2022년 3분기 국가별 해커그룹 동향 보고서

3분기 국가별 해커그룹 동향 보고서

[그림 1] 2022년 3분기 국가별 해커그룹 분포

러시아

이번 3분기에는 러시아 국가기관의 지원을 받는 해커그룹 중 KillNet과 Gamaredon, Sandworm 해커그룹이 활발하게 활동하였다. 이 그룹들은 지난 2분기에 이어서 APT 공격을 수행하였으며, 주요 공격 대상이 우크라이나 정부기관에서 우크라이나 정부를 지지하는 기업으로 확대되었다. 그리고 FancyBear 해커그룹이 새로운 공격 기법인 HoverWithPower를 활용해 공격을 수행하였다. 

[그림 2] 2022년 3분기 러시아 해커그룹 공격

KillNet

친러시아 성향의 해커그룹인 KillNet은 지난 3월부터 활동한 것으로 전해진다. 주요 공격 대상은 이탈리아, 루마니아, 체코, 라트비아 등으로 우크라이나를 지지하는 국가 및 정부기관 등이 있다. 지난 2분기에는 이탈리아를 표적으로 하여, 은행을 포함한 그 외 공공기관 3곳의 웹사이트를 공격했다면, 이번 3분기에는 공격대상이 우크라이나를 지지하는 정부기관에서 기업으로 확대된 것으로 보인다. 
KillNet 그룹은 8월에 LockHeed Martin을 공격했다고 밝혔다. LockHeed Martin은 미국의 항공우주, 무기, 방위 기업으로 미군과 우크라이나군에 군용, 방위 장비를 공급하는 기업이다. 해당 해커그룹은 LockHeed Martin의 각종 정보를 탈취했으며, 탈취한 정보에는 직원 사진 및 이름과 같은 개인정보가 포함되어 있다고 텔레그램을 통해 전했다. 이들은 과거에도 텔레그램을 통해 공격사실을 밝힌 바가 있다. 

[그림 3] Telegram 메시지

Gamaredon

러시아의 Gamaredon 해커그룹은 2013년부터 활동한 것으로 알려졌으며, ‘Primitive Bear’, ‘Actinium’ 또는 ‘Shuckworm’ 이라고 불린다. 해당 해커그룹은 작년부터 활발하게 활동하였으며, 현재까지 지속적으로 공격이 발견되고 있다. 이번 3분기에도 우크라이나를 대상으로 하는 새로운 캠페인이 발견되었다. 해당 캠페인은 7월 중순에 시작되어 최근까지 발견되고 있어, 아래의 그림과 같이 CERT-UA에서 주의를 주고 있다. 

[그림 4] 최근 CERT-UA News

CERT-UA에 따르면, 해당 캠페인에서 Gamaredon 그룹은 우크라이나 보안국을 사칭한 피싱 메일을 다량 유포하였다. 피싱 메일에는 다운로더 파일이 첨부되었으며, 최종적으로 사용자 PC에 백도어를 설치한다. 아래의 그림과 같이, 메일의 첨부된 HTM 파일에서 RAR 파일을 드롭하는 등의 복잡한 페이로드를 거쳐 악성 백도어를 설치한다. 설치된 백도어는 Giddome 백도어로 전해지며, 각종 변종이 발견된 것으로 밝혀졌다. 

[그림 5] HTM 첨부파일 스크립트 일부

Sandworm

러시아 연방군 총참모부 정보총국(GRU)을 배후로 둔 Sandworm 그룹은 ‘IRON VIKING’ 또는 ‘ELECTRUM’ 등으로도 불리운다. 해당 그룹은 2015년 우크라이나 전력망 공격의 행위자로 알려졌으며, 현재까지 지속적으로 활동하고 있는 것으로 전해진다. 이번 3분기에도 우크라이나를 표적으로 공격을 수행하였으며, HTML Smuggling 기법을 사용하여 악성코드를 배포하였다. HTML Smuggling 기법은 아래의 그림과 같이 HTML 웹 페이지에 숨겨진 스크립트를 실행하여 악성코드를 다운로드하는 공격 기법이다. 

[그림 6] HTML 스크립트 일부

설치된 ISO 파일에는 아래와 같이 백도어와 LNK 파일 등이 숨어있다. 

[그림 7] ISO 파일 내부

FancyBear

Sandworm 그룹과 동일하게 러시아 정보총국(GRU)을 배후로 두고 있는 것으로 알려진 FancyBear 해커그룹은 ‘APT28’ 및 ‘Strontium’ 등으로 불린다. 해당 해커그룹은 2004년부터 활동한 것으로 알려지며, 작년 2분기에 활발하게 활동하여 자사 블로그에 언급된 바가 있다. 
https://isarc.tachyonlab.com/4208
이번 3분기에는 해당 그룹이 새로운 공격 기법을 사용하여 주의를 주고 있다. FancyBear 그룹이 사용한 ‘HoverWithPower’ 공격 기법은 마우스 커서 메커니즘을 악용한 방법으로, 파워포인트 문서에서 악성 링크를 클릭하지 않고 커서를 올려 두기만 해도 링크가 실행된다. 아래의 그림과 같이, 슬라이드 전체 화면에 달하는 하이퍼링크를 삽입하여, 사용자가 해당 화면 위에 마우스를 올리면 바로 악성 스크립트가 실행되도록 하였다.

[그림 8] 하이퍼링크 정보

해당 악성 스크립트는 원격지와 연결을 시도하며, 파일을 다운로드한다. 

[그림 9] 하이퍼링크에 악성 스크립트 일부

북한

북한 정부를 배후로 둔 해커그룹들은 이번 3분기에 미국 및 한국 등의 국가 공공기관을 대상으로, 다양한 랜섬웨어를 유포하였다. 유포된 랜섬웨어는 Maui 랜섬웨어 및 H0lyGh0st 랜섬웨어 등으로 전해지며, 랜섬웨어 공격을 통해 금전적 이익을 취하려는 것으로 보인다. Maui 랜섬웨어는 CMD 인터페이스로 동작하는 특징이 있고, H0lyGh0st 랜섬웨어는 4가지 변종이 있는 것이 특징적이다. 

[그림 10] 2022년 3분기 북한 해커그룹 공격

먼저, Maui 랜섬웨어는 2021년 5월부터 모습을 드러낸 것으로 전해지며, 미국의 보건 및 의료 관련 공공기관을 대상으로 공격하였다. 이에 대해 미국의 재무부를 포함한 FBI와 CISA에서 공동 사이버보안 권고(CSA)를 발표하였다. 

[그림 11] CSA 내용 일부

Maui 랜섬웨어는 아래의 그림과 같이 CMD 인터페이스로 동작한다. 

[그림 12] Maui 랜섬웨어 실행창

Maui 랜섬웨어를 사용하면 다음과 같이 암호화 되며, 로그 파일을 생성하여 암호화 대상 파일에 대한 정보를 저장한다. 

[그림 13] (위) 암호화 전, (아래) 암호화 후

Maui 랜섬웨어와 비슷한 시기에 H0lyGh0st 랜섬웨어가 등장하였다. 해당 랜섬웨어는 인도, 한국 및 미국의 국가 방위산업체를 대상으로 한 공격에 사용되었다. MS의 분류에 따르면, H0lyGh0st 랜섬웨어는 총 4개의 변종이 있으며 작성된 언어에 따라 두가지 분류로 나누어진다. 먼저, C++로 작성된 한 개의 변종은 SiennaPurple로 분류되고, 나머지 3개의 변종은 Go로 작성되었으며 SiennaBlue로 분류된다. H0lyGh0st 랜섬웨어는 Windows 시스템을 대상으로 공격이 수행되며, SiennaBlue 분류 중 한 개의 랜섬웨어를 실행하면 다음과 같이 암호화된다. 

[그림 14] (위) 암호화 전, (아래) 암호화 후

H0lyGh0st 랜섬웨어 감염되면, 다음과 같이 랜섬노트가 나타나며 암호화 해제를 위한 돈을 지불하도록 유도한다. 

[그림 15] H0lyGh0st 랜섬노트

중국

중국의 해커 그룹들이 정보 탈취와 추가 악성코드 유포를 위해 피싱 공격을 수행한 사례가 발견되었다.
3분기에는 Mustang Panda 해커 그룹이 PlugX 악성코드를 유포하였으며, RedAlpha 해커 그룹은 가짜 로그인 페이지를 통해 사용자의 계정 정보를 탈취하였다. 

[그림 16] 2022년 3분기 중국 해커그룹 공격

Mustang Panda

Mustang Panda 해커 그룹은 Bronze President, HoneyMyte 로도 불리며, 주로 사회적 이슈를 이용한 피싱 공격으로 미끼 문서 파일과 함께 PlugX 악성코드를 유포하는 것으로 알려졌다.
해당 그룹은 6월과 7월에 유럽, 중동 및 남미 국가의 공무원을 대상으로 PlugX 악성코드를 유포한 배후로 지목 되었는데, 이번에 발견된 공격은 메일을 통해 악성 RAR 압축 파일을 유포한 것으로 추정되고 있다.
유포된 압축 파일에는 정상 파일로 위장한 바로가기 파일(LNK)과 함께 숨김 처리된 폴더(숨김 폴더)가 존재하며, 숨김 폴더에는 아래 목록과 같은 파일이 존재한다.
  - 암호화된 PlugX 악성코드
  - 암호화된 PlugX 를 복호화 및 실행하는 DLL
  - 이름이 변경된 브라우저 혹은 이미지 관련 정상 실행 파일 
사용자가 바로가기 파일 실행 시, 숨김 폴더 내 정상 실행 파일에 악성 DLL 이 로드되어 암호화된 PlugX 악성코드를 복호화해 실행한다.
이후 PlugX 악성코드는 유럽 범죄 예방 및 형사사법위원회 회의, 전염병 관련 회의 등 사회적 이슈와 관련된 내용이 담긴 미끼 문서를 실행한 뒤, 공격자의 명령을 전달 받아 정보탈취 등의 추가 악성행위를 수행한다.

[그림 17] 바로가기 파일과 숨김 폴더

RedAlpha

중국 해커 그룹 RedAlpha 가 수년 동안 전 세계 인권 단체, 정부 조직 등을 대상으로 이메일 계정 정보를 탈취한 공격이 발견되었다. RedAlpha 는 Deepcliff, RedDev 3 로도 불리며, 겉으로는 IT 업체로 위장하여 활동하는 것으로 알려졌다.
해커 그룹은 주로 악성 PDF 문서가 첨부된 피싱 메일을 유포하였으며, 사용자가 PDF 실행 시 합법적인 기관의 로그인 페이지로 위장한 피싱 페이지로 연결하여 입력되는 계정정보를 탈취했다.
이외에도 사용자가 이메일 이용을 위해 도메인 입력 시, 오타로 인해 잘못된 도메인을 입력할 경우 공격자가 제작한 가짜 로그인 페이지로 연결되도록 하는 타이포스쿼팅 (Typosquatting) 기법을 이용한 사례도 발견되었다.

[그림 18] 악성 링크가 포함된 PDF

이란

이란의 해커 그룹들은 최초 공격 이후 악성도구를 사용하거나 랜섬웨어, 와이퍼 악성코드 등을 통해 추가 공격을 수행하였다.

3분기에는 Charming Kitten 해커 그룹이 악성 도구 Hyperscraper 를 사용해 피해자의 메일을 다운로드 하였으며, HomeLand Justice 해커 그룹은 알바니아 정부를 공격하여 서비스를 중지시킨 사례가 발견되었다.

[그림 19] 2022년 3분기 이란 해커그룹 공격

Charming Kitten

이란의 해커 그룹 Charming Kitten 은 APT35 로도 불리며, 과거 Log4Shell 취약점을 이용하여 악성코드를 유포한 사례로 알려졌다. 또한 CharmPower, Telegram Grabber 등 다양한 도구를 개발하여 공격에 사용하는데, 최근 해당 해커 그룹의 새로운 악성 도구인 Hyperscraper 의 정보가 공개되었다.
Hyperscraper 는 이메일 다운로드 도구로 Gmail, Yahoo 및 Outlook 계정의 메일을 다운로드 하는 기능을 제공하는데 24개 미만의 계정에서 해당 도구가 사용되는 것이 발견되었다.
이번에 발견된 공격은 해커 그룹이 다른 공격 수단을 통해 자격증명을 탈취한 뒤, Hyperscraper 를 통해 피해자의 메일로 로그인한다. 그리고 실행된 Hyperscraper 는 계정 언어 설정을 영어로 변경하고 메일을 EML 확장자 파일로 다운로드한다. 이후 다운로드 한 메일을 읽지 않음 상태로 되돌리고 보안 메일을 삭제한 뒤, 시간 및 OS 버전 등의 시스템 정보를 수집하여 C&C 서버로 전송하였다.

[그림 20] Hyperscraper 도구 (출처 : Google)

HomeLand Justice 

FBI 와 CISA 는 이란의 해커 그룹 HomeLand Justice 가 알바니아 정부를 공격한 사례에 대해 경고하였다.
해커 그룹은 해당 공격을 위해 14개월 전 공격 대상의 네트워크에 접근 하였으며, 이후 데이터를 탈취하였다. 그리고 지난 7월 악성코드를 통해 파일을 암호화하거나 삭제하여 알바니아의 웹사이트와 서비스가 중지되도록 공격한 뒤, 9월에도 유사한 방법으로 재공격을 수행한 것으로 알려졌다.
해커 그룹 측은 7월에 일어난 공격이 본인들의 소행이라고 밝히며, 탈취한 데이터를 게시하였다.

[그림 21] 공격 후 변경된 바탕화면

기타

위에 언급한 해커 그룹 외에도 여러 해커 그룹들이 정보 탈취를 위해 피싱 메일을 유포하거나 다크웹에서 판매되고 있는 계정정보를 악용하였다.

[그림 22] 2022년 그 외 해커그룹 공격

UAC-0041

우크라이나 CERT 팀은 7월에 발생한 피싱 메일 공격에 대해 경고하며, UAC-0041 해커 그룹의 소행이라고 밝혔다.
해당 공격은 Остаточний платіж (최종 결제)라는 제목으로 피싱 메일이 유포되였으며, RelicRace 악성코드가 포함된 TGZ 압축 파일이 첨부되었다.
RelicRace 악성코드는 OneDrive 를 통해 RelicSource 악성코드를 추가 다운로드하며, 실행된 RelicSource 악성코드는 내부에 인코딩된 Formbook 혹은 SnakeKeylogger 악성코드를 디코딩하여 실행한다. 이후 정보를 탈취하거나 공격자의 명령을 전달받아 추가 악성행위를 수행한다.

[그림 23] 압축 파일에 포함된 RelicRace 악성코드

Lapsus$

지난 9월 미국의 승차 공유 서비스 업체 Uber 가 공격을 받아 데이터가 유출되었다.
해당 공격은 과거 Microsoft, Cisco, NVIDIA 등을 공격한 것으로 알려진 Lapsus$ 해커 그룹의 소행으로 지목되었다.
Uber 측에 따르면 직원의 자격증명 정보가 다른 수단을 통해 탈취 되었으며, 해커 그룹 측이 해당 정보를 다크웹에서 구매하여 직원의 계정으로 접속을 시도한 것으로 알려졌다. 계정 접속을 위해서는 이중 인증을 받아야 하지만 반복적인 시도 끝에 직원의 실수로 인증이 허용되었으며, 이를 통해 권한이 높은 다른 계정으로 연결한 뒤 메신저와 송장 정보를 탈취했다.
Uber 는 자체 조사 결과 공격자가 사용자의 개인정보에는 접근하지 못했으며, 이번 유출 사고에 대해 FBI 및 미국 법무부와 조사를 진행하고 있다고 공지하였다.