Monthly Threat Actor Group Intelligence Report, February 2022 (KOR)

Monthly Threat Actor Group Intelligence Report, February 2022 (KOR)

이 문서는 2022년도 1월 21일에서 2022년 2월 20일까지 발견된 해킹 그룹 활동과 관련된 이슈를 설명하고 이와 관련된 침해사고 정보와 ThreatRecon Platform 내 위협 이벤트 정보를 포함합니다.

1. SectorA 그룹 활동 특징

2022년 2 월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA05, SectorA06 그룹이다.

SectorA01 그룹의 활동은 스페인, 멕시코, 인도, 슬로베니아, 러시아에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 금융, 보험, 군수 산업에 속한 기업으로 위장하여 악성코드를 유포하였다.

SectorA02 그룹의 활동은 한국에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 한국의 대선과 관련된 사회적 이슈를 주제로 한글 파일 형태(HWP)의 악성코드를 유포하였다.

SectorA05 그룹의 활동은 한국에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 공공기관 및 언론 분야 종사자를 대상으로 스피어 피싱(Spear Phishing) 이메일을 전달했다.

SectorA06 그룹의 활동은 우크라이나, 독일, 이스라엘, 오스트레일리아, 조지아, 미국, 이탈리아, 영국, 핀란드, 콜롬비아에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 “손익계산서”, “구직공고”, “급여”와 관련된 주제로 위장한 바로가기(LNK) 파일을 사용하였다.

현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보들 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.

2. SectorB 그룹 활동 특징

2022년 2 월에는 총 3 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB04, SectorB38, SectorB43 그룹이다.

SectorB04 그룹의 활동은 인도, 미국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 DLL 사이드로딩(DLL Side-Loading) 기법을 사용하여 정상 프로그램에 악성 DLL을 로드(Load) 한다.

SectorB38 그룹의 활동은 베트남에서 발견되었다. 해당 그룹은 이번 활동에서 템플릿 인젝션(Template Injection)을 사용하는 MS 워드(Word) 파일 형식의 악성코드를 공격에 사용했으며, 베트남 사회주의 공화국에 대한 내용을 포함하고 있다.

SectorB43 그룹의 활동은 러시아, 미국, 캐나다에서 이들의 활동이 발견되었다. 해당 그룹은 PE(Portable Executable) 파일 형식의 악성코드를 사용하였으며, 감염 시스템 정보를 수집하고 OpenSSL을 사용해 암호화된 통신 기능을 수행했다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

2022년 2 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC04, SectorC08 그룹이다.

SectorC04그룹의 활동은 중국, 미국, 포르투갈에서 발견되었다. 해당 그룹은 ISO 이미지 파일에 포함된 LNK파일로 악성 DLL파일을 로드 하여 침투테스트 도구인 슬리버(Sliver) 또는 코발트 스트라이크(Cobalt Strike)를 설치한 후 시스템의 제어권을 탈취하는 전술을 사용하고 있다.

SectorC08 그룹의 활동은 우크라이나, 미국, 독일, 네덜란드, 스위스, 이스라엘, 러시아, 이란, 영국, 알제리에서 발견되었다. 해당 그룹은 템플릿 인젝션(Template Injection)을 사용하는 MS 워드(Word) 파일 형식의 악성코드를 사용하여 PE(Portable Executable) 형식의 악성코드를 공격 대상 시스템에 설치하고 시스템 제어권을 탈취하는 전술을 사용하고 있다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

4. SectorD 그룹 활동 특징

2022년 2 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD02, SectorD05 그룹이다.

SectorD02그룹의 활동은 이스라엘, 이란, 영국, 터키, 대한민국, 파키스탄, 아르메니아, 러시아, 독일, 스웨덴, 덴마크, 사우디 아라비아, 프랑스, 미국, 중국에서 발견되었다. 해당 그룹은 특정 정부 기관을 대상으로 MS 워드(Word), MS 엑셀(Excel) 등 다양한 형식의 문서형 악성코드를 배포했으며, PDF 형식의 악성코드에는 클릭을 유도하는 피싱 링크가 포함되어 있다.

SectorD05 그룹의 활동은 독일, 네덜란드, 이란, 미국, 조지아, 프랑스, 터키, 오스트리아, 그리스, 한국, 이스라엘에서 발견되었다. 해당 그룹은 Log4j 취약점을 악용하여 시스템에 침투하며, 리버스 프록시(Reverse Proxy), 리버스 쉘(Reverse Shell)을 통해 시스템 정보 수집이나 명령제어 같은 추가 악성행위를 수행하는 전술을 사용하고 있다.

SectorD 해킹 그룹들은 주로 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행한다. 최근 SectorD 해킹 그룹들은 이들을 지원하는 정부와 반대되는 활동을 수행하는 인물 또는 국가들의 정치, 외교 활동과 같은 고급 정보를 수집하기 위한 목적을 갖는 것으로 분석된다.

5. SectorE 그룹 활동 특징

2022년 2 월에는 총 4 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE02, SectorE03, SectorE04, SectorE05 그룹이다.

SectorE02 그룹의 활동은 투르크메니스탄, 스리랑카에서 해킹 활동이 발견되었다. 해당 그룹은 이번 활동에서 공문으로 위장된 RTF 형식의 악성코드를 공격에 활용하였다.

SectorE03 그룹의 활동은 오스트리아에서 해킹 활동이 발견되었다. 해당 그룹은 안드로이드 운영체제 사용자를 대상으로 RAT 악성코드를 사용하였으며, 채팅 앱으로 위장하여 공격 대상의 실행을 유도한다.

SectorE04 그룹의 활동은 인도네시아, 파키스탄, 영국에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 정부 기관 및 군수 산업에 종사하는 대상에게 윈도우 바로가기(LNK) 파일과 RTF(Rich Text Format) 형식의 악성코드를 사용하였다.

SectorE05 그룹의 활동은 파키스탄, 프랑스, 우크라이나에서 이들의 활동이 발견되었다. 해당 그룹은 이번 활동에서 도움말  파일 형식인 CHM(Compiled HTML File) 파일을 공격에 활용하였다.

SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다.

6. SectorH 그룹 활동 특징

2022년 2 월에는 총 2 개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH01, SectorH03 그룹이다.

SectorH01 그룹의 활동은 프랑스, 한국, 독일, 인도네시아에서 발견되었다. 해킹 그룹은 이번 활동에서 특정 금융 그룹을 대상으로 한 구매 주문 관련 피싱 이메일을 공격에 활용하였으며, 첨부 파일로 악성 매크로가 포함된 파워포인트(PowerPoint) 문서를 배포하여 악성 행위를 하였다.

SectorH03 그룹의 활동은 홍콩, 이탈리아, 중국, 인도, 미국, 아프가니스탄, 벨기에, 파키스탄에서 발견되었다. 해킹 그룹은 이번 활동에서 콘텐츠 작성(Content Writing)과 육군 관련 “Army-Cyber-Gp-Alt-Feb-2022” 이름의 정상 문서 파일을 실행하는 윈도우 바로가기(LNK) 파일을 공격에 활용하여, 피해자 시스템에서 키로깅(Keylogging), 화면 캡쳐, 클립보드 데이터 등의 정보를 수집하는 악의적인 활동을 하였다. 이외에도 와츠앱(Whats App) 등으로 위장한 안드로이드용 악성코드를 배포하여 피해자의 단말기에서 통화 기록, 연락처, SMS 메시지, 카메라 녹화 및 음성 녹음 등의 민감한 정보를 탈취하였다.

SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.

7. Cyber Crime 그룹 활동 특징

2022년 2 월에는 온라인 가상 공간에서 활동하는 총 5 개의 사이버 범죄 그룹이 발견되었으며, 이들은 SectorJ03, SectorJ09, SectorJ14, SectorJ25, SectorJ37 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ03 그룹의 활동은 팔레스타인, 중국, 이스라엘, 미국, 사우디 아라비아, 인도에서 발견되었다. 해당 그룹은 안드로이드 플랫폼을 대상으로 한 악성코드를 사용하여 SMS 정보, 사진, 통화 녹음 등 피해자의 정보 탈취를 시도했다.

SectorJ09 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있다. 이번 활동에서 기존에 발견되던 것과 동일한 유형의 자바스크립트 악성코드가 확인되었다.

SectorJ14그룹의 활동은 일본에서 발견되었다. 해당 그룹은 2018년도부터 다국어 사용 및 멀티 플랫폼을 대상으로 활동하고 있으며, 이들은 단지 금전적인 목적으로 해킹 활동을 하는 것으로 확인되고 있다.

SectorJ25그룹의 활동은 베트남, 러시아, 대한민국, 이탈리아, 미국, 홍콩, 중국, 아일랜드, 리투아니아에서 발견되었다. 해당 그룹은 리눅스 기반 시스템을 대상으로 크립토 재킹(Crypto jacking) 공격을 하고 있으며, 다운로더 스크립트에 의해 설치된 악성코드는 암호화폐 채굴, 스캐닝, 정보 수집 등 다양한 기능을 수행한다.

SectorJ37 그룹의 활동은 독일, 미국, 태국, 영국, 싱가포르, 프랑스, 일본, 스웨덴, 리투아니아, 러시아, 그리스, 대한민국, 터키, 인도, 사우디 아라비아, 홍콩, 베트남에서 발견되었다. 해당 그룹은 항공 및 여행과 관련된 주제를 사용하여 항공, 운송, 제조 및 방위 산업군을 대상으로 사이버 위협 활동을 지속하고 있다. 이번 활동에서는 피싱 메일에 구글 드라이브 링크를 포함시켜 배포했으며, 최종적으로 RAT 악성코드를 시스템에 설치하여 시스템 정보 수집 및 명령 및 제어를 시도한다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 [email protected]으로 문의해 주시기 바랍니다.

Article Link: Monthly Threat Actor Group Intelligence Report, February 2022 (KOR) – Red Alert