2023년 1분기 국가별 해커그룹 동향 보고서

1분기 국가별 해커그룹 동향 보고서

 

[그림 1] 2023년 1분기 국가별 해커그룹 분포

 

러시아

2023년 1분기에 러시아를 배후로 둔 Sandworm 그룹과 Gamaredon 그룹의 공격이 발견되었다. 두 해커 그룹은 작년에도 활발하게 활동한 그룹으로, 최근 공격에서는 새로운 악성코드를 사용한 것으로 전해진다. Sandworm 해커 그룹은 SwiftSlicer 라는 이름의 와이퍼를 이용하였으며, Gamaredon 해커 그룹은 GammaLoad 와 GammaSteel 악성코드를 사용하였다. 

 

[그림 2] 2023년 1분기 러시아 해커그룹 공격

 

Sandworm

Sandworm 해커 그룹은 러시아 연방군 총참모부 정보총국 (GRU) 을 배후로 두고 있으며, 2013년 부터 우크라이나를 대상으로 APT 공격을 수행하였다. 이번 1분기 1월에도 우크라이나의 조직을 대상으로 한 APT 공격이 발견되었다. ESET에 따르면, 이 캠페인에서 SwiftSlicer 라는 새로운 와이퍼 악성코드를 사용한 것으로 전해진다. 해당 악성코드는 1월 25일 공격 대상의 네트워크에서 발견되었으며, 섀도우 복사본을 삭제하고 드라이브 파일을 덮어 쓰는 등의 동작을 수행한다. 

 

[그림 3] 섀도우 복사본을 삭제하는 코드

또한, 해당 그룹이 작년에 활발하게 사용한 HermeticWiper 나 CaddyWiper 와 유사한 방식으로 설치된 것으로 전해진다. CaddyWiper 의 경우, 최근에도 사용된 흔적이 밝혀졌는데 CERT-UA 에 따르면, 우크라이나의 국립 통신사인 Ukrinform 를 대상으로 한 공격에서 사용되었다고 한다. 

 

[그림 4] SSSCIP 홈페이지

 

Gamaredon

Gamaredon 해커 그룹은 UAC-0010, Armageddon 등으로 불리는 그룹으로, 2013년부터 활발하게 활동하였다. 이 그룹은 Sandworm 해커 그룹과 유사하게, 주로 우크라이나를 표적으로 하는 APT 공격을 수행한다. 1분기에도 우크라이나의 국가 기관 등을 대상으로 하는 캠페인이 발견되었다. 

 

[그림 5] SCPC(State Cyber Protection Center)의 News

 

해당 캠페인에는 GammaLoad 와 GammaSteel 악성코드가 사용되었다. 두 악성코드는 Gamaredon 그룹에 의해 2022년부터 사용되었으며, 최근 발견된 건 이들의 변종으로 밝혀졌다. GammaLoad 는 원격지와 연결하여 VB 스크립트를 다운로드하는 동작을 수행한다. 그리고 GammaSteel 은 Powershell 스크립트로 원격 명령을 수행하는 것으로 전해진다. 

 

[그림 6] GammaLoad 스크립트 일부

 

북한

북한의 해커 그룹은 이번 1분기에 대북 관련 전문가를 대상으로 하는 APT 공격을 수행하였다. 해당 캠페인은 피싱 메일을 통해 유포되었으며, 크롬의 확장 프로그램 및 안드로이드 애플리케이션 등을 이용해 공격을 수행한 것으로 전해진다. 이에 대해 국가사이버안보센터에서 권고문을 발표하였다. 

 

[그림 7] 2023년 1분기 북한 해커그룹 공격

 

지난 3월, 국가사이버안보센터 (NCSC) 에서 북한을 배후로 둔 해커 그룹의 공격에 대해 보안권고문을 발표하였다. 이 권고문은 한국 국가정보원 (NIS) 과 독일 헌법보호청 (BfV) 의 합동 보안권고문으로, 구글 브라우저 및 앱 스토어에서 발견한 공격 사례를 기반으로 작성되었다. 

 

[그림 8] 합동 보안권고문 일부

 

해당 공격은 피싱 메일을 통해 악성 크롬 확장 프로그램을 유포하면서 시작된다. 피싱 메일에 악성 크롬 확장 프로그램을 첨부하여 공격 대상자가 설치하도록 유도하며, 이를 통해 최종적으로 사용자의 Gmail 정보를 탈취한다. 아래의 코드는 악성 확장 프로그램의 스크립트 일부로, 원격지와 연결하고 크롬에서 획득한 정보를 전달한다.

 

[그림 9] 확장프로그램 스크립트 일부

 

또한 탈취한 구글 계정 정보를 활용하여 Google Play 에 접근하고, 사용자 몰래 안드로이드 단말기에 악성코드를 설치한다. 해당 악성코드는 단말기 정보를 탈취하여 원격지에 전송하는 등 다양한 악성 동작을 수행한다. 

 

[그림 10] 원격지 통신 코드 (일부 수정)

 

 

중국

1분기에는 중국의 해커 그룹들이 국내 정부부처와 공공기관을 공격하거나 피싱 메일을 통해 악성코드를 유포하는 사례가 발견되었다.

Xiaoqiying 해커 그룹은 한국을 대상으로 공격을 수행한 뒤 홈페이지 화면을 변조하거나 정보를 탈취하였다고 주장하였으며, Mustang Panda 와 Sharp Panda 해커 그룹은 피싱 메일을 통해 각각 MQsTTang과 Soul 악성코드를 유포하였다.

 

[그림 11] 2023년 1분기 중국 해커그룹 공격

 

Xiaoqiying

설 명절 연휴가 시작된 1월 21일 경, 중국 해커 그룹 Xiaoqiying (晓骑营) 이 한국을 대상으로 대규모 해킹 작전을 선포하고, 정부부처 및 공공기관 등을 대상으로 해킹 공격을 수행하였다.

해당 그룹은 2021년부터 전 세계를 대상으로 수 많은 해킹 공격을 감행했던 Teng Snake (腾蛇) 의 후예로 알려 졌는데, 이들은 과거에도 국내 정부 기관을 공격하여 데이터를 탈취하였다고 주장한 바 있다. 작년까지 활동을 이어온 Teng Snake 는 작년 연말부터 중국 진나라의 군사조직을 뜻하는 Xiaoqiying 라는 이름의 그룹을 신설하였으며, 올해 1월부터 대규모 해킹 공격을 선언한 것으로 알려졌다.

 

[그림 12] 해킹 공격에 의해 변조된 홈페이지 화면

 

이후 해당 그룹은 국내 정부부처, 공공기관 및 기업을 대상으로 공격을 수행하였는데, 해킹 공격을 통해 대상의 홈페이지 화면을 “한국 인터넷 침입을 선포한다” 라는 문구가 담긴 이미지로 변경하거나 자신들의 홈페이지 혹은 텔레그램 등을 통해 탈취하였다고 주장하는 데이터를 공개하기도 했다.

 

[그림 13] 텔레그램에 게시된 탈취 데이터 정보

 

약 한 달여간 공격을 수행한 해커 그룹은 2월 19일 경, 자신들의 텔레그램 채널을 통해 한국에 대한 공격을 잠정 중단하고 Black Wolf 그룹과 함께 돌아오겠다고 알렸는데, 이후 해당 그룹의 사이트와 텔레그램 채널이 접속되지 않는 것으로 확인되고 있다.

 

Mustang Panda

Mustang Panda 해커 그룹은 Bronze President, HoneyMyte 및 Earth Preta 로도 불리며, 주로 사회적 이슈를 이용한 피싱 공격을 통해 PlugX, ToneIns 등의 악성코드를 유포하는 것으로 알려졌다.

지난 4분기에도 해당 그룹이 유사한 방식으로 ToneIns 악성코드를 유포한 사례가 발견된 바 있다.

https://isarc.tachyonlab.com/5438

해당 그룹은 올해 초부터 유럽과 아시아의 정부 조직을 대상으로 공격을 수행하고 있는데, 해당 공격에서 PlugX 와 같은 기존에 사용하던 악성코드가 아닌 MQsTTang 라는 새로운 악성코드를 사용하는 것이 발견되었다.

발견된 공격 사례의 경우 공격자는 악성 링크가 포함된 스피어 피싱 메일을 전달하였으며, 악성 링크 연결 시 GitHub 를 통해 RAR 압축 파일이 다운로드 된다. RAR 압축 파일에는 MQsTTang 악성코드가 외교관의 이력서 및 여권과 관련된 파일명으로 위장하여 저장되어 있다.

 

[그림 14] 유포된 RAR 압축파일

 

MQsTTang 는 백도어 악성코드로 지정된 경로에 자기 자신을 복사하고 지속성을 확보한 뒤, 공격자의 명령을 수행한다. 이를 위해 C&C 서버와의 통신과정에서 IoT 장치와 컨트롤러 간에 주로 사용되는 MQTT 프로토콜을 사용하는 특징을 가진다. 해당 악성코드가 MQTT 프로토콜을 사용하는 이유는 C&C 서버와 직접적으로 통신하지 않고, 클라이언트와 서버 사이를 중개하는 MQTT Broker 를 통해 C&C 서버와의 통신하기 때문에 정보를 숨겨 탐지를 회피하려는 것으로 추정되고 있다. 

 

Sharp Panda

2022년 말부터 최근까지 베트남, 태국, 인도네시아의 정부 기관을 대상으로 공격을 수행한 것으로 알려졌다. 해당 그룹은 2018년에 발견되어 과거에도 동남아시아 정부 기관을 공격하였으며, 주로 악성 문서를 공격에 이용한다.

https://isarc.tachyonlab.com/4103

최근 공격 사례에서 해커 그룹은 악성 DOCX 문서 파일을 첨부하여 피싱 메일을 공격 대상에게 전달 하였으며, DOCX 문서 실행 시 RoyalRoad 로 생성된 악성 RTF 문서 파일을 추가로 실행한다. RoyalRoad 는 주로 중국 해커 그룹이 사용하는 것으로 알려진 악성 RTF 문서 생성 도구이며, 생성한 RTF 문서 내부에는 추가 악성코드가 개체로 저장되어 있다.

 

[그림 15] 악성 RTF 문서에 포함된 악성 개체

 

추가로 실행된 악성 RTF 는 내부에 포함된 악성 개체를 지정된 경로에 드랍한 뒤, 작업 스케쥴러를 통해 자동 실행되도록 설정한다. 이후 드랍한 파일을 통해 C&C 서버로부터 SoulSearcher 로더와 Soul 악성코드를 차례대로 다운로드 받아 실행한다.

Soul 는 2017년에 발견된 백도어 악성코드로 모듈식으로 구성된다. 실행된 Soul 악성코드는 C&C 서버와 연결하여 추가 모듈 설치 및 삭제, 재연결 등의 행위를 수행한다. 현재까지 추가 모듈에 대한 정보는 정확히 알려지진 않았으나 파일 조작, 데이터 탈취, 키로깅 및 스크린샷 등의 모듈을 사용할 것으로 추정되고 있다. 

 

 

이란

1분기에는 이란의 해커 그룹들이 데이터를 탈취하기 위한 공격 사례들이 발견되었다.

Neptunium 해커 그룹은 해외 잡지 매체의 데이터를 탈취하여 판매하고 있으며, MuddyWater 해커 그룹은 파일을 암호화하고 데이터를 탈취해 몸값을 요구한 것으로 알려졌다.

 

[그림 16] 2023년 1분기 이란 해커그룹 공격

 

Neptunium

1월 초, 프랑스의 잡치 매체인 Charile Hedbo 의 약 20만여 명의 구독자 정보가 탈취된 사건이 발생하였다.

해당 사건은 자기 자신을 Holy Souls 라고 부르는 해커 그룹이 수행하였다고 주장 하였는데, Microsoft 측은 조사 결과 해당 그룹이 이란의 해커 그룹 Neptinium 라고 밝히며 공격을 수행한 단체로 지목했다.

현재까지 정확한 원인은 발표되지 않았지만 해당 공격은 Charile Hedbo 가 지난 12월 이란의 최고 통치자를 풍자하는 그림 대회를 개최한 것을 계기로 일어난 공격으로 추정되고 있다. 

또한, 해커 그룹은 유튜브와 해커 포럼에 이름, 전화번호 및 주소 등의 개인정보가 담긴 샘플을 공개하고 탈취한 데이터를 20 BTC 에 판매하겠다고 광고하였는데, 공개된 데이터의 대부분이 진본인 것으로 확인되고 있다.

 

[그림 17] 해커 포럼에 게시된 데이터 판매 글

 

MuddyWater

이스라엘 국립 사이버국 (National Cyber Directorate) 은 자국의 Technion 대학교가 2월에 이란 해커 그룹의 랜섬웨어 공격을 당했다고 발표했다.

공격을 당한 Technion 대학교는 시험을 연기하고 시스템을 종료했던 것으로 알려졌는데, 공격자는 랜섬노트를 통해 자기 자신이 DarkBit 라는 그룹이라고 밝히며, 몸값으로 80 BTC 를 요구했다.

DarkBit 은 파일 암호화 이외에도 4TB 의 데이터를 탈취했다고 주장하며, 탈취한 데이터를 게시하기 위한 용도로 텔레그램 채널을 게시한 것으로 알려졌다. 

이번 공격을 조사한 이스라엘 국립 사이버국은 DarkBit 그룹이 이란 정보 보안부 (MOIS) 의 후원을 받아 오랫동안 활동해 온 MuddyWater 해커 그룹의 위장 단체라고 밝히며, 해당 그룹이 작년부터 이스라엘의 조직을 대상으로 많은 활동을 해왔다고 알렸다.

 

[그림 18] 이스라엘 국립 사이버국 발표 (출처 : National Cyber Directorate)

 

 

기타

위에 언급한 해커 그룹 외에도 여러 해커 그룹들이 피싱 메일을 통해 악성코드를 설치하고 데이터를 탈취하는 공격이 발견되고 있다.

 

[그림 19] 2023년 1분기 그 외 해커그룹 공격

 

Bitter

Bitter 해커 그룹은 남아시아를 기반으로 하는 해킹 그룹으로 주로 아시아-태평양 지역의 에너지, 엔지니어링 기업 및 정부를 대상으로 공격을 해온 것으로 알려져 있는데, 최근 해당 그룹이 중국 원자력 산업을 공격한 단체로 지목되었다.

발견된 공격의 경우, 해커 그룹은 베이징에 위치한 키르기스스탄 대사관으로 위장하여 중국 원자력 회사 및 관련 학계에 피싱 메일을 전달하였다. 피싱 메일에 첨부된 RAR 파일에는 Microsoft Compiled HTML 도움말 파일 (.CHM) 또는 악성 Excel 문서가 포함되어 있으며, 실행하면 예약 작업을 설정하고 msiexec, cURL, Powershell 을 통해 RAT, InfoStealer, Keylogger 등의 추가 악성코드를 설치하여 정보탈취 등의 악성행위를 수행하였다.

 

[그림 20] 피싱 메일

 

SideCopy

SideCopy 는 2019 년에 등장한 파키스탄의 해커 그룹으로 주로 인도, 아프가니스탄과 같은 남아시아 국가를 대상으로 활동해 온 것으로 알려졌는데, 최근 인도 국방부의 국방연구 개발기구 (DRDO) 를 대상으로 공격을 수행한 것으로 알려졌다.

작년에는 해당 그룹이 정보탈취를 위해 악성코드를 유포했던 사례가 발견된 바 있다.

https://isarc.tachyonlab.com/4967

해당 그룹은 ZIP 압축파일을 첨부하여 피싱 메일을 전달하였으며, ZIP 압축 파일에는 DRDO 에서 개발한 K-4 탄도 미사일에 대한 정보로 위장한 LNK 확장자 파일이 존재한다. 사용자가 LNK 파일 실행 시 원격 서버에서 HTML 애플리케이션을 검색하여 미끼 문서를 출력하고 Action RAT 악성코드를 실행한다. 

Action RAT 은 C&C 서버로부터 전달받은 명령을 수행하며, Auto Stealer 라는 추가 악성코드를 설치하여 정보를 탈취하였다.

 

[그림 21] 악성 LNK 파일