Monthly Threat Actor Group Intelligence Report, August 2021

Monthly Threat Actor Group Intelligence Report, August 2021

이 문서는 2021년도 7월 21일에서 2021년 8월 20일까지 발견된 해킹 그룹 활동과 관련된 이슈를 설명하고 이와 관련된 침해사고 정보와 ThreatRecon Platform 내 위협 이벤트 정보를 포함합니다.

1. SectorA 그룹 활동 특징

올해 8 월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA05, SectorA07 그룹이다.

SectorA01 그룹의 활동은 독일, 파키스탄, 인도에서 발견되었다. 해당 그룹은 안드로이드 지갑 주소로 위장한 PDF 악성코드를 유포하였으며, 사회공학적 기법을 활용하여 암호화폐와 관련된 산업 군을 대상으로 공격한 것으로 판단된다. 공격에 활용된 2 개의 PDF 악성코드는 내부에 쉘코드(Shellcode)를 포함하고 있어, 해당 PDF 문서를 열 때 공격 대상 PC 에 추가 악성코드를 생성하고 동작한다.

SectorA05 그룹의 활동은 한국, 일본, 캐나다, 홍콩에서 발견되었다. 해당 그룹은 이번 활동에서 언론, 대학 등의 분야에 종사하고 있는 관계자를 대상으로 공격을 수행하였다. 과거 공격 활동에서는 MS 워드(Word)를 활용한 악성코드를 주로 사용해왔으나, 이번 공격에서는 PDF 취약점을 추가로 활용하여 공격을 수행하였다

SectorA07 그룹의 활동은 러시아에서 발견되었다. 해당 그룹은 러시아어로 작성된 MS 워드 문서를 공격에 활용했다. 워드 문서는 특정 국가 간의 경제와 관련된 주제를 포함하고 있으며 내부에 포함된 매크로 스크립트를 이용해 악성 행위를 수행한다.

현재까지 지속되는 SectorA 해킹 그룹들의 목적은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위함이며, 이와 더불어 전 세계를 대상으로 재화 확보를 위한 해킹 활동을 병행한다. 이들의 해킹 활동은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 활동은 당분간 변화 없이 진행될 것으로 판단된다.

2. SectorB 그룹 활동 특징

올해 8 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB31, SectorB35 그룹이다.

SectorB31 그룹의 활동은 프랑스, 중국에서 이들의 활동이 발견되었다. 이번 활동에서 특정 국가의 여러 기관에 영향을 미치는 공격을 확인하였다. 다양한 오픈 소스 기반의 맞춤형 도구를 정보 탈취를 목적으로 활용하였으며, 라우터의 취약점을 활용하기 위해 ELF 악성코드를 활용했다.

SectorB35 그룹의 활동은 스페인, 아일랜드, 이탈리아, 영국에서 이들의 활동이 발견되었다. 해당 그룹은 MS 익스체인지(Microsoft Exchange) 서버를 대상으로 활발하게 악용되는 ProxyShell 취약점을 사용했으며, 이들은 원격 코드를 실행하기 위해 CVE-2021-31207, CVE-2021-34523 및 CVE-2021-34473 취약점을 사용하였다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

올해 8 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC08 그룹이다.

SectorC08 그룹의 활동은 체코, 우크라이나, 헝가리, 말레이시아, 미국, 네덜란드, 독일에서 발견되었다. 해당 그룹은 지속적으로 템플릿 인젝션(Template Injection)을 사용하며 이번 기간 동안 법률 및 정책, COVID-19 와 관련된 내용 등 다양한 주제가 사용되었다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동 목적은 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

4. SectorD 그룹 활동 특징

올해 8 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 해당 그룹은 SectorD14, SectorD15 그룹이다.

SectorD14 그룹의 활동은 터키, 이스라엘, 캐나다, 튀니지에서 발견되었다. 해당 그룹은 인사부서 직원을 사칭하여 공격 대상에게 접근하는 사회공학 기법(Social Engineering)을 사용하고 있으며, 이번 활동에서 지난 7 월 공격과 연관성을 가진 악성코드들이 발견되었다.

SectorD15 그룹의 활동은 브라질, 미국에서 발견되었다. 해당 그룹은 특정 방위 및 항공 우주 산업과 관련된 회사를 대상으로 사회공학 기법을 사용하였다. 공격 대상과 신뢰를 구축한 후 공격 대상에게 직접 악성코드를 전달하는 방법을 사용하였으며, 이번 활동에서는 지난 7 월 공격과 연관성을 가진 악성코드들이 확인되었다.

SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.

5. SectorE 그룹 활동 특징

올해 8 월에는 총 5 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE03, SectorE04 그리고 SectorE05 그룹이다.

SectorE01 그룹의 활동은 파키스탄에서 발견되었다. 해당 그룹은 지난 7 월과 동일한 디지털 서명(Digital Signature)을 가진 악성코드를 지속적으로 사용하고 있다. 악성코드가 정상적으로 동작할 경우 결혼 프로필 사진으로 위장하여 특정 여성의 사진을 감염된 사용자에게 보여준다.

SectorE02 그룹의 활동은 인도, 네팔, 인도네시아, 영국, 중국에서 발견되었다. 해당 그룹은 이번 활동에서 항공, 대학, 국방 분야에 종사하고 있는 관계자를 대상으로 공격을 수행하였다. 피싱(Phishing) 웹사이트를 구축하였으며, 유포된 악성코드는 RAT(Remote Administration Tool) 기능을 가지고 있으며, 소스 코드 관리 서비스인 깃허브(Github)를 악용하여 C2 서버로 활용하였다.

SectorE03 그룹의 활동은 파키스탄에서 발견되었다. 해당 그룹은 피싱에 활용할 도메인 서버를 구축하여 공격 대상에게 메일로 전달했으며 파키스탄 국방부의 홍보부로 위장했다.

SectorE04 그룹의 활동은 파키스탄, 영국에서 이들의 활동이 발견되었다. 해당 그룹은 템플릿 인젝션(Template Injection)을 사용하는 MS 워드 문서를 활용하였으며, 아랍어 교육과 관련된 신청서로 위장하였다.

SectorE05 그룹의 활동은 말레이시아에서 발견되었다. 해당 그룹은 지난 3 월 도움말 파일 형식(CHM) 파일을 활용한 공격에서 사용된 페이로드(Payload) 중 일부를 변조하여 다시 유포하였다. 악성코드는 과거에 사용된 C2 서버의 주소를 동일하게 사용하는 특징을 가지고 있다.

기존에 SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다.

6. SectorH 그룹 활동 특징

올해 8 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH01, SectorH03 그룹이다.

SectorH01 그룹의 활동은 네덜란드, 사우디아라비아, 아랍에미리트, 루마니아, 알제리, 캐나다, 홍콩, 우크라이나, 체코, 미국, 러시아, 브라질, 프랑스, 영국, 독일, 터키, 한국, 이탈리아, 스페인, 중국, 오스트레일리아, 일본, 대만에서 발견되었다. 해당 그룹은 주로 아시아의 제조 산업의 기업을 대상으로 스피어 피싱 이메일을 사용하여 공격 활동을 수행하였다.

SectorH03 그룹의 활동은 네덜란드, 사우디아라비아, 아랍에미리트, 루마니아, 알제리, 캐나다, 홍콩, 우크라이나, 체코, 미국, 러시아, 브라질, 프랑스, 영국, 독일, 터키, 한국, 이탈리아, 스페인, 중국, 오스트레일리아, 일본, 대만, 파키스탄, 인도, 방글라데시, 태국, 덴마크, 인도네시아에서 발견되었다. 해당 그룹은 사용자의 의심을 피하기 위해 급여 및 수당 내역, 국방 관련 테마, 이력서 등 다양한 주제로 위장하였으며, 워존(Warzone) RAT, 넷와이어(NETWIRE) 악성코드 등을 배포하였다.

SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.

7. SectorP 그룹 활동 특징

올해 8 월에는 총 1 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorP02 그룹이다.

SectorP02 그룹의 활동은 시리아에서 발견되었다. 해당 그룹은 지난 활동과 유사하게 안드로이드 파일 형식의 악성코드를 사용하여 음성 녹음, SMS 메시지, 연락처 등의 정보를 수집했다.

SectorP 해킹 그룹의 해킹 활동은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동이 병행되고 있다. 특히, 인접한 국가들과 외교적, 정치적 그리고 종교적 마찰이 계속되고 있어, 해킹 활동 목적에 따라 주변 국가들의 정부, 군사 및 정치 활동 관련 고급 정보들을 탈취하기 위한 활동들은 향후에도 지속적으로 수행할 것으로 분석된다.

8. Cyber Crime 그룹 활동 특징

올해 8 월에는 온라인 가상 공간에서 활동하는 총 8 개의 사이버 범죄 그룹이 발견되었으며, 이들은 SectorJ01, SectorJ03, SectorJ04, SectorJ09, SectorJ14, SectorJ20, SectorJ25, SectorJ26 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적 이윤 확보를 위해 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ01 그룹의 활동은 터키, 인도네시아, 폴란드, 러시아, 미국, 영국에서 발견되었다. 해당 그룹은 지난 7 월 보호된 문서로 위장한 MS 워드(Word) 파일 형식의 악성코드 본문 특정 위치를 더블 클릭할 경우 오브젝트(Object)에 의해 바로가기 파일(LNK)이 실행되는 방식을 사용했다. 이번 활동에서는 기존 사용하던 워드 템플릿에 새로운 악성코드를 삽입하기 위한 시도가 발견되었다.

SectorJ03 그룹의 활동은 팔레스타인에서 발견되었다. 해당 그룹은 건강 보험 관련 서류, 팔레스타인과 미국 간의 정치적인 내용을 담긴 PDF 파일로 위장한 실행 파일(PE) 형태의 악성코드를 사용했다.

SectorJ04 그룹의 활동은 페루, 우크라이나, 브라질, 이탈리아, 미국, 벨기에, 모리셔스, 스페인, 홍콩, 인도, 이집트, 독일, 터키, 아르헨티나, 러시아, 일본, 모로코에서 발견되었다. 해당 그룹은 서명된 MSI 파일을 사용했으며, 공격 대상 시스템에 서브헬퍼(ServHelper) RAT를 설치하여 자격 증명, 쿠키, 암호화폐 지갑 정보 및 신용 카드번호 같은 재정적 이익을 얻기 위한 정보들을 탈취하려 했다.

SectorJ09 그룹의 활동은 미국, 세르비아, 우크라이나에서 발견되었다. 해당 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있으며, 이번 활동에서 기존에 발견되던 것과 동일한 유형의 자바스크립트 악성코드가 확인되었다.

SectorJ14 그룹의 활동은 일본, 한국, 프랑스, 독일에서 발견되었다. 해당 그룹은 이번 활동에서 일본 이동통신사의 보안 안드로이드 앱으로 위장한 악성코드를 사용했으며, 아마존(Amazon) VPC에서 호스팅 되는 무료 동적 DNS 서비스인 덕(Duck) DNS를 사용하여 다수의 URL을 생성하여 악성코드를 배포했다.

SectorJ20 그룹의 활동은 일본, 영국, 키프로스에서 발견되었다. 해당 그룹은 운전면허증 및 여권 관련 파일로 위장한 바로가기(LNK) 파일 형식의 악성코드를 지속적으로 사용 중이며, 이번 활동에서도 여권 관련 파일로 위장한 악성코드가 추가로 발견되었다.

SectorJ25 그룹의 활동은 불가리아, 러시아, 미국, 홍콩, 인도, 한국, 영국, 중국에서 발견되었다. 해당 그룹은 리눅스 기반 시스템을 대상으로 크립토 재킹(Crypto jacking) 공격을 하고 있으며, 스크립트에 의해 설치된 악성코드는 암호화폐 채굴, 스캐닝, 정보 수집 등 다양한 기능을 수행한다.

SectorJ26 그룹의 활동은 중국, 미국, 스페인, 콜롬비아, 러시아, 인도, 영국, 파키스탄, 독일, 싱가포르, 이탈리아, 태국, 프랑스, 아르헨티나, 일본, 네덜란드, 캐나다, 한국, 덴마크, 홍콩, 브라질에서 발견되었다. 해당 그룹은 매크로가 삽입된 MS 워드 파일 형식의 악성코드를 압축 파일(ZIP) 형태로 피싱 메일에 첨부하여 배포했으며, 압축 파일에는 암호를 설정하여 보안 장비를 우회했다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 [email protected]으로 문의해 주시기 바랍니다.

Article Link: Monthly Threat Actor Group Intelligence Report, August 2021 – Red Alert