Monthly Threat Actor Group Intelligence Report, January 2023 (KOR)

2022년 12월 21일에서 2023년 1월 20일까지 NSHC ThreatRecon팀에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다. 이번 1월에는 총 19개의 해킹 그룹들의 활동이 확인되었으며, SectorA 그룹이 31%로 가장 많았으며, SectorE와 SectorJ 그룹들의 활동이 그 뒤를 이었다.

이번 1월에 발견된 해킹 그룹들의 해킹 활동은 정부부처와 금융 산업군에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 동아시아(East Asia)와 유럽(Europe)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.

1. SectorA 그룹 활동 특징

2023년 1월에는 총 3개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA05, SectorA06 그룹이다.

SectorA01 그룹은 스웨덴에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 비트 코인 거래소의 채용 공고로 위장한 악성코드를 통해 감염된 시스템 정보를 탈취한다.

SectorA05 그룹은 한국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부기관, 방송 통신, 대학교를 포함한 여러 산업군에 종사하고 있는 관계자를 대상으로 피싱 메일을 발송했으며, 공격 대상의 계정 비밀번호 변경을 유도하는 본문 내용과 피싱 페이지로 이동할 수 있는 하이퍼링크(Hyperlink) 주소가 포함되어 있다. 이들은 계정 정보 탈취 목적으로 피싱 페이지를 제작 후 공격 대상의 접속을 유도한 것으로 확인된다.

SectorA06 그룹은 일본, 나이지리아, 미국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 마이크로소프트(Microsoft)에서 제공하는 파일의 출처를 알려주는 보안 기능인 MOTW(Mark-of-the-Web)를 우회하기 위해 VHD(Virtual Hard Disk)와 ISO 이미지(ISO Image) 파일 형식의 악성코드를 배포했다. 이후 시스템 정보를 수집하고 제어권을 탈취하는 전술을 사용하는 것으로 분석된다.

현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.

2. SectorB 그룹 활동 특징

2023년 1월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB22, SectorB38 그룹이다.

SectorB22 그룹은 대만, 독일, 체코, 에스토니아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부기관 관계자를 대상으로 유럽위원회 보고서 초안, 오스트리아 노동비자 내용을 포함한 여러 주제로 위장하고 있는 압축파일에 악성코드를 포함시켜 배포했다. 최종적으로 감염된 시스템을 계속 모니터링하며, 정보를 수집하는 기능을 수행한다.

SectorB38 그룹은 베트남, 라트비아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 템플릿 인젝션(Template Injection) 기법을 사용하는 MS 워드(Word) 악성코드를 배포했다. 최종적으로 DLL 악성코드를 통해 감염된 시스템 정보를 탈취하고 C2 서버로 전송하는 기능을 수행한다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

2023년 1월 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC08 그룹이다.

SectorC08 그룹은 우크라이나, 러시아, 라트비아, 리투아니아, 폴란드, 영국, 이집트, 프랑스, 미국에서 이들의 활동이 발견되었다. 해당 그룹은 병역 관련 행정문서로 위장한 악성코드를 사용했으며, 최종적으로 원격 제어 도구인 울트라 VNC(UltraVNC)를 사용하여 정보탈취를 시도했다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

4. SectorE 그룹 활동 특징

2023년 1월에는 총 3개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE02, SectorE03, SectorE05 그룹이다.

SectorE02 그룹은 인도, 방글라데시, 프랑스, 이란, 알바니아, 미국, 스리랑카, 파키스탄, 에스토니아에서 이들의 해킹 활동에 발견되었다. 해당 그룹은 월별 실행 계획, 사이버 보안 정책, 초대 목록 아이디어로 위장한 MS 워드(Word) 및 엑셀(Excel) 형식의 문서 악성코드를 배포했다. 이후 추가 악성코드를 통해 파일 정보, 프로세스 정보, 화면 캡쳐(Screen Capture) 등의 감염된 시스템 정보를 수집하고 C2 서버로 전송하는 기능을 수행한다.

SectorE03 그룹은 중국, 영국, 미국, 파키스탄, 러시아, 우크라이나, 프랑스, 한국, 인도, 캐나다, 이탈리아, 키르기스스탄, 벨기에, 벨라루스, 콜롬비아, 일본, 독일, 이라크, 나이지리아, 리투아니아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부기관 관계자를 대상으로 악성코드가 포함된 이메일을 발송했으며, 첨부 파일에 포함된 VHD(Virtual Hard Disk) 형식의 파일은 MOTW(Mark-of-the-Web)를 우회하기 위해 사용한 것으로 분석된다. 최종적으로 악성코드에 감염된 시스템의 정보 및 제어권을 탈취하는 전술을 사용하고 있다.

SectorE05 그룹은 대만, 파키스탄, 오스트레일리아, 중국, 이란에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부기관 및 IT 산업 분야 관계자를 대상으로 악성코드가 첨부된 이메일을 발송했다. 첨부된 악성코드를 통해 감염된 시스템에서 지속성을 유지하고 컴퓨터 이름과 사용자 이름을 수집 후 C2 서버로 전송하는 기능을 수행한다.

SectorE 해킹 그룹들은 이들을 지원하는 정부와 관련된 정치, 외교 및 군사 활동과 같은 고급 정보 수집을 주된 목적으로 해킹 활동을 수행했으나, 최근 중국을 포함한 극동 아시아 지역에 대한 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중을 점차 높혀가고 있는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.

5. SectorH 그룹 활동 특징

2023년 1월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH01, SectorH03 그룹이다.

SectorH01 그룹은 콜롬비아, 중국에서 활동이 발견되었다. 해킹 그룹은 이번 활동에서 배포한 법적 고지 사항 문서로 위장한 MS 워드(Word) 문서를 통해서 침투 테스트 프레임워크인 에프소사이어티(FSociety) 도구와 엔제이랫(njRAT) 원격 제어 도구를 설치하여 정보 탈취 행위를 하였다.

SectorH03 그룹은 인도에서 활동이 발견되었다. 해킹 그룹은 이번 활동에서 동영상 재생 플랫폼인 유튜브(YouTube) 앱으로 위장한 안드로이드 원격 제어 도구를 배포하여 정보 탈취 행위를 하였다.

SectorH 해킹 그룹은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 이들을 지원하는 정부와 인접한 국가와의 외교적 마찰이 계속되고 있어 목적에 따라 인접 국가 정부 기관의 군사 및 정치 관련 고급 정보 탈취를 위한 활동을 향후에 지속적으로 수행할 것으로 분석된다.

6. Cyber Crime 그룹 활동 특징

2023년 1월에는 온라인 가상 공간에서 활동하는 사이버 범죄 그룹은 이번 1월에는 총 8개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ04, SectorJ06, SectorJ09, SectorJ14, SectorJ64, SectorJ72, SectorJ73, SectorJ84 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ04 그룹의 활동은 인도, 중국, 미국, 네덜란드, 캐나다, 싱가포르, 브라질, 독일, 핀란드, 모로코, 이스라엘, 스페인, 프랑스, 터키, 카메룬, 벨기에, 영국, 한국, 튀니지에서 발견되었다. 해당 그룹은 화상 통화 소프트웨어의 웹사이트를 모방한 피싱 사이트를 사용했으며, 합법적인 소프트웨어로 위장한 악성코드를 사용하여 정보 탈취를 시도했다.

SectorJ06 그룹의 활동은 독일, 한국에서 발견되었다. 해당 그룹은 하이브 랜섬웨어(HIVE Ransomware)를 사용하여 데이터를 암호화하고 코발트 스트라이크(Cobalt Strike)를 포함한 다양한 도구들을 악용하여 데이터를 탈취했다.

SectorJ09 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있다.

SectorJ14 그룹의 활동은 일본, 영국, 프랑스, 한국, 독일, 미국, 대만, 터키에서 발견되었다. 해당 그룹은 DNS 하이재킹(Hijacking)을 위해 특정 와이파이(Wi-Fi) 라우터를 대상으로 공격을 시도했으며, 손상된 라우터에 액세스하는 사용자들을 대상으로 안드로이드 스마트폰의 정보를 탈취하는 크롬(Chrome) 브라우저로 위장한 악성코드를 배포했다.

SectorJ64 그룹의 활동은 멕시코, 대만, 중국에서 발견되었다. 해당 그룹은 인터넷으로 접근 가능한 서버들을 스캔하여 취약한 보안 설정으로 구성되어 있거나, 오래된 버전을 사용하여 취약점에 무방비한 서버들을 공격 대상으로 삼았으며, 성공적으로 침투한 이후 최종적으로 암호화폐 채굴을 시도했다.

SectorJ72 그룹의 활동은 캐나다, 콜롬비아, 이탈리아, 벨기에, 폴란드, 스페인, 터키, 우크라이나, 한국, 독일, 미국, 영국, 필리핀, 대만, 알제리에서 발견되었다. 해당 그룹은 악성 광고를 통해 악성코드가 호스팅 되는 URL로 접속을 유도했으며, 성인 동영상으로 위장한 다운로더(Downloader) 악성코드를 사용했다.

SectorJ73 그룹은 금전적인 이윤을 위해 파일 내부에 바이스 소사이어티(Vice Society) 문자열을 포함한 PolyVice 랜섬웨어(Ransomware)를 사용했으며, 파일들을 암호화한 이후 랜섬노트(RansomNote)를 생성하여 금전적인 문제를 논의할 수 있는 연락 수단을 전달했다.

SectorJ84 그룹의 활동은 스페인, 오스트리아, 불가리아, 이탈리아, 홍콩, 독일, 미국, 인도, 터키, 벨라루스, 루마니아, 영국에서 발견되었다. 해당 그룹은 송장으로 위장한 피싱 메일에서 본문의 피싱 링크를 사용하여 압축된 악성코드를 다운로드 하도록 유도했으며, 최종적으로 실행되는 악성코드는 여러 브라우저의 자격 증명, 암호화폐 지갑관련 데이터를 포함한 다양한 정보들을 탈취했다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 [email protected]으로 문의해 주시기 바랍니다.