[Regional Analysis_OCTOBER] Dark Web Cyber-attacks targeting Japan (Korean ver.)

Malware Analysis
1

Author: Sunhyung Shim, Jaehak Oh | S2W Marketing

Photo by Koukichi Takahashi on Unsplash

Executive Summary

  • S2W 데이터 분석 결과, 올해 1월부터 최근까지 일본의 기업과 정부 기관을 대상으로 한 사이버 공격이 눈에 띄게 증가함. 다크웹 해킹 포럼 및 텔레그램에서 활동하는 해커들의 일본 관련 데이터 거래, 주요 정부 기관 및 기업에 가하는 사이버 공격 (DDOS) 비중이 특히 크게 증가했음
다크웹 해킹 포럼
  • 다크웹 해킹 포럼 게시글 분석 결과, 일본향 사이버 범죄는 전년 동기 대비 약 58.2%가 증가함. (동기간 전 세계 증감량 대비 약 18%p 높은 수치)
  • 피해 산업은 일본의 대표 산업인 전자 제품 제조, 게임, 자동차 등의 순으로 나타남
  • 특히 전자 제품 제조 산업과 게임 산업이 큰 피해를 입었는데, 최근 SONY가 랜섬웨어 공격을 받고, 유출된 데이터가 여러 해킹 포럼 내에서 거래되었음. NINTENDO도 내부 자료 유출 관련 포스팅이 다수 등장함
랜섬웨어
  • 일본 기업과 정부 기관을 대상으로 한 랜섬웨어 공격은 작년 대비 소폭 감소했으나, 이는 전세계적인 추세이며 주요 기업을 대상으로 한 공격은 여전히 꾸준하게 나타나고 있음
  • 피해 산업은 ‘제조업’에 집중되었는데, (약 62%) 이는 전 세계 대비 약 37%, 아시아 대비 약 24%가 높은 수치
텔레그램
  • 일본은 올해 들어 다수의 해킹 그룹에게 사이버 공격의 타겟이 되고 있음. 전년 동기 대비 일본을 언급한 메시지는 약 1,000% 증가한 것으로 확인됨
  • 사이버 범죄 유형 분석 시, 개인 정보를 탈취해 유출하는 메시지가 가장 빈번하게 발견되며, 이어서 정부 기관이나 기업을 대상으로 Ddos 공격, 사이트 탈취 등을 노리는 사이버 공격도 자주 발견되고 있음

사이버 공격의 경우, 주체는 보통 텔레그램에서 활동하는 ‘핵티비스트 해커 그룹’이라고 불리는 그룹들인데, 이들은 정치적 신념과 어긋나는 국가에 사이버 공격을 가하는 ‘행동주의’ 그룹임. 일본의 주요 정부 기관 및 기업은 올해 이러한 핵티비스트 그룹으로부터 사이트 셧다운, 디페이싱 등의 적지 않은 피해를 입은 것으로 확인됨.

다크웹 해킹 포럼 분석

피해 산업 분포 / 주변 국가와의 비교
  • 최근 해킹 포럼 내 일본의 기업이나 정부 기관이 연관된 데이터 유출 관련 포스팅을 분석한 결과, 전자 제품 제조업이나 게임 산업, 자동차와 같이 일본을 대표하는 산업이 특히 많은 데이터 유출 피해를 입은 것으로 나타남
  • 대한민국을 포함해 주변 국가들의 데이터와 비교해 보아도 일본의 전자 제품 제조 기업, 게임 기업, 자동차 기업의 데이터 유출 피해는 월등히 높은 수준임
전자 제품 제조 기업 피해 사례: SONY
다크웹 해킹 포럼 내 SONY 유출
  • SONY의 내부 데이터베이스는 수차례 유출되어 여러 다크웹 해킹 포럼에서 거래되고 있음

→ 내부 네트워크 접근 권한 유출 사례: 소니의 Jenkins, SVN, SSH 등이 러시아 해킹 포럼 XSS에서 판매되었음

→ 내부 문서 유출 사례: 플랫폼 소스코드, 내부 문서 등이 글로벌 해킹 포럼 BreachFourms에서 판매되었음

→ 랜섬웨어 피해 사례: 올해 6월과 9월에 각기 다른 랜섬웨어 그룹에 의해 내부 문서 유출 피해를 입은 것으로 알려짐 (본 보고서 P. 8 참조)

게임 기업 피해 사례: NINTENDO
다크웹 해킹 포럼 내 NINTENDO 유출
  • 지난 2월, NINTENDO의 휴대용 게임 콘솔 ‘NINTENDO SWTICH’ 관련 자료가 글로벌 해킹 포럼에 무료로 게시됨
  • 유출된 데이터는 약 50GB 규모로 소스코드, 게임 개발 도구, 그래픽 파일, 그리고 피해 기업의 각종 내부 문서로 확인됨
  • 해커는 피해 기업의 개발자 계정을 탈취해 개발자 포털에 접근, 내부 데이터를 탈취했다고 밝힘
자동차 산업 피해 사례: TOYOTA
다크웹 해킹 포럼 내 TOYOTA 유출
  • 지난 3월, TOYOTA 브라질 지사의 내부 네트워크 접근 권한을 판매하는 포스팅이 다크웹 러시아 해킹 포럼인 RAMP와 XSS에 각각 게시됨
  • 두 해킹 포럼 모두 판매자의 아이디는 ‘el84’로, 해당 판매자는 다양한 해킹 포럼에서 랜섬웨어 그룹에게 유출된 기업 계정을 판매하는 ‘IAB’ (Initial Access Broker) 으로 활동하고 있음
  • 지난 7월, 다크웹 해킹 포럼에서는 ‘BANCO TOYOTA’ (TOYOTA 차량을 구매하는 고객에게 대출 및 리스를 포함한 서비스를 제공하는 업체)의 내부 네트워크에 접근하기 위한 로그를 구매하고자 하는 유저가 포착됨

랜섬웨어 피해 분석

랜섬웨어 피해, 주변 국가와의 비교
  • 최근 들어 랜섬웨어 그룹의 움직임은 작년 대비 전반적으로 소폭 감소했으나, 주요 글로벌 기업이나 정부 기관을 대상으로 한 공격은 지속적으로 보이고 있으며 일본을 향한 랜섬웨어 공격도 지속되는 모습을 보임
  • 올해 일본 기업·기관의 랜섬웨어 피해는 주변 국가 비교 대비 높은 수준을 보이고 있음
피해 산업 분석 및 랜섬웨어 그룹 활동 비중
  • 일본에 가장 큰 랜섬웨어 피해를 입힌 랜섬웨어 그룹은 ‘LockBit’으로 나타남
랜섬웨어 피해: SONY

6월) CLOP 랜섬웨어, SONY에 사이버 공격

  • ’SONY’는 ‘PWC’ 그리고 ‘EY’와 함께 랜섬웨어 피해를 입은 것으로 나타남. 이는 ‘CLOP’이 ‘MOVEit’ 취약점을 악용한 것으로 확인됨
CLOP 다크웹 유출 블로그에 등재된 SONY

9월) RansomedVC 랜섬웨어, SONY에 사이버 공격

  • 신규 랜섬웨어 그룹 ‘RansomedVC’는 ‘SONY’의 데이터를 탈취하여 운영 중인 다크웹 랜섬웨어 블로그에 업로드함
  • 랜섬웨어 그룹이 게시글을 작성하기 몇 시간 전,
    다크웹 해킹 포럼 ‘Exploit’에는 랜섬웨어 그룹의 이름과 매우 유사한 ID를 가진 유저 ‘Rans0m3dVc’가 피해 기업의 내부 네트워크에 접근할 수 있는 다양한 소스를 판매함 <그림 1 참조>
(좌) RansomedVC 다크웹 유출 블로그에 등재된 SONY / (우) 그림 1
랜섬웨어 피해: YKK

6월) LockBit 랜섬웨어, YKK에 사이버 공격

  • 일본 의류 지퍼 제조업체인 ‘YKK’의 미국 지사가 랜섬웨어 그룹 ‘LockBit’으로부터 사이버 공격을 입음
  • l랜섬웨어 그룹은 ‘YKK’ 피해 기업명만 리스트에 업로드 했으며, 샘플은 공개하지 않았음
LockBit 다크웹 유출 블로그에 등재된 YKK
랜섬웨어 피해: SEIKO

8월) Alphv/BlackCat 랜섬웨어, SEIKO에 사이버 공격

  • ‘Seiko Group’이 랜섬웨어 그룹 ‘Alphv/BlackCat’으로부터 랜섬웨어 피해를 받아 내부 데이터가 유출됨
  • 랜섬웨어 그룹은 피해 기업 내부 도메인에 접속할 수 있는 Credential, 내부 문서 스크린샷 등을 샘플로 업로드함
  • 피해 기업의 공식 웹사이트에는 본 해킹과 관련된 게시글이 올라와 있는데, 게시글 내용에 의하면 지난 7월 세이코 내부 도메인에 불법 침투가 이루어진 것이 확인 되었다고 하며, 8월에는 이를 통해 내부 자산이 탈취 되었다는 게시글이 올라왔음
Alphv/BlackCat’s 다크웹 유출 블로그에 등재된 SEIKO

텔레그램 분석

텔레그램 채널 내 일본 대상 사이버 위협 컨텐츠
(좌) 일본을 타겟하는 연간 메시지 개수 / (우) 일본 타겟 사이버 위협 유형 분석
  • 올해 들어 텔레그램 내 일본을 겨냥한 사이버 위협 메시지는 급격히 증가, 특히 일본 시민들의 개인 정보를 유출하는 내용이 다수를 차지하고 있음
  • 텔레그램에서 활동하는 해킹 그룹들의 일본 기업·정부 기관을 대상으로 한 해킹 공격 (Ddos/OP) 시도는 올해 들어 등장한 패턴으로 컨텐츠의 절대적인 양도 많으나, 한 개 한 개 메시지의 위험도도 매우 높은 컨텐츠들로 나타남
개인정보, 기업 데이터 등을 공유/판매하는 메시지
  • 일본 개인정보 유출의 상당수는 ‘Combolist’로 이루어져 있으며, 이는 보통 텔레그램 채널에서 직접 다운로드 가능하거나 별도 URL을 통해 다운로드 가능함
일본 타겟 DDOS/OP 사이버 공격
  • 일본 타겟 핵티비스트 그룹 등장

→ 핵티비스트 (Hacktivist, Hack + Activist의 합성어) 그룹은 주로 그들의 정치적 신념과 어긋나는 국가에 사이버 공격을 가하는 일종의 행동주의자 집단임

→ OP는 ‘Operation’의 약자로, 다수 핵티비스트 그룹들이 특정 국가를 공격할 때 사용하는 키워드임 (예: #OPJapan)

  • 일본 타겟 핵티비즘 사례

→일본이 러-우 전쟁에 있어 우크라이나를 지지하는 모습을 보이자, 올해 2월 러시아 기반 핵티비스트 그룹 ‘NoName057(16)’은 다수 일본 정부 기관과 금융권, 게임 기업, 전자 제품 제조 기업 등에 DDOS 공격을 가한 정황이 포착됨

→핵티비스트 그룹 ‘Anonymous Italia’, ‘VulzSec Official’ 등은 일본이 후쿠시마 오염수 방류를 결정하자, 이에 반대하는 입장을 표명하기 위해 다수 일본 기업 웹사이트, 정부 기관 등에 DDOS 공격을 가하거나 주요 기관의 데이터를 탈취하여 무료로 공유함

→타 핵티비스트 그룹 ‘Hacktivist of Garuda’, ‘Ganosec Team’ 등은 일본에 직접적인 사이버 공격을 가하진 않았으나, ‘Anonymous Italia’ 혹은 ‘VulzSec Official’이 작성한 메시지를 운영 중인 텔레그램 채널에 공유하며 그들의 입장을 지지함

월별 DDOS/OP 사이버 공격 추이

1월) 일본 정부, 러-우 전쟁에서 우크라이나 지지 표명

  • 1월 27일, 일본 PM Office (총리대신관저)는 ‘X’ (구 Twitter)을 통하여 우크라이나 지지를 표명
  • 2월 13일, ‘NoName057(16)’은 일본에 첫 DDOS 공격 실시

8월) 후쿠시마 오염수 방류 결정

  • ‘Anonymous Italia’는 7월 말부터 오염수 방류 결정에 대해 반대하는 DDOS 공격을 개시했으며, 8월부터는 ‘VulzSec’, ‘Hacktivist of Garuda’ 등이 DDOS 공격에 참여

텔레그램에서 활동하는 핵티비스트 그룹

NoName057(16)
  • 이들은 일본 전자 제품 제조사인 ‘PANASONIC’과 거대 게임사인 ‘BANDAI NAMCO’의 웹사이트에 운영이 불가능할 정도의 DDoS 공격을 가한 바 있음
  • 또한, ‘NoName057(16)’은 철도 예약 웹사이트 혹은 하카타역 웹사이트에 사이버 공격을 가한 바 있음
Anonymous Italia
VulzSec

[Appendix] 일본향 스틸러 위협

[Regional Analysis_OCTOBER] Dark Web Cyber-attacks targeting Japan (Korean ver.) was originally published in S2W BLOG on Medium, where people are continuing the conversation by highlighting and responding to this story.

Article Link: [Regional Analysis_OCTOBER] Dark Web Cyber-attacks targeting Japan (Korean ver.) | by S2W | S2W BLOG | Medium