Monthly Threat Actor Group Intelligence Report, March 2023 (KOR)

2023년 2월 21일에서 2023년 3월 20일까지 NSHC ThreatRecon팀에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.

이번 3월에는 총 28개의 해킹 그룹들의 활동이 확인되었으며, SectorA 그룹이 34%로 가장 많았으며, SectorJ 그룹의 활동이 그 뒤를 이었다.

이번 3월에 발견된 해킹 그룹들의 해킹 활동은 정부기관과 금융 관련 산업군에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 동아시아(East Asia)와 유럽(Europe)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.

1. SectorA 그룹 활동 특징

2023년 3월에는 총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA05, SectorA06, SectorA07 그룹이다.

SectorA01 그룹은 우크라이나에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 금융 및 투자 관련 종사자를 대상으로 MS 엑셀(Excel) 악성코드를 배포했으며, 가상화폐 거래소의 VIP 수수료 프로모션으로 위장하고 있다. 악성코드에 포함된 매크로(Macro)를 통해 C2서버에서 악성코드를 다운로드 및 실행한다. 최종적으로 추가 악성코드를 통해 시스템 제어권을 탈취하는 전술을 사용하고 있다.

SectorA02 그룹은 한국, 미국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 CHM(Compiled HTML Help) 악성코드를 RAR 포맷으로 압축 후 배포했으며, 카드내역서, 안내문, 의뢰서, 입학지원서를 포함한 여러 주제들로 위장했다.

악성코드 실행 시 MSHTA(Microsoft HTML Application)을 통해 C2서버에서 추가 악성코드를 다운로드 및 실행하고 스케줄러에 등록하여 지속성을 유지한다. 이후 감염된 시스템의 컴퓨터 이름과 사용자 이름을 수집 후 C2 서버로 전송하는 기능을 수행한다.

SectorA05 그룹은 한국, 싱가포르, 파키스탄에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이혼 의사 확인 신청서로 위장한 MS 워드(Word) 악성코드를 배포했으며, 악성코드에 포함된 매크로(Macro)를 통해 C2서버에서 악성코드를 다운로드 및 실행한다. 최종적으로 추가 악성코드를 통해 시스템 제어권을 탈취하는 전술을 사용하고 있다.

SectorA06 그룹은 미국, 한국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 경찰청으로 위장 후 정보통신이용촉진 및 정보보호 관련 내용의 스피어 피싱(Spear Phishing) 이메일을 대북 관련 분야 종사자에게 발송했다. 최종적으로 레지스트리에 등록 후 감염된 시스템에서 지속성을 유지하고 키로깅(Keylogging) 및 클립보드(Clipboard) 정보 수집 등의 기능들을 수행한다.

SectorA07 그룹은 한국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 국세청 세무조사 관련 서류로 위장한 윈도우 바로가기(LNK) 형식의 악성코드를 ZIP 포맷으로 압축 후 배포했다. 최종적으로 실행중인 프로세스 목록, 다운로드 폴더 파일 목록, 바탕화면 파일 목록, 설치 파일 목록, 네트워크 정보를 수집하는 비주얼 베이직 스크립트(Visual Basic Script)와 배치(Batch) 스크립트 파일을 추가로 다운로드 및 실행한다.

현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.

2. SectorB 그룹 활동 특징

2023년 3월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB03, SectorB22 그룹이다.

SectorB03 그룹은 인도, 미국, 영국, 대만, 필리핀, 중국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 윈도우(Windows) 및 리눅스(Linux) 시스템을 공격하기 위해 PE(Portable Executable)와 ELF(Executable and Linkable Format) 형식의 악성코드들을 배포했다. 악성코드는 VM프로텍트(VMProtect)로 코드가 보호되어 있으며, 최종적으로 프로세스 정보, 파일 정보, 시스템 정보를 수집 후 C2로 전송하는 기능을 수행한다.

SectorB22 그룹은 네덜란드, 체코, 대만, 오스트레일리아, 불가리아, 리투아니아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 이력서, 외교 문서, 여권 등으로 위장한 악성코드를 소스코드 저장소 깃허브(GitHub) 저장소(Repository)에 업로드 후 정부 기관 관계자들을 대상으로 배포했다.

악성코드는 실행 시 레지스트리에 등록 후 지속성(Persistence)을 유지하며, 임의의 명령에 따라 추가 악성코드 다운로드 및 실행, 악성코드 종료, 복사 등의 기능들을 수행한다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

2023년 3월에는 총 3개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC04, SectorC08, SectorC13 그룹이다.

SectorC04 그룹은 칠레, 이탈리아, 독일, 이집트, 폴란드, 프랑스에서 이들의 활동이 발견되었다. 해당 그룹은 공격 대상의 의심을 피하기 위해 유럽 연합 국가들이 문서 작성 및 편집에 사용하는 프로그램인 ‘LegisWrite’로 위장한 HTML 파일 형식의 악성코드를 사용했으며, 노션(Notion)과 트렐로(Trello)의 API를 명령제어에 사용했다.

SectorC08 그룹은 우크라이나, 불가리아, 한국, 미국, 루마니아에서 이들의 활동이 발견되었다. 해당 그룹은 지방 자치 정부를 대상으로 형사 소송 법률 문서로 위장한 스피어 피싱(Spear Phishing) 이메일을 사용했으며, HTA(HTML Application)를 실행할 수 있는 Microsoft HTML 응용 프로그램인 MSHTA를 통해 추가 악성파일 다운로드를 시도했다.

SectorC13 그룹은 러시아에서 이들의 활동이 발견되었다. 해당 그룹은 벨로루시와 중국의 협력과 관련된 기사로 위장한 MS 워드(Word) 악성코드를 사용했으며, 템플릿 인젝션(Template Injection) 기법을 사용하여 악의적인 데이터가 포함된 MS 워드(Word) 템플릿(Template)을 다운로드 및 실행했다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 러시아와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

4. SectorD 그룹 활동 특징

2023년 3월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이는 SectorD05 그룹이다.

SectorD05 그룹은 가짜 트위터(Twitter) 페르소나(Persona) 계정을 만들어 사용했으며, 공격 대상과 신뢰 관계를 구축한 이후 악성코드 전달 또는 피싱 사이트 접속을 유도하기 위해 공동 관심사에 대해 논의하거나 인터뷰를 요청하는 등 사회공학적 기법을 사용했다.

SectorD 해킹 그룹들은 주로 이란 정부와 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행하였으며, 최근의 SectorD 해킹 그룹들의 해킹 활동 목적은 이란 정부에 반대하는 인물 또는 국가들의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

5. SectorE 그룹 활동 특징

2023년 3월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE02, SectorE03, SectorE04, SectorE05 그룹이다.

SectorE02 그룹은 방글라데시, 일본에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 사이버 보안 지침, 훈련 지명 등 임직원 보안 인식과 관련된 주제로 위장한 MS 워드(Word) 및 엑셀(Excel) 형식의 문서 악성코드들을 배포했다. 실행된 문서 악성코드는 DLL 악성코드를 추가로 생성 및 실행하며, 최종적으로 파일 정보, 프로세스 정보 등의 감염된 시스템 정보를 수집하고 C2 서버로 전송하는 기능을 수행한다.

SectorE03 그룹은 스페인, 중국, 아제르바이잔, 터키, 독일, 미국, 러시아, 이스라엘, 오스트레일리아, 네덜란드, 중국, 우즈베키스탄, 이탈리아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부 기관 및 에너지 기업 관계자를 대상으로 스피어 피싱(Spear Phishing) 이메일을 발송했으며, 공격 대상의 관심을 끌 만한 국가발전 전략, 대통령 전략을 포함한 여러 주제들로 위장했다. 이메일에 첨부된 윈도우 바로가기(LNK) 악성코드를 통해 정보 수집 및 명령 제어가 가능한 추가 악성코드를 실행할 수 있는 발판을 마련했으며, 최종적으로 텔레그램(Telegram) 메신저의 봇 API(Bot API)를 통해 시스템 정보들을 탈취한다.

SectorE04 그룹은 네팔, 파키스탄, 인도, 미얀마, 오스트레일리아, 폴란드에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 윈도우 바로가기(LNK) 악성코드를 ZIP 포맷으로 압축 후 배포했으며, 예산 계획, 프로젝트 연구 보고서를 포함한 여러 주제들로 위장했다. 악성코드 실행 시 감염 사실을 숨기기 위해 정상 문서 파일을 공격 대상에게 보여주며, 파워쉘(PowerShell) 명령으로 다운로드 받은 추가 악성코드를 통해서 시스템 정보를 탈취한다.

SectorE05 그룹은 파키스탄, 오스트레일리아, 일본, 홍콩, 중국, 미국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 소프트웨어 업데이트 파일로 위장한 CHM(Compiled HTML Help) 악성코드를 RAR 포맷으로 압축 후 배포했으며, 최종적으로 윈도우 인스톨러 유틸리티(msiexec)를 통해 감염된 시스템의 컴퓨터 이름, 사용자 이름을 C2 서버로 전송한다. 현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 인도와 근접한 파키스탄 정부와 관련된 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.

6. SectorH 그룹 활동 특징

2023년 3월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.

SectorH03 그룹은 미국, 파키스탄, 러시아, 오만, 이집트, 인도, 영국, 싱가포르, 버진아일랜드, 독일에서 활동하였다. 해당 그룹은 윈도우 바로가기(LNK) 악성코드를 배포했으며, 위험 수당, 인력 프로필, 국방연구개발기구(Defense Research and Development Organization)를 포함한 여러 주제들로 위장했다. 공격 대상이 악성코드를 실행할 경우 감염 사실을 숨기기 위해 정상 문서를 먼저 보여주고 이후 MSHTA(Microsoft HTML Application)를 통해 C2서버에서 추가 스크립트 파일을 다운로드 및 실행한다.

SectorH 해킹 그룹의 해킹 활동은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 인접한 인도와 여러가지 외교적 마찰이 계속되고 있어, 목적에 따라 인도 정부 기관의 군사 및 정치 관련 고급 정보들을 탈취하기 위한 활동들을 향후에도 지속적으로 수행할 것으로 분석된다.

7. SectorS 그룹 활동 특징

2023년 3월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorS01 그룹이다.

SectorS01 그룹은 에콰도르, 스페인, 칠레, 독일, 콜롬비아, 룩셈부르크에서 활동이 발견되었다. 해당 그룹은 금융 및 의료 부분 관계자들을 대상으로 스피어 피싱(Spear Phishing) 이메일을 발송했으며, 콜롬비아 조세관세청(Directorate of National Taxes and Customs)을 사칭하여 첨부된 어도비(Adobe) PDF 악성코드 파일의 실행을 유도한다. 최종적으로 시스템 정보 수집 및 명령 제어가 가능한 악성코드를 동작 시켜 시스템 제어권을 탈취하는 전술을 사용하고 있다.

현재까지 지속되는 SectorS 해킹 그룹의 해킹 활동 목적은 베네수엘라 인접한 남미 지역의 국가들에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다.

8. Cyber Crime 그룹 활동 특징

2023년 3월에는 총 11개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ04, SectorJ06, SectorJ14, SectorJ20, SectorJ25, SectorJ37, SectorJ53, SectorJ64, SectorJ74, SectorJ95, SectorJ96 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ04 그룹의 활동은 미국, 영국, 캐나다, 카메룬, 싱가포르에서 발견되었다. 해당 그룹은 추가 악성코드 배포에 사용될 수 있는 IcedID 라고 알려진 드로퍼(Dropper) 악성코드를 사용하여 콘티 랜섬웨어(Conti Ransomware) 및 락빗 랜섬웨어(LockBit Ransomware)를 다운로드 및 실행할 수 있는 발판을 마련했다.

SectorJ06 그룹의 활동은 마케도니아, 러시아, 독일, 벨라루스, 중국, 미국, 스페인, 프랑스, 브라질, 노르웨이, 체코, 세르비아에서 발견되었다. 해당 그룹은 금전적인 목적을 가지고 몬티 랜섬웨어(Monti Ransomware)를 사용했다.

SectorJ14 그룹의 활동은 한국, 일본에서 발견되었다. 해당 그룹은 DNS 하이재킹(Hijacking)을 위해 특정 와이파이(Wi-Fi) 라우터를 대상으로 공격을 시도했으며, 손상된 라우터에 액세스하는 사용자들을 대상으로 크롬(Chrome) 브라우저로 위장한 정보 탈취형 안드로이드(Android) 악성코드를 배포했다.

SectorJ20 그룹의 활동은 이스라엘, 키프로스, 튀르키예에서 발견되었다. 해당 그룹은 여권 사진으로 위장한 윈도우 바로가기(LNK) 파일 형식의 악성코드를 사용했으며, 최종적으로 시스템 정보 수집, 파일 업로드 및 다운로드 등 다양한 기능을 수행하는 악성코드를 사용했다.

SectorJ25 그룹은 클라우드 및 컨테이너 환경을 대상으로 암호화폐를 채굴하는 크립토재커(Cryptojacker)를 사용했으며, 시스템을 암호화폐 채굴에 최적화하기 위해 여러 시스템 설정을 변경했다.

SectorJ37 그룹의 활동은 러시아, 중국, 캐나다, 팔레스타인, 튀르키예, 미국, 브라질, 모로코, 코스타리카, 아르헨티나, 독일, 파키스탄, 스위스, 영국, 인도, 프랑스, 네덜란드, 앤티가바부다, 스웨덴, 루마니아, 말레이시아, 시리아, 우크라이나, 헝가리, 에스토니아, 폴란드, 아제르바이잔에서 발견되었다. 해당 그룹은 항공 견적서로 위장한 VBS(Visual Basic Script) 스크립트 형식의 악성코드를 스피어 피싱(Spear Phishing) 이메일에 첨부하여 전달했으며, 최종적으로 원격 제어 기능을 가진 악성코드를 시스템에 설치하여 시스템 정보 수집 및 명령 및 제어를 시도했다.

SectorJ53 그룹의 활동은 캐나다, 네덜란드, 독일, 중국, 인도, 이탈리아, 미국에서 발견되었다. 청구서 관련 내용으로 위장한 스피어 피싱(Spear Phishing) 이메일을 사용했으며, 메일 본문 피싱(Phishing) 링크를 통해 악성코드가 압축된 파일을 다운로드 하도록 유도했다. 최종적으로 다운로더(Downloader) 악성코드를 사용하여 추후 코발트 스트라이크(Cobalt Strike) 또는 슬리버(Sliver) 같은 침투 테스트 도구를 다운로드 및 실행할 수 있는 발판을 마련했다.

SectorJ64 그룹의 활동은 이탈리아, 홍콩, 말레이시아, 과테말라, 미국, 헝가리, 싱가포르, 터키, 스페인, 인도, 핀란드, 러시아, 중국에서 발견되었다. 해당 그룹은 취약한 보안 설정으로 구성되어 있거나, 취약점에 무방비한 오라클 웹로직 서버(Oracle WebLogic Server)를 대상으로 암호화폐 채굴을 시도했다.

SectorJ74 그룹의 활동은 파키스탄에서 발견되었다. 해당 그룹은 예약 내역으로 위장한 스피어 피싱(Spear Phishing) 이메일을 사용했으며, 템플릿 인젝션(Template Injection) 기법을 사용하는 MS 워드(Word) 악성코드를 첨부하여 공격 대상이 실행하도록 유도했다. 최종적으로 원격 제어 기능을 가진 악성코드를 시스템에 설치하여 시스템 정보 수집 및 명령 및 제어를 시도했다.

SectorJ95 그룹의 활동은 러시아에서 발견되었다. 해당 그룹은 구매 요청서로 위장한 자바 스크립트(Java Script) 파일 형식의 악성코드를 사용했으며, 최종적으로 실행되는 악성코드는 사용자 인터페이스 없이 작업을 수행할 수 있는 NirCmd 도구를 실행하여 추가 악성행위를 수행한다.

SectorJ96 그룹의 활동은 칠레, 중국, 영국에서 발견되었다. 해당 그룹은 다양한 오픈 소스 도구들을 활용하여 시스템 권한 상승 및 네트워크 측면 이동을 시도했으며, 원격 접속 기능을 가진 도구들을 사용하여 추후 추가 악성코드를 다운로드 및 실행할 수 있는 발판을 마련했다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 [email protected]으로 문의해 주시기 바랍니다.