2024년 2분기 국가별 해커그룹 동향 보고서

2분기 국가별 해커 그룹 동향 보고서

[그림 1] 2024년 2분기 국가별 해커 그룹 분포

 

 

러시아

2024년 2분기에는 러시아 정부를 배후에 둔 것으로 추정되는 Sandworm과 Vermin 해커 그룹의 공격 정황이 발견됐다. Sandworm 해커 그룹은 이전에 문서화된 악성코드를 새로운 악성코드와 결합해 공격에 사용했으며, Vermin 해커 그룹은 피싱 이메일로 악성코드를 유포한 것이 알려졌다.

 

[그림 2] 2024년 2분기 러시아 해커 그룹 공격

 

Sandworm

Sandworm은 BlackEnergy, Seashell Blizzard, Voodoo Bear 및 APT44로도 알려졌으며, 러시아의 총참모부(GRU)와 연관된 것으로 전해졌다.  우크라이나 컴퓨터 비상 대응팀(CERT-UA)에서 SandWorm 해커 그룹이 우크라이나의 중요 인프라 시설 약 20곳에 침입한 내용의 보고서를 공개했다. 해당 공격에서는 이전에 사용한 악성코드에 새로운 리눅스용 BIASBOAT와 LOADGRIP 악성 도구를 결합해 인프라 시설에 접근했다고 언급했다.

 

[그림 3] LOADGRIP/BIASBOAT 실행을 위한 BASH 스크립트 예시(출처 : CERT-UA)

 

CERT-UA 측은 이전에 사용한 악성코드는 기본 시스템 정보를 수집하고 원격 서버에서 명령을 실행하는 윈도우용 백도어라고 설명했다. 또한, 파일 작업과 구성 업데이트 및 자체 삭제 등이 가능하다는 특징이 있다고 덧붙였다. 한편, 이번에 사용된 LOADGRIP는 이전 악성코드의 리눅스 변형이며, ptrace API를 사용해 프로세스에 페이로드를 주입할 때 사용됐다고 전했다.

이 외에도 BIASBOAT는 암호화된 파일 서버로 위장해 LOADGRIP과 함께 작동한다고 언급했다. 우크라이나 기관은 공격 대상 기업들의 열악한 보안 환경과 소프트웨어 공급 업체의 불충분한 방어가 Sandworm의 쉬운 공격을 가능하게 만들었다고 지적했다.

 

Vermin

Vermin은 2022년 10월 이후에 러시아가 거의 점령한 루한스크 인민 공화국(LPR) 지역과 관련 있으며 군사 조직에서 민감 정보를 탈취하는 목적을 가진 것으로 알려졌다. 이번에도 우크라이나 방위군에 새로운 악성코드를 유포한 SickSync 캠페인이 발견됐다. 우선 공격자는 암호화된 파일을 첨부한 피싱 메일을 전송한다. 이때, 수신자가 파일을 실행하면 합법적인 파일 동기화 소프트웨어인 SyncThing과 SPECTR 악성코드를 포함한 파일이 실행된다.

 

[그림 4] 피싱 이메일 (출처 : CERT-UA)

 

SPECTR는 특정 프로그램 창을 감지해 스크린샷을 찍고, 이동식 USB 미디어에서 파일을 복사하는 등의 기능이 각 모듈로 구성된 특징이 있다고 알려졌다. 공격자는 이러한 특징을 이용해 데이터를 폴더로 복사한 후 공격자의 시스템으로 동기화한다고 전해졌다. 이때, SyncThing을 데이터 동기화를 위한 P2P로 악용해 사용자의 문서와 계정 정보 등을 탈취할 수 있었던 것으로 밝혀졌다.

한편, 우크라이나 컴퓨터 비상 대응팀(CERT-UA)은 공격자가 합법적인 도구를 사용해 보안 시스템의 의심을 피한 것으로 확인된다고 언급했다.

 

 

북한

경찰청에서 북한 정부가 배후에 있는 것으로 알려진 해커 그룹이 국내 방산 업체를 공격한 정황을 알렸다. 또한, 국내 사법부를 공격해 탈취한 데이터 중 일부가 외부에서 발견된 소식이 전해졌다.

 

[그림 5] 2024년 2분기 북한 해커 그룹 공격

 

이번 2분기에는 국내 방산 업체를 공격해 방산 기술 등의 데이터를 탈취한 사건들에 대한 소식이 알려졌다. 경찰청은 공격에 사용한 IP 주소와 악성코드 등을 근거로 북한 정부를 배후에 둔 해커 그룹의 소행으로 판단했다고 전했다.

 

[그림 6] 북한의 케이(K)-방산업체 해킹 공격 (출처: 경찰청)

 

경찰청은 총 세가지의 공격 방법에 대해 언급했다. 첫 번째로 공격자가 테스트 목적으로 사용된 망 연계 시스템의 취약한 포트를 악용해 내부망으로 접속했다고 전했다. 두 번째 방법은 방산 협력 업체의 서버를 원격으로 유지 보수하는 직원의 계정 정보를 사용해 공격했다고 언급했다. 이때, 직원의 상용 전자우편 계정이 사내 업무 시스템의 계정과 일치했던 점을 악용했다고 덧붙였다. 마지막으로 사내 그룹웨어 전자우편 서버에 존재하는 취약점을 이용해 공격한 점이 밝혀졌다. 해당 취약점은 공격자가 전자우편으로 송수신한 대용량 파일을 외부에서 로그인 없이 다운로드 할 수 있다는 것이라고 설명했다.

이에 대해 경찰청은 방산 기술을 탈취하는 목적을 가진 북한의 공격 시도가 지속해서 있을 전망이라고 전했다. 또한, 방산 업체뿐만 아니라 협력 업체도 보안 조치를 강화해야 한다고 당부했다.

 

이 외에도 국내 사법부 전산망에서 북한 해커 조직의 소행으로 발생한 침해사고의 수사결과에 대해 발표했다. 법원행정처는 2021년 1월 이전부터 악성코드의 침입이 있었으며 이후 6월부터 2023년 2월까지 총 1,014GB의 자료가 외부로 전송된 사실을 확인했다고 전했다. 그 중 4.7GB에 해당하는 것으로 알려진 5,171개의 회생 사건 관련 파일이 외부에서 발견됐다.

2024.01.18 - 2023년 4분기 국가별 해커그룹 동향 보고서

2024.04.18 - 2024년 1분기 국가별 해커그룹 동향 보고서

 

[그림 7] 법원행정처 공지 (출처: 대한민국 법원 대국민서비스)

 

한편, 유출된 자료에 상당한 양의 개인정보가 포함된 것으로 추정되나 구체적인 항목은 파악하지 못한 것으로 알려졌다. 이에 대해 법원행정처는 개별 문건을 분석해 개인정보 항목을 확인할 예정이라고 전하며, 출처가 불분명한 이메일과 문자 및 전화를 수신할 때 각별히 주의할 것을 당부했다.

 

 

중국

2024년 2분기에도 중국 해커 그룹의 국내 및 해외 공격 사례가 발견됐다. Xiaoqiying 출신의 해커가 국내 교육 기관을 공격했으며, Velvet Ant 해커 그룹은 한 업체의 인프라에 침투해 3년간 발견되지 않은 정황이 전해졌다.

 

[그림 8] 2024년 2분기 중국 해커 그룹 공격

 

Xiaoqiying

중국 출신의 해킹그룹 Xiaoqiying(晓骑营) 출신으로 알려진 니옌(年)이 또다시 국내 교육 기관을 공격했다고 주장했다. 이번 2분기에 니옌은 제주대학교와 광운대학교의 메일 시스템을 공격했다고 주장하며 탈취한 계정 정보를 텔레그램 채널에 공유했다.

 

[그림 9] 니옌의 국내 교육 기관 공격 주장

 

한편, 제주대학교의 계정이라고 주장한 정보로 로그인할 경우 사용자가 비활성화됐다는 메시지가 화면에 표시된다는 소식이 전해졌다. 해당 메시지를 근거로 계정 사용자가 졸업생이거나 지금은 사용하지 않는 계정으로 추정된다고 알려졌다. 니옌은 지난 1분기에 숙명여자대학교 등 국내 교육 기관 외에도 정부 기관들을 공격한 이력이 있다.

2024.04.18 - 2024년 1분기 국가별 해커그룹 동향 보고서

 

Velvet Ant

중국 정부의 지원을 받는 것으로 알려진 Velvet Ant 조직이 한 업체의 시스템에 침투한 후에 약 3년간 발견되지 않은 소식이 전해졌다. 보안 업체 Sygnia 측은 이번에 발견된 Velvet Ant의 공격 사례에서 여러 특징을 언급했다.

 

[그림 10] Velvet Ant의 F5 어플라이언스 사용 (출처: Sygnia)

 

우선, 공격자가 침투한 시스템에서 여러 거점을 확립해 오랫동안 지속성을 유지했다는 특징이 있다고 언급했다. 이에 대해 한 거점이 발견되면 재빠르게 다른 거점으로 전환하면서 탐지를 회피했다고 덧붙였다. 또한, 2008년부터 여러 중국의 해커 그룹에서 사용한 원격 접속 트로이 목마(RAT) PlugX를 사용했다고 전했다. 이 외에도 네트워크 트래픽을 관리하고 보안 서비스를 제공하는 F5 BIG-IP를 악용해 공격에 사용했다고 설명했다. 이때, 공격자는 인터넷에 노출된 F5 BIG-IP에 침투해 장악한 후 손상된 F5 어플라이언스를 내부 C&C 서버로 사용한 것으로 알려졌다.

해당 공격에 대해 Sygnia 측은 아웃바운드 인터넷 트래픽과 네트워크 전체에서 측면 이동을 제한하는 등의 Velvet Ant 조직에 대한 방어 방법을 안내하고 있다.

 

 

이란

2024년 2분기에는 이란 출신의 해커 그룹인 Void Manticore와 Damselfly 그룹의 공격 사례가 발견됐다. Void Manticore 해커 그룹은 Karma 해커 그룹과 협력한 정황이 알려졌으며, Damselfly 해커 그룹은 사회 공학적 공격으로 네트워크와 클라우드 환경을 공격한 소식이 전해졌다.

 

[그림 11] 2024년 2분기 이란 해커 그룹 공격

 

Void Manticore

Void Manticore는 Storm-842라고도 불리며 이란의 정보 및 보안부(MOIS)에 소속된 것으로 알려졌다. 외신에서는 최근에 해당 그룹이 Karma 해커 그룹과 협력해 이스라엘과 알바니아를 공격했다고 보도했다. 보안 업체 Check Point 측은 이번 공격에서 웹쉘과 수동 삭제 도구 및 사용자 정의 와이퍼 등 다양한 도구를 사용해 공격을 시도한 정황을 발견했다고 전했다. 특히, 오류 페이지로 위장한 Karma 쉘을 이용해 프로세스 생성과 파일 업로드 등 공격자의 명령을 실행했다고 언급했다. 이를 통해 공격자는 도메인 자격 증명의 인증을 확인한 후 네트워크 정보를 수집했다고 설명했다. 또한, 수집된 정보는 OpenSSH 클라이언트를 사용해 공격자의 C&C 서버로 전송했다고 덧붙였다.

 

[그림 12] Karma Shell을 통해 실행되는 명령 (출처 : Check Point)

 

한편, 이번 공격에서 시스템 파일을 제외한 모든 파일을 손상시키는 최신 버전의 BiBi 와이퍼 악성코드 변종이 발견됐다. 해당 변종은 이전 버전과 달리 이스라엘 시스템만을 공격 대상으로 지정했으며, 디스크에서 파티션 정보를 제거해 데이터 복구를 어렵게 만든다고 설명했다.

 

Damselfly

Damselfly는 이란 혁명 수비대(IRGC)에 소속돼 이란 내에서 정치와 외교 정책 및 정권 안정 등을 목적으로 특정 개인과 조직을 공격한다고 알려졌다. 보안 업체 Mandiant는 Damselfly가 2022년 9월부터 활동했으며, 이번 공격으로 중동의 NGO와 언론 기관 및 법률 서비스 등에서 피해가 발생했다고 전했다. Mandiant 측은 공격자가 네트워크 초기 접근 권한을 얻기 위해 피해자에게 지속적인 연락을 하면서 신뢰를 구축했다고 언급했다. 이후에 권한을 획득한 공격자는 오픈소스 도구를 사용해 탐지를 피하면서 데이터를 탈취했다고 설명했다.

 

[그림 13] 가짜 Gmail 로그인 페이지 (출처 : Google Cloud)

 

이번 공격에서 공격자에게 명령 실행 인터페이스를 제공하거나 추가 악성코드를 배포하기 위해 NICECURL과 TAMECAT이라는 두 가지 백도어가 사용됐다고 전했다. 이에 대해 외신은 Damselfly의 공격 방법이 최소한의 흔적만 남기고 네트워크 활동을 탐지하기 어렵게 만든다고 언급했다.