Monthly Threat Actor Group Intelligence Report, May 2023 (KOR)

2023년 4월 21일에서 2023년 5월 20일까지 NSHC ThreatRecon팀에서 수집한 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)들의 활동을 요약 정리한 내용이다.

이번 5월에는 총 34개의 해킹 그룹들의 활동이 확인되었으며, SectorA 그룹이 23%로 가장 많았으며, SectorC 그룹의 활동이 그 뒤를 이었다.

이번 5월에 발견된 해킹 그룹들의 해킹 활동은 정부기관과 상업 시설 분야에 종사하는 관계자 또는 시스템들을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 유럽(Europe)과 북아메리카(North America)에 위치한 국가들을 대상으로 한 해킹 활동이 가장 많은 것으로 확인된다.

1. SectorA 그룹 활동 특징

2023년 5월에는 총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorA01, SectorA02, SectorA04, SectorA05, SectorA06 그룹이다.

SectorA01 그룹은 미국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 취약한 버전을 사용하는 윈도우 IIS 웹서버(Windows IIS web server)들을 대상으로 추가 악성코드를 다운로드 및 실행시키는 다운로더(Downloader) 기능을 가진 악성코드를 배포했다.

SectorA02 그룹은 한국, 오스트레일리아, 홍콩, 미국, 인도에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 압축 파일 내부에 윈도우 바로가기(LNK) 파일 형식의 악성코드가 존재하는 압축파일을 사용했으며, 한국 행정학회 세미나, 북한 경제위기를 포함한 다양한 주제들로 위장하여 공격 대상이 악성코드를 실행하도록 유도했다.

SectorA04 그룹은 미국, 독일, 영국에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 마이크로소프트 디펜더(Microsoft Defender)로 위장한 악성코드를 사용했다.

SectorA05 그룹은 한국, 미국, 일본, 이탈리아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 구매 결제 내역서로 위장한 CHM(Compiled HTML Help) 파일 형식의 악성코드를 사용했으며, 내부 스크립트를 통해 HTA(HTML Application) 악성코드를 다운로드 및 실행할 수 있는 기능을 가지고 있다.

SectorA06 그룹은 캐나다, 아르헨티나, 이탈리아, 터키, 아랍에미리트, 독일, 스페인, 영국, 미국, 일본, 러시아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 벤처 캐피탈(Venture Capital) 회사를 사칭하여 맥OS(macOS) 사용자를 대상으로 PDF 뷰어(PDF Viewer)로 위장한 악성코드를 배포했다. 최종적으로 시스템 정보를 수집하여 C2 서버로 전송하고, 추가 명령 수행 기능을 가지고 있는 러스트(Rust) 언어 기반의 악성코드를 사용했다.

현재까지 계속 지속되는 SectorA 해킹 그룹들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다. 이들의 해킹 목적은 장기간에 걸쳐 지속되고 있으며, 이러한 전략적 해킹 목적으로 당분간 변화 없이 지속적으로 진행될 것으로 판단된다.

2. SectorB 그룹 활동 특징

2023년 5월에는 총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorB01, SectorB04, SectorB22, SectorB42, SectorB53 그룹이다.

SectorB01 그룹은 오스트레일리아, 프랑스, 홍콩에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 악성 윈도우 바로가기(LNK) 파일이 포함된 ZIP 압축 파일을 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 시스템에 침투 테스트(Penetration Testing) 도구인 코발트 스트라이크(Cobalt Strike)를 설치하여 정보 탈취 행위를 하였다.

SectorB04 그룹은 일본에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 일본의 호텔 및 숙박업(Hospitality)을 대상으로 러시아-우크라이나 전쟁이 일본에 미친 영향 관련 내용으로 위장한 MS 워드(Word) 문서를 배포하여 공격 활동을 하였으며, 다운로더(Downloader) 기능의 악성코드를 설치하여 추후 공격을 위한 발판을 마련하였다.

SectorB22 그룹은 영국, 베트남, 우크라이나, 오스트레일리아, 미얀마, 태국, 슬로바키아, 헝가리, 이스라엘에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 악성 ZIP파일을 포함하는 HTML 파일을 배포하여 공격 활동을 하였으며, 최종적으로 공격 대상 시스템에 플러그엑스(PlugX)로 알려진 원격제어 악성코드를 설치하여 정보 탈취 행위를 하였다.

SectorB42 그룹은 홍콩, 한국, 리투아니아에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부 및 금융 기관을 대상으로 다양한 백도어를 배포하여 공격 활동을 하였으며, 정보 탈취 행위를 하였다.

SectorB53 그룹은 대만에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 정부 기관 및 교육, 물류, 텔레콤을 대상으로 리버스 쉘(Revere Shell) 설정 기능의 악성코드를 배포하여 공격 활동을 하였다.

현재까지 지속되는 SectorB 해킹 그룹들의 해킹 활동 목적은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 것으로 분석된다.

3. SectorC 그룹 활동 특징

2023년 5월에는 총 4개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorC01, SectorC04, SectorC08, SectorC13 그룹이다.

SectorC01 그룹의 활동은 우크라이나, 이스라엘, 캐나다, 오스트리아에서 발견되었다. 해당 그룹은 계정 정보 탈취를 목적으로 뉴스 미디어와 검색엔진을 제공하는 포털 사이트(Portal Site)로 위장한 피싱 사이트(Phishing Site)를 사용했다.

SectorC04 그룹의 활동은 도미니카 공화국에서 발견되었다. 해당 그룹은 DLL 파일 형식의 악성코드와 윈도우 바로가기(LNK) 파일이 내부에 포함되어 있는 압축파일을 사용했다. 설명서로 위장하여 공격 대상이 윈도우 바로가기(LNK) 파일을 실행하도록 유도했으며, 실행 시 같은 경로에 존재하는 DLL 파일 형식의 악성코드를 실행한다.

SectorC08 그룹의 활동은 오스트레일리아, 우크라이나, 미국, 슬로베니아, 루마니아에서 발견되었다. 해당 그룹은 형사 소송 법률 문서로 위장한 압축파일을 사용했으며, HTA(HTML Application)를 실행할 수 있는 Microsoft HTML 응용 프로그램(MSHTA)을 통해 추가 악성파일 다운로드를 시도했다.

SectorC13 그룹의 활동은 러시아에서 발견되었다. 해당 그룹은 포격에 대한 대피행동요령에 대한 내용으로 위장한 MS 워드(Word) 악성코드를 사용했으며, 공격 대상이 MS 워드(Word) 악성코드를 실행할 경우 템플릿 인젝션(Template Injection) 기법을 통해 악의적인 코드가 포함된 MS 워드(Word) 템플릿(Template)을 다운로드 및 실행한다.

현재까지 지속되는 SectorC 해킹 그룹들의 해킹 활동은 러시아와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

4. SectorD 그룹 활동 특징

2023년 5월에는 총 2개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorD05, SectorD36 그룹이다.

SectorD05 그룹의 활동은 오스트리아, 스페인, 이스라엘에서 발견되었다. 해당 그룹은 취약한 서버들을 대상으로 업로드, 다운로드, 명령실행 기능을 가지고 있는 ASPX(Active Server Pages Extended) 파일 형식의 웹쉘(WebShell)을 사용했다.

SectorD36 그룹의 활동은 이스라엘에서 발견되었다. 해당 그룹은 이라크와 관련된 주제로 위장한 압축파일을 공격 대상에게 전달했으며, 아이콘을 폴더와 동일하게 변경하여 공격 대상이 폴더를 열어보도록 유도하는 악성코드를 사용했다. 최종적으로 시스템 정보 수집 및 명령 제어 기능 등 다양한 기능을 가진 파워쉘(PowerShell) 스크립트 형식의 악성코드를 사용했다.

SectorD 해킹 그룹들은 주로 이란 정부와 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행하였으며, 최근의 SectorD 해킹 그룹들의 해킹 활동 목적은 이란 정부에 반대하는 인물 또는 국가들의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

5. SectorE 그룹 활동 특징

2023년 5월에는 총 5개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorE01, SectorE02, SectorE04, SectorE05, SectorE06 그룹이다.

SectorE01 그룹은 싱가포르, 루마니아, 캐나다, 일본에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 선박 해외 배치 계획으로 위장한 악성코드를 배포하여 공격 활동을 하였으며, 최종적으로 아마데이(Amadey)로 알려진 봇넷(Botnet) 악성코드를 설치하여 정보 탈취 행위를 하였다.

SectorE02 그룹은 네팔, 이스라엘, 오스트레일리아, 미국, 영국, 파키스탄, 인도, 오스트리아, 터키, 스리랑카에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 사이버 보안 권고 문서로 위장한 어도비(Adobe) PDF 문서를 배포하여 공격 활동을 하였으며, 최종적으로 악성코드를 설치하여 정보 탈취 행위를 하였다.

SectorE04 그룹은 스리랑카, 파키스탄, 터키에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 남아시아 정부 기관을 대상으로 MS 워드(Word) 문서를 배포하여 공격 활동을 하였으며, 최종적으로 악성코드를 설치하여 추후 공격을 위한 발판을 마련하였다.

SectorE06 그룹은 영국, 인도, 파키스탄, 네덜란드에서 이들의 해킹 활동이 발견되었다. 해당 그룹은 보안 채팅 애플리케이션(Application)으로 위장한 안드로이드(Android) 악성코드를 배포하여 공격 활동을 하였으며, 통화 기록, 연락처, SMS 메시지, 위치 정보 등의 민감한 정보를 탈취하는 행위를 하였다.

현재까지 지속되는 SectorE 해킹 그룹들의 해킹 활동 목적은 인도와 근접한 파키스탄 정부와 관련된 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다. 그러나 최근에는 중국을 포함한 극동 아시아와 다른 지역으로 확대되고 있는 점으로 미루어, 정치, 외교 및 기술 관련 고급 정보들을 획득하기 위한 활동의 비중도 커지고 있는 것으로 분석된다.

6. SectorH 그룹 활동 특징

2023년 5월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorH03 그룹이다.

SectorH03 그룹은 인도, 미국, 일본에서 이들의 활동이 발견되었다. 해당 그룹은 “사우디 대표단” 이라는 파일명으로 위장한 ZIP 압축 파일을 배포하여 공격 활동을 하였으며, 정보 탈취 행위를 하였다.

SectorH 해킹 그룹의 해킹 활동은 사이버 범죄 목적의 해킹과 정부 지원 목적의 해킹 활동을 병행한다. 특히, 인접한 인도와 여러가지 외교적 마찰이 계속되고 있어, 목적에 따라 인도 정부 기관의 군사 및 정치 관련 고급 정보들을 탈취하기 위한 활동들을 향후에도 지속적으로 수행할 것으로 분석된다.

7. SectorS 그룹 활동 특징

2023년 5월에는 총 1개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorS01 그룹이다.

SectorS01 그룹은 독일, 우크라이나, 미국, 체코, 칠레, 영국, 네덜란드, 루마니아, 콜롬비아, 멕시코에서 이들의 활동이 발견되었다. 해당 그룹은 제조업 및 IT 업체를 대상으로 스피어 피싱(Spear Phishing) 이메일을 배포하여 공격 활동을 하였으며, 정보 탈취 행위를 하였다.

현재까지 지속되는 SectorS 해킹 그룹들의 해킹 활동은 이들을 지원하는 정부와 인접한 국가들에서 정치, 외교 및 군사 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 해킹 활동을 수행하는 것으로 분석된다.

8. Cyber Crime 그룹 활동 특징

2023년 5월에는 총 11개 해킹 그룹의 활동이 발견되었으며, 이들은 SectorJ04, SectorJ05, SectorJ06, SectorJ09, SectorJ64, SectorJ72, SectorJ74, SectorJ110, SectorJ111, SectorJ112, SectorJ113 그룹이다.

이들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

SectorJ04 그룹의 활동은 미국, 인도, 스페인, 루마니아, 대만에서 발견되었다. PaPerCut 취약점(CVE-2023-27350, CVE-2023-27351)에 노출된 시스템을 대상으로 데이터를 탈취하거나, 랜섬웨어(Ransomware) 배포를 시도했다.

SectorJ05 그룹의 활동은 말레이시아, 스웨덴, 터키, 미국에서 발견되었다. 해당 그룹이 사용한 악성코드는 추가 악성코드를 다운로드 및 실행할 수 있는 기능을 가지고 있기 때문에 추후 시스템에 중요한 정보를 훔치거나 랜섬웨어(Ransomware) 공격을 시도를 할 가능성이 있다고 판단된다.

SectorJ06 그룹의 활동은 러시아에서 발견되었다. 해당 그룹은 금전적인 이윤을 확보하기 위해 가스프롬 랜섬웨어(Gazprom Ransomware)를 사용했으며, 러시아 대통령인 블라디미르 푸틴을 연상케 하는 텍스트 그림이 포함된 랜섬노트(Ransom Note)를 사용했다.

SectorJ09 그룹은 웹 사이트에 난독화 된 스키밍(Skimming) 스크립트를 삽입하여, 결제 페이지에서 사용자명, 주소, 이메일, 전화번호와 신용카드 지불 정보 등을 수집하는 기존의 해킹 방식을 유지하고 있다.

SectorJ64 그룹의 활동은 미국, 인도에서 발견되었다. 해당 그룹은 오라클(Oracle) 웹로직(WebLogic) 서버 취약점(CVE-2017-3506)에 노출된 서버를 대상으로 암호화폐 채굴을 시도했다.

SectorJ72 그룹의 활동은 네덜란드, 홍콩, 인도네시아, 캐나다, 멕시코, 아르메니아, 세르비아, 헝가리, 볼리비아, 스페인, 튀니지, 에콰도르, 말레이시아, 이탈리아, 폴란드, 크로아티아, 불가리아, 리투아니아, 아르헨티나, 미국에서 발견되었다. 해당 그룹은 이동식 매체를 통해 악성코드를 전파하고 있으며, 공격 대상이 악성코드에 감염된 이동식 매체에 존재하는 윈도우 바로가기(LNK) 파일 형식의 악성코드를 실행할 경우 추가 악성코드를 다운로드 및 실행한다.

SectorJ74 그룹의 활동은 이탈리아, 아일랜드, 독일, 미국, 핀란드에서 발견되었다. 해당 그룹은 예약 내역으로 위장한 스피어 피싱(Spear Phishing) 이메일을 사용했으며, 템플릿 인젝션(Template Injection) 기법을 사용하는 MS 워드(Word) 악성코드를 첨부하여 공격 대상이 실행하도록 유도했다. 최종적으로 원격 제어 기능을 가진 악성코드를 사용하여 시스템 정보 수집 및 명령 및 제어를 시도했다.

SectorJ110 그룹의 활동은 러시아, 미국, 스페인, 우크라이나에서 발견되었다. 해당 그룹은 내부에 청구서로 위장한 자바스크립트(JavaScript) 파일 형식의 악성코드가 존재하는 압축파일을 첨부하여 피싱 메일(Phishing Mail)을 배포했으며, 최종적으로 추가 악성코드를 다운로드 및 실행할 수 있는 기능을 가진 악성코드를 사용했다.

SectorJ111 그룹의 활동은 사우디 아라비아, 미국, 이란, 멕시코, 체코, 세르비아, 헝가리, 방글라데시, 스웨덴, 한국, 핀란드, 베트남, 캐나다, 인도, 칠레, 루마니아, 알제리, 영국, 베네수엘라, 이탈리아, 케냐, 독일, 브라질, 오스트리아, 필리핀 제도, 싱가포르, 카타르, 프랑스, 스페인, 태국, 일본, 팔레스타인, 홍콩, 중국에서 발견되었다. 해당 그룹은 추가 악성코드 다운로드 및 실행 기능을 가진 악성코드를 무료 소프트웨어 제공 피싱 사이트(Phishing Site)로 배포했으며, 공격 대상이 악성코드를 실행할 경우 마이크로소프트(Microsoft)를 사칭한 피싱 사이트(Phishing Site)를 보여주며, 신용카드 정보 입력을 유도한다.

SectorJ112 그룹의 활동은 미국, 멕시코, 인도네시아, 태국, 러시아, 남아프리카, 인도, 앙골라, 필리핀, 아르헨티나, 대만에서 발견되었다. 해당 그룹은 빅데이터에 활용할 데이터를 확보하고, 광고 실행과 같은 수익 창출을 위해 안드로이드(Android) 악성코드를 사용했으며, 다른 해킹 그룹들에게 정보를 판매할 목적으로 민감한 정보를 탈취했다.

SectorJ113 그룹의 활동은 도미니카 공화국, 영국, 세인트루시아, 이스라엘, 캐나다, 보스니아 헤르체고비나, 바베이도스, 이탈리아, 페루, 네덜란드, 벨라루스, 싱가포르, 튀르키예, 코스타리카, 우즈베키스탄, 베네수엘라, 대만, 인도, 홍콩, 이집트, 라트비아, 프랑스, 한국, 독일, 중국, 바레인, 러시아, 미국에서 발견되었다. 해당 그룹은 금전적인 이윤을 확보하기 위해 바북 랜섬웨어(Babuk Ransomware)를 사용했으며, 공격 대상이 몸값을 지불할 가능성을 높이기 위해 유출된 데이터를 공개하겠다고 위협하는 이중 갈취 공격을 사용했다.

IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 [email protected]으로 문의해 주시기 바랍니다.