동은 이탈리아에서 발견되었다. 해당 그룹은 정상회의(Summit) 관련 문서로 위장한 윈도우 바로가기(LNK) 파일을 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 시스템의 메모리 상에서 실행한 원격 제어 기능의 악성코드를 통해, 명령 및 제어(Command and Control, C2) 서버로부터 명령을 받아 악성 행위를 했다.
현재까지 지속되는 SectorS 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가들에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다.
9. SectorU 그룹 활동 특징
2025년 2월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorU01 그룹이다.
SectorU01 그룹의 활동은 러시아, 스페인, 우즈베키스탄, 인도, 미국, 홍콩, 체코, 키르기스스탄, 투르크메니스탄에서 발견되었다. 해당 그룹은 중앙아시아의 정부 기관을 대상으로 악성 ISO 파일을 포함한 피싱 이메일을 발송하여 초기 침투를 시도했으며, 최종적으로 공격 대상 시스템에서 실행한 악성코드를 통해 민감한 정보를 수집하고, 시스템 레지스트리를 수정하여 지속성을 확보함으로써 중앙아시아 지역에 심각한 사이버 스파이 위협을 가할 수 있었다.
현재까지 지속되는 SectorU 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.
10. Cyber Crime 그룹 활동 특징
온라인 가상 공간에서 활동하는 사이버 범죄 그룹은 이번 2월에는 총 13개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ09, SectorJ14, SectorJ21, SectorJ25, SectorJ85, SectorJ102, SectorJ110, SectorJ177, SectorJ195, SectorJ196, SectorJ197, SectorJ201, SectorJ202 그룹이다.
이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.
SectorJ09 그룹은 온라인 결제 페이지를 대상으로 스키밍(Skimming) 스크립트를 삽입하여 금융 정보를 탈취하는 폼재킹(Formjacking) 공격을 수행했다. 해당 그룹은 전자 상거래 웹사이트의 결제 페이지에 난독화 된 악성 자바스크립트 코드를 주입하여, 공격 대상이 입력한 카드번호, 유효기간, CVC 코드와 같은 민감한 금융 데이터를 탈취한 것으로 분석된다.
SectorJ14 그룹의 활동은 한국, 독일, 미국, 인도, 일본, 프랑스에서 발견되었다. 해당 그룹은 택배 서비스 알림으로 위장한 스미싱(Smishing) 기법을 사용하여 트위터(Twitter) 단축 URL을 공격 대상에게 전달했으며, 공격 대상이 단축 URL로 접속하면 악성 URL로 리디렉션(Redirection)되면서 크롬(Chrome) 브라우저 앱으로 위장한 안드로이드 악성코드를 다운로드하도록 유도했다. 다운로드 된 악성코드는 공격 대상에게 문자 및 알림 표시 권한을 허용하도록 유도하고, 스팸 방지를 명목으로 해당 악성코드를 기본 SMS 앱으로 설정하도록 만들었다. 초기 권한 설정이 완료되면 공격 대상 기기에는 피싱 메시지를 표시하기 위한 알림 채널(Notification Channel)이 생성되며, 해당 그룹이 피싱 메시지를 발송할 때 해당 알림 채널을 통해 메시지를 표시하여 공격 대상이 피싱 메시지를 클릭하도록 유도했다. 또한, 해당 그룹은 소셜 미디어 플랫폼 중 하나인 핀터레스트(Pinterest)의 프로필에 등록한 데이터를 활용하여 피싱 메시지를 구성하고 발송한 것으로 분석된다.
SectorJ21 그룹의 활동은 미국, 캐나다에서 발견되었다. 해당 그룹은 피싱 메일을 통해 ZIP 압축 파일을 다운로드할 수 있는 링크가 포함된 PDF 문서를 첨부하여 전달했다. ZIP 압축 파일 내부에는 IMG 파일이 포함되어 있었으며, 공격 대상이 해당 파일을 실행하면 외부 드라이브로 마운트 되며, 파일 탐색기를 통해 자동으로 열리게 된다. 마운트 된 드라이브에서 어도비(Adobe) 아이콘으로 위장한 SCR 파일을 실행하면, DLL 사이드 로딩(DLL Side-Loading) 기법을 악용하여 악성 DLL 파일이 로드된다. 로딩된 악성코드는 시스템 정보를 수집한 뒤, 이를 암호화하여 클라우드 스토리지 서비스 중 하나인 탭 디지털(Tab Digital)에 업로드하는 기능을 수행한다.
SectorJ25 그룹의 활동은 인도에서 발견되었다. 해당 그룹은 네트워크 분석 프로그램으로 위장하기 위해 압축 파일명을 “NetworkAnalyzer.tar.gz”로 설정한 뒤 유포한 것으로 보인다. 해당 압축 파일 내부에는 ELF 형식의 악성코드가 포함되어 있으며, 해당 악성코드는 깃허브(GitHub)를 통해 소스코드가 공개된 카오스(CHAOS) 원격 제어 악성코드인 것으로 분석된다. 해당 악성코드는 원격으로 명령어를 실행하고, 공격 대상 시스템 데이터를 탈취할 수 있는 기능을 수행하는 것으로 분석된다.
SectorJ85 그룹은 기업용 클라우드 기반 인증 서비스(Identity-as-a-Service, IDaaS) 중 하나인 옥타(Okta) 기반의 로그인 페이지를 모방한 피싱 사이트를 유포했으며, 정상적인 옥타 로그인 페이지 도메인과 철자나 구조가 유사한 도메인을 등록하는 타이포스쿼팅(Typosquatting) 기법을 활용하여, 공격 대상이 정상 로그인 페이지로 착각하고 자격 증명을 입력하도록 유도했다.
SectorJ102 그룹의 활동은 미국, 인도에서 발견되었다. 해당 그룹은 베라코어(Vera Core) 소프트웨어의 SQL 인젝션 취약점과 파일 업로드 취약점을 악용하여 공격 대상 시스템에 웹쉘(Web Shell)을 배포했다. 해당 웹쉘은 SQL 커맨드(Command) 실행 및 DB 서버 내부 탐색 기능을 수행할 수 있는 것으로 분석된다.
SectorJ110 그룹의 활동은 독일, 리투아니아, 벨기에, 우크라이나에서 발견되었다. 해당 그룹은 PDF 형식의 피싱 문서를 유포했으며 공격 대상이 문서 내 “문서 다운로드(Завантажити Документ)” 하이퍼링크 텍스트를 클릭하도록 유도했다. 공격 대상이 하이퍼링크 텍스트를 클릭하면 공격 대상 시스템에 압축 파일이 다운로드 된다. 압축 파일 내부에는 PDF 문서처럼 보이도록 이중 확장자(.pdf.js) 형식을 사용한 자바스크립트(JavaScript, JS) 형식의 악성코드가 포함되어 있으며, 공격 대상이 이를 실행할 겨우 외부 명령 및 제어(Command and Control, C2) 서버로부터 로더(Loader) 기능을 수행하는 악성코드를 다운로드 및 실행했다. 이와 동시에 공격 대상이 의심하지 않도록 정상적인 내용의 미끼 문서도 함께 다운로드 후 공격 대상 시스템 화면에 표시했다.
SectorJ177 그룹의 활동은 멕시코, 미국, 헝가리에서 발견되었다. 해당 그룹은 마이크로소프트 팀즈(Microsoft Teams)를 통해 공격 대상에게 기술 지원을 사칭한 메시지를 전달한 후, 스팸 문제를 해결하기 위해 마이크로소프트 퀵 어시스트(Quick Assist)를 설치하도록 유도했다. 공격 대상이 퀵 어시스트를 설치하고 해킹 그룹에게 원격 제어 권한을 부여하면, 이들은 웹 브라우저를 통해 ZIP 압축 파일 형식의 악성 페이로드를 다운로드했다. 압축 파일 내부에는 마이크로소프트에서 서명된 원드라이브 업데이트 실행 파일과 여러 개의 DLL 파일이 포함되어 있다. 이들은 DLL Search Order Hijacking 기법을 활용하여 DLL 형식의 악성코드를 실행했다. 해당 DLL 형식의 악성코드는 실행 시 시스템 및 운영체제 정보, 사용자 계정 및 자격 증명 등을 수집하고 명령 및 제어(Command and Control, C2) 서버로 전송하는 기능을 수행하는 것으로 분석된다.
SectorJ195 그룹의 활동은 미국, 불가리아에서 발견되었다. 해당 그룹은 공격 대상에게 대량의 스팸 메시지를 보낸 뒤, 마이크로소프트 팀즈(Microsoft Teams) 통화를 시도해 공격 대상이 원격 화면 공유를 허용하도록 유도했다. 공유가 허용되면, 명령 셸을 통해 악성 JAR(Java Archive) 파일을 실행했다. 해당 파일은 자바 기반 프록시 모듈을 통해 WMI명령줄 유틸리티 (Windows Management Instrumentation Command-line, WMIC.exe)를 호출하여 자바 프로세스의 PID를 식별하는 작업을 수행한 것으로 분석된다. 이후 파워쉘(PowerShell) 실행 정책 (ExecutionPolicy) 우회를 통해 외부에서 ZIP 압축 파일과 7-Zip 유틸리티를 다운로드하고, 압축을 해제했다. 압축 파일에는 프로톤VPN(ProtonVPN) 실행 파일과 악성 DLL이 포함되어 있었으며, 프로톤VPN을 대상으로 DLL 사이드로딩(Side-Loading)기법을 악용하여 악성 DLL을 로드했다. 이를 통해 러시아, 네덜란드, 미국에 호스팅 된 가상 사설 서버(VPN)에 연결하는 세션이 생성되었다. 또한, JAR 파일은 새 CMD(Command Prompt) 세션을 열고, javaw.exe(Java SE Launcher)를 이용해 또 다른 JAR 파일을 실행해 압축 파일을 드롭했다. 이 파일에는 난독화 된 파이썬 스크립트가 포함되어 있었으며, 이는 RPivot으로 알려진 역방향 프록시(Reverse Proxy) 도구로 분석된다. 해당 그룹은 이를 통해 내부 네트워크에 대한 터널링 및 프록시 기능을 활용하여 명령 및 제어(Command and Control, C2) 서버와의 지속적인 연결을 시도한 것으로 보인다.
SectorJ196 그룹은 Web3 사용자를 대상으로 솔라나(Solana) 블록체인(BlockChain) 커뮤니케이션 도구 배포 사이트로 위장한 피싱 사이트를 유포했다. 이들은 해당 피싱 사이트를 통해 정보 탈취형 악성코드인 인포스틸러(InfoStealer)를 배포한 것으로 분석된다. 특히 해당 피싱 사이트는 공격 대상의 운영체제(OS) 환경에 따라 서로 다른 URL을 통해 악성코드를 다운로드하도록 유도했는데, 윈도우 환경에서는 드롭박스(Dropbox)를 사용하였고, MacOS 환경에서는 별도의 외부 서버를 통해 악성코드를 다운로드한 것으로 나타났다.
SectorJ197 그룹의 활동은 과테말라, 미국에서 발견되었다. 해당 그룹은 크롬 브라우저 업데이트 사이트로 위장한 피싱 사이트를 유포했다. 공격 대상이 “업데이트 크롬(Update Chrome” 버튼을 클릭하면 “Release.zip” 압축 파일이 다운로드 되었으며, 압축 파일 내부에는 DLL 형식의 악성코드가 압축된 것으로 확인된다. 해당 악성코드는 공격 대상 시스템 데이터를 탈취하는 기능을 수행하는 스틸러(Stealer) 악성코드인 것으로 분석된다.
SectorJ201 그룹은 트래픽 배포 시스템(Traffic Distribution System, TDS) 서비스를 운영하며 다른 해킹 그룹에게 악성 트래픽 유입 서비스를 제공한 후 금전적인 이익을 확보한 것으로 분석된다. 해당 TDS 인프라는 방문자의 시스템 환경에 따라 조건부로 트래픽을 필터링(Filtering) 및 리디렉션(Redirection)하는 기능을 수행하며, 적절한 대상에게 악성코드를 포함한 페이로드를 전달하는 역할을 수행한 것으로 판단된다.
SectorJ202 그룹의 활동은 미국, 인도, 프랑스, 폴란드에서 발견되었다. 해당 그룹은 크롬 브라우저 업데이트로 위장한 피싱 페이지를 유포하여 공격 대상이 악성 MSI(Microsoft Installer) 파일을 다운로드하도록 유도했다. 해당 MSI 파일은 정상 프로그램과 함께 악성 DLL이 포함된 형태로 구성되어 있으며, DLL 사이드 로딩(Side-Loading) 기법을 통해 악성 DLL이 로드된다. 공격 대상 시스템에 최종적으로 스틸러(Stealer) 악성코드가 실행되며, 해당 그룹은 공격 대상 시스템의 데이터를 탈취하고자 한 것으로 분석된다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.