동향 리포트/분기별 동향 리포트

2021년 2분기 국가별 해커그룹 동향 보고서

알 수 없는 사용자 2021. 7. 7. 16:44

국가별 해커그룹 공격 사례

 

[그림 1] 2021년 2분기 국가별 해커그룹 분포

 

러시아

러시아의 해커그룹들은 작년에 이어 올해까지 지속적으로 공격을 수행하고 있다. 그 중, 이번 2분기에는 CozyBear FancyBear가 눈에 띄는 APT 공격을 수행하였다. CozyBear 해커그룹은 미국의 정부기관을 대상으로 마케팅 계정의 권한을 사칭하여 다량의 피싱 메일을 유포하였다. 그리고 FancyBear 해커그룹은 이전에 자주 사용하던 Zebrocy를 대체하여 새로운 악성코드를 가지고 공격을 시도하였다.

 

[그림 2] 2021년 2분기 러시아 해커그룹 공격

 

CozyBear (APT29)

CozyBear는 러시아 대외정보국 (SVR)을 배후로 두고 2008년부터 활동한 것으로 알려졌으며, Nobelium 또는 APT29 등으로 불린다. 해당 해커그룹은 전세계의 연구기관, 싱크 탱크, 비정부 기관 및 정부 기관 등을 표적으로 공격을 수행하며, 최근에는 미국 기업과 COVID-19 백신 관련 기업을 대상으로 공격을 시도하였다.

 

MS에 따르면, 해당 해커그룹은 지난 5월 말, 미국 국제개발처 (USAID) Constant Contact 계정을 사칭하여 피싱 메일을 유포하였다. 해당 공격은 150개의 이상의 조직에 약 3,000개의 이메일 계정을 대상으로 수행되었으며, 사용자 PC에 악성 백도어를 설치하는 것을 최종 목표로 하였다. 이 백도어는 Cobalt Strike 로 사용자 데이터 탈취 및 추가 감염의 동작을 수행할 수 있다. 관련 내용은 아래의 링크에서 확인할 수 있다.

2021.05.31 - [최신 보안 동향] - USAID를 사칭한 피싱 메일 캠페인

 

[그림 3] USAID 계정 사칭 피싱 이메일 (출처: Microsoft blog)

 

그리고 최근, SolarWinds 공격의 연장선으로 추정되는 공격이 발견되었다. 이 공격은 덴마크 중앙은행에서 발생하였으며, 해당 네트워크 내에 악성코드가 약 6개월이상 존재하고 있었다고 알려졌다.

 

지난 5월 초, 미국 국가안보국 (NSA), 연방 수사국 (FBI) 및 사이버 보안 및 인프라 보안국 (CISA)에서는 공동 자문서를 통해 작년 발생한 SolarWinds 공격에 CozyBear 해커그룹의 배후인 SVR의 책임이 있다고 발표하였다.

 

[그림 4] NCSC 공동 자문서 게시글

 

FancyBear (APT28)

FancyBear는 러시아 정보총국 (GRU)를 배후로 두고 있다고 알려져 있으며, Pawn Storm 또는 Strontium 등으로 불리기도 한다.

 

해당 해커그룹은 코로나가 기승을 부리던 작년 8월과 11, 한국과 미국의 코로나 바이러스 백신 관련 기업을 대상으로 APT 공격을 시도하였다. 해당 공격은 pdf 파일을 첨부한 피싱 메일을 통해 대상에게 악성코드를 유포하는 공격 방식으로, FancyBear의 대표적인 악성코드인 Zebrocy 백도어를 사용하였다.

 

최근 발견된 FancyBear의 공격에서는 SkinnyBoy라는 새로운 악성코드가 등장하였다. SkinnyBoy 악성코드는 군사 및 정부기관, 외국 대사관을 대상으로 하는 공격에 사용되었다. 일부 유럽 연합을 대상으로 공격이 이루어졌으나, 미국에서도 해당 악성코드의 공격이 발견되기도 하였다. SkinnyBoy 악성코드와 관련된 자세한 정보는 아래의 링크에서 확인 할 수 있다.

2021.06.11 - [분석 정보/악성코드 분석 정보] - 군사 및 정부 기관을 대상으로 한 캠페인에 사용된 SkinnyBoy 악성코드

 

[그림 5] SkinnyBoy 악성코드 실행 흐름도

 

북한

북한을 배후로 하는 해커그룹들은 여러 국가를 대상으로 정부기관, 군사기관 및 기업 등을 공격한다. 이번 2분기에도 취약점을 악용하여 한국 정부기관 해킹을 시도한 것으로 추정된다. 그리고 최근에는 Windows 악성코드뿐만 아니라 안드로이드를 대상으로 하는 악성 애플리케이션을 유포하여 모바일 단말기 정보를 탈취하는 등 다양한 공격을 시도하는 것으로 보여진다.

 

[그림 6] 2021년 2분기 북한 해커그룹 공격

 

최근 한국원자력연구원에서 북한의 소행으로 의심되는 해킹 사고가 발생하였다. 한국원자력연구원에서 발표한 자료에 따르면, VPN 시스템 취약점을 통해 외부에서 시스템에 접속한 이력을 확인하였으며 해당 사고에 대한 피해 규모 등을 조사중인 것으로 알려졌다. 관련 내용은 아래의 링크에서 확인할 수 있다.

2021.06.22 - [최신 보안 동향] - 한국원자력연구원 기사 관련 설명자료 공개

 

북한 배후의 해커그룹은 스피어 피싱, 워터링 홀, 취약점 악용 등 다양한 방법을 활용하여 대상에게 지속적으로 APT 공격을 수행하며, 2014년에도 한국수력원자력을 공격하여 피해를 입힌 바 있다.

 

그리고 지난 4월부터 현재까지, 북한의 해커그룹의 것으로 추정되는 악성 앱이 지속적으로 발견되고 있다. 해당 악성 앱은 KISA 보안 앱을 사칭하였으며, 안드로이드 단말기를 대상으로 사용자의 문자메시지 정보 및 연락처 정보 등을 탈취한다. 해당 악성 앱에 대한 정보는 아래의 링크에서 확인 할 수 있다.

2021.06.02 - [분석 정보/모바일 분석 정보] - KISA 사칭한 악성 앱 주의

 

[그림 7] (좌)KISA 사칭 앱 실행 화면, (우) 앱 정보

 

중국

중국 정부의 후원을 받는 것으로 알려진 해커 그룹들은 특정 국가 혹은 기업의 정보를 탈취하기 위해 악성 문서가 첨부된 피싱 메일이나 장비의 취약점을 이용하여 악성 행위를 수행하였다.

 

2분기에는 Sharp Panda 해커그룹이 정상 문서처럼 위장한 악성 문서 파일을 유포한 사례가 발견되었으며, UNC2630  UNC2717 해커그룹들은 뉴욕시의 교통 기관의 네트워크를 침해한 단체로 지목되고 있다.

 

[그림 8] 2021년 2분기 중국 해커그룹 공격

 

Sharp Panda

2018년에 발견된 Sharp Panda 해커그룹은 최근 동남아시아 정부 기관을 대상으로 악성코드를 유포한 것으로 알려졌다. 공격을 위해 보도자료로 위장한 악성 워드 문서 파일을 피싱 메일에 첨부하여 전달하였으며, 수신자가 첨부된 악성파일을 실행하도록 유도하였다.

2021.06.07 - [최신 보안 동향] - SharpPanda의 동남아시아 외무부 공격

 

악성 워드 문서가 실행되면, 공격자의 서버로부터 RoyalRoad 악성코드인 RTF 파일을 다운로드하고 실행한다. 해당 RTF 파일은 추가 악성코드를 다운로드하여 정보탈취, 파일 조작 등의 악성행위를 수행한다. RoyalRoad와 관련된 자세한 정보는 아래의 링크에서 확인 할 수 있다.

2021.06.09 - [분석 정보/악성코드 분석 정보] - 중국 해커 SharpPanda RoyalRoad를 사용한 APT 공격

 

[그림 9] 피싱 메일에 첨부된 악성 문서 파일

 

UNC2630 / UNC2717

4월 경, 뉴욕시 교통기관의 네트워크 침해 사례와 함께 미국 및 유럽 국가들의 정부, 금융 기관들을 대상으로 악성코드를 유포한 공격이 발견되었는데, 해당 공격을 수행한 단체로 해커 그룹 UNC2630 UNC2717 이 지목되었다.

 

해당 해커 그룹들은 VPN 장비 취약점을 이용하여 공격 대상의 네트워크에 침투하였으며, 이후 Bloodmine, Bloodbank, CleanPulse, RapidPulse  16개의 악성코드를 유포하였다. 이후 유포한 악성코드를 통해 네트워크에 오랜 기간 상주하며 정보탈취 등의 악성행위를 수행한 것으로 알려졌다.

 

[그림 10] CISA 에 게시된 VPN 취약점 공격 정보 (출처 : CISA)

 

이란

이란의 해커 그룹들은 정상적인 문서로 위장한 악성 문서를 통해 사용자를 현혹시켜 실행하도록 유도하고 있으며, 공격 대상의 데이터를 파괴하기 위해 다양한 악성코드를 이용하고 있다.

 

2분기에는 OilRig 해커그룹이 새로운 악성코드인 SideTwist 악성코드를 유포하였으며, Agrius 해커그룹은 Apostle, DEADWOOD, IPSec Helper 등의 악성코드를 사용하여 공격 대상의 데이터를 파괴하고 공격자의 명령을 수행하는 사례가 발견되었다.

 

[그림 11] 2021년 2분기 이란 해커그룹 공격

 

OilRig

OilRig 해커 그룹은 APT 34, Helix Kitten 이라는 이름으로도 불리며, 2014년 최초 발견된 이후 중동 정부기관 혹은 기업을 대상으로 공격을 수행해왔다. 해당 그룹은 주로 문서 파일에 악성 매크로를 삽입하는 방식을 사용하고 있으며, DNSpionage, TONEDEAF, TONEDEAF 2.0 등의 악성코드를 사용하였다.

 

그러나 2019년 해당 그룹의 악성도구 소스코드가 유출된 이후, 백신 프로그램의 탐지를 방지하기 위해 SideTwist 등 새로운 악성코드를 제작하였으며, 올해 4월까지 해당 악성코드를 유포한 것으로 알려졌다.

 

해커그룹은 공격을 위해 악성 문서 파일을 IT 컨설팅 회사의 구인 문서로 위장하여 소셜 네트워크 메시지를 통해 전달하였으며, 악성 문서 내부에 삽입된 악성 매크로를 통해 SideTwist 악성코드를 실행하여 추가 파일 다운로드, 업로드 등의 공격자의 명령을 수행한다.

 

[그림 12] 구인 문서로 위장한 악성문서

 

Agrius

이란의 신생 해커그룹 Agrius  2020년부터 최근까지 이스라엘을 대상으로 데이터 파괴 공격을 수행한 것으로 알려졌다. 이 그룹은 공격 대상의 네트워크에 침투하기 위해 취약점을 이용하거나 악성 웹 셸을 사용하였으며, 침투 이후에는 Apostle  DEADWOOD 와이퍼 악성코드를 통해 공격 대상의 데이터를 삭제하거나 IPSec Helper 백도어 악성코드를 실행하여 파일 조작, 추가 파일 다운로드 등의 악성 행위를 수행하였다.

 

, 데이터를 파괴하기 위한 목적으로 제작된 Apostle 악성코드에 랜섬웨어 기능이 추가된 것으로 알려졌는데, 최근 아랍에미리트의 국가 시설을 대상으로 한 공격에서 사용된 것으로 추정된다.

2021.05.26 - [최신 보안 동향] - 랜섬웨어로 위장한 와이퍼를 사용하는 이란 해커 그룹

 

[그림 13] 기능의 변화된 Apostle 에 의해 암호화된 파일

 

기타

이외에도 해커 그룹들은 중동의 지정학적 이슈를 악용하거나 합법적인 웹사이트로 위장하여 악성코드를 유포하였으며, 공급망 공격을 통해 추가 악성코드를 다운로드하거나 사용자 정보 탈취 등의 악성행위를 수행한 사례가 발견되었다.

 

[그림 14] 2021년 2분기 그 외 해커그룹 공격

 

Molerats

Molerats 해커그룹은 Gaza Hacker Team, Gaza Cybergang 등의 이름으로도 불리우며, 2012년부터 주로 중동의 정부 기관, 기업을 대상으로 공격을 수행했다. 해당 해커 그룹은 SharpStage  DropBook 악성코드를 유포한 바 있으며, 2021년에는 LastConn 악성코드를 유포한 것으로 알려졌다.

 

LastConn 악성코드는 해당 해커 그룹이 사용하였던 SharpStage 악성코드의 변종으로 추정되고 있으며, 2021년 초부터 3월까지 피싱 메일을 통해 유포된 바 있다. 그리고 2개월 가량 활동을 중지한 뒤 6월부터 LastConn 악성코드를 다시 유포하기 시작하였다.

 

해당 해커 그룹은 중동의 지정학적 분쟁과 관련된 내용의 메일을 중동의 정부 기관에 전달하였으며, 해당 메일에 첨부된 PDF 파일을 통해 LastConn 악성코드를 다운로드하도록 유도하였다. 특이점으로는 감염 환경이 중동지역의 IP라면 PDF 내부에 삽입된 링크를 통해 파일을 다운로드 하지만, 중동지역의 IP가 아니라면 정상적인 뉴스사이트로 연결한다.

 

[그림 15] 다운로드 링크가 삽입된 PDF 파일

 

다운로드된 LastConn 악성코드는 문서 파일의 아이콘을 사용하여 정상적인 문서 파일로 위장하였으며, 공격자의 명령을 전달받아 추가 악성 행위를 수행한다. LastConn 악성코드와 관련된 자세한 정보는 아래의 링크에서 확인 할 수 있다.

2021.06.28 - [분석 정보/악성코드 분석 정보] - LastConn 악성코드를 유포하는 Molerats 해커 그룹

 

UNC2465

5월 경, CCTV 공급 업체의 공식 웹사이트를 통해 악성코드를 유포한 사례가 발견되었으며, 해당 공격을 수행한 단체로 Darkside 랜섬웨어 계열사로 알려진 UNC2465 해커그룹이 지목되었다.

 

공격자는 비디오 관리 애플리케이션 설치 파일에 악성코드를 삽입하여, 사용자가 정상 설치 파일로 오인하고 실행하도록 유도하였다. 실행된 악성코드는 SMOKEDHAM 악성코드를 추가 다운로드한 뒤 실행하여 정보 탈취, 스크린샷 캡처 등의 악성 행위를 수행한다.

 

[그림 16] 정상 소프트웨어와 함께 배포된 악성코드