2022년 1분기 국가별 해커그룹 동향 보고서
1분기 국가별 해커그룹 동향 보고서
러시아
러시아의 해커그룹들은 20년 이상 활동한 것으로 전해지며, 여러 정부기관의 지원을 받아 활동한다. 최근 발생한 러시아-우크라이나 전쟁이 사이버 전쟁으로 확대되어, 이번 1분기에는 우크라이나를 표적으로 한 다양한 공격이 발견되었다. 작년 4분기에도 활발하게 활동한 Gamaredon 해커그룹의 공격이 현재까지 이어져, 우크라이나 정부기관의 웹사이트 등을 공격하였다. 이에 대응하기 위해 우크라이나 정부를 포함한 여러 국가 및 기업에서 노력 중인 것으로 알려진다.
Gamaredon
러시아 정부를 배후로 두고 있는 Gamaredon 그룹은 ‘Primitive Bear’ 또는 ‘Actinium’ 이라고도 불리는 해커 그룹으로, 2013년부터 활동한 것으로 알려진다. 해당 해커그룹은 주로 기성의 악성코드를 사용하여 공격을 수행하였으나, 최근에는 맞춤형 악성코드를 개발하여 공격을 수행한다.
지난 10월, 우크라이나를 대상으로 하는 Gamaredon 그룹의 피싱 메일 유포 캠페인이 발견되었다. 이는 RTF Template Injection 기술을 사용한 악성 RTF 문서를 유포한 캠페인으로, 해당 캠페인에 대한 내용은 지난 4분기 해커그룹 동향 보고서에서 확인 가능하다.
https://tachyonlab.com/kr/board/security/read/isarc3/129
해당 해커그룹은 주로 우크라이나 정부를 대상으로 공격하며, 이러한 캠페인은 작년 10월부터 올해까지 이어졌다. 그 중, 올해 1분기에 발생한 공격으로 지난 1월 13일에 우크라이나 정부의 여러 웹사이트에서 게시글이 삭제 당하는 등의 피해가 발생하였다. 이 캠페인은 CMS 플랫폼의 취약점(CVE-2021-32648)을 악용한 공격으로, 우크라이나의 외무부, 교육과학부, 국방부 등 웹사이트가 피해를 입은 것으로 전해진다.
우크라이나 대상 공격
MS에 따르면, 위와 비슷한 시기에 우크라이나를 대상으로 공격하는 WhisperGate 악성코드가 발견되었다. 이 공격으로 인해 우크라이나의 정부 기관, 비영리 조직 및 정보 기술 조직 등이 영향을 받은 것으로 밝혀졌으며, 추가적인 피해가 존재할 것으로 전해진다. WhisperGate 악성코드는 비트코인을 요구하는 랜섬노트를 생성하여 랜섬웨어로 위장하지만, MBR과 MBR을 대상으로 하는 파일을 파괴하는 MBR Wiper이다.
WhisperGate 악성코드의 공격이 우크라이나를 대상으로 발생하였지만, 해당 캠페인이 특정 그룹과의 연관성은 발견되지 않는 것으로 전해진다.
2월 24일, 러시아의 우크라이나 침공이 시작되기 몇시간 전부터 우크라이나를 향한 사이버 공격도 함께 발견되었다. 이 공격에서 FoxBlade라는 새로운 악성코드가 사용되었으며, 해당 악성코드는 사용자 PC에 접근하여 사용자 몰래 DDoS 공격을 수행한다. FoxBlade는 DDoS 공격 외에도 감염된 PC에 다른 악성코드를 다운로드하는 등의 동작을 수행할 수 있다. 해당 악성코드는 우크라이나 정부 및 은행 등에 영향을 미쳤으며, 이러한 공격은 현재까지도 진행 중이다. 아래의 그림과 같이, 이러한 디지털 전쟁에 대하여 Microsoft 사는 우크라이나 국가 및 개인을 위해 적극적으로 지원할 것이라고 전했다.
북한
북한의 해커그룹들은 과거부터 악성 문서를 활용한 피싱 메일을 통해 공격을 시도하였으며, 올해 1분기에도 이와 유사하게 악성 피싱 메일을 유포하였다. 하지만 이번 캠페인에서는 단순히 정보를 탈취하기 위한 공격이 아니라, 암호화폐 기업을 대상으로 하여 암호화폐 탈취를 시도하였다. ‘MetaMask’라는 암호화폐 관련 소프트웨어로 위장하여 피해자의 PC에 백도어를 설치하고, 최종적으로 암호화폐를 탈취한다.
이번 1분기에도 과거의 공격과 유사하게 악성 문서를 활용한 공격이 발견되었다. 이번에 발생한 캠페인은 SnatchCrypto 캠페인으로, 적어도 2017년부터 시작된 것으로 전해진다. 이는 미국, 러시아, 중국, 인도, 영국 등에 위치한 암호화폐 스타트업을 대상으로 하는 공격으로, MetaMask 프로그램을 위장하였다. MetaMask는 이더리움 블록체인과 상호작용할 때 사용되는 암호화폐 지갑 소프트웨어로, 이를 통해 사용자가 브라우저 확장 프로그램 및 모바일 앱에서 이더리움 지갑에 접근할 수 있다.
해당 캠페인은 공격 대상 기업에게 비즈니스 메일을 위장한 피싱 메일을 보내고 첨부된 악성문서에서 원격 템플릿 삽입 취약점(CVE-2017-0199)를 악용하여 최종적으로 악성 백도어를 사용자 PC에 설치한다.
이렇게 설치된 백도어를 통해 명령을 실행하거나 프로세스 및 레지스트리 등을 제어할 수 있다. 그리고 감염된 PC를 모니터링하여 MetaMask와 같은 암호화폐 관련 브라우저 확장 프로그램을 사용하는 것을 확인하고, 확장 프로그램의 일부 파일을 변조하여 사용자의 암호화폐를 훔치는 악성동작을 수행한다.
중국
중국의 해커 그룹들이 악성코드를 유포하기 위해 공급망 공격이나 피싱, 취약점 등을 이용한 사례들이 발견되었다.
1분기에는 대만의 금융기관을 공격한 배후로 Stone Panda 가 지목되었으며, Mustang Panda 해커 그룹은 사회적 이슈를 이용한 피싱 공격을 수행하였다. 또한, Deep Panda 해커 그룹이 Log4Shell 취약점을 이용해 악성코드를 유포하였다.
Stone Panda
APT10, MenuPass 등의 이름으로도 알려진 Stone Panda 해커 그룹이 대만 금융기관을 대상으로 수행된 공급망 공격의 배후로 지목되었다.
해당 공격은 Operation Cache Panda 로 명명 되었으며, 2021년 11월 말 시작된 공격은 2022년 2월 경 최고조에 달한 것으로 알려졌다. 해커 그룹은 대부분의 대만 금융기관에서 사용하는 보안 소프트웨어 웹 관리 인터페이스의 취약점을 악용하여 웹 셸을 배포한 뒤, Quasar RAT 악성코드를 실행하여 정보탈취 등의 추가 악성 행위를 수행하였다.
Mustang Panda
Mustang Panda 해커 그룹은 TA416 으로도 불리며, 정부 기관과 NGO 를 공격한 사례를 통해 발견된 바 있다.
주로 사회적 이슈를 악용한 피싱 공격을 수행하며, 미끼 문서 파일과 함께 악성코드를 유포한다. 유포된 악성코드는 Korplug 또는 PlugX 로 알려졌으며, 공격에 따라 변형하여 사용하는 것으로 알려졌다.
그리고 3월 경, 해당 해커 그룹은 코로나 여행 제한, 러시아와 우크라이나 전쟁 등 사회적 이슈가 담긴 미끼 문서와 함께 Korplug 의 변종인 Hodur RAT 악성코드를 유포하였다. 유포된 Hodur RAT 은 공격자의 명령을 전달받아 정보탈취 등의 추가 악성 행위를 수행한다.
Deep Panda
Deep Panda 해커 그룹은 정보 탈취를 목적으로 Milestone 백도어, Infoadmin RAT 등의 악성코드를 사용하는 것으로 알려져 있는데, 최근 공격에서 새로운 악성코드를 사용한 사례가 발견되었다.
3월 경, 해커 그룹은 Log4Shell 취약점을 이용하여 공격 대상 서버에 침투한 뒤, Powershell 스크립트를 사용하여 Milestone과 Fire Chili 루트킷 등의 악성코드를 실행하였다.
Fire Chili 루트킷은 이번 공격에서 새롭게 발견된 악성코드로 게임 개발 회사에서 탈취한 인증서로 디지털 서명이 되었으며, 보안 시스템으로부터 악성 프로세스를 감추고 종료되는 것을 방지하는 역할을 수행한다.
이란
이란의 해커 그룹들은 취약점을 이용하거나 Powershell 기반의 악성코드를 사용하여 공격을 수행하고 있다.
1분기에는 Charming Kitten 해커 그룹이 Log4Shell 취약점을 이용하였으며, MuddyWater 해커 그룹이 사용하는 Powershell 기반 악성코드의 정보가 공개되었다.
Charming Kitten
Charming Kitten 해커그룹은 2014년부터 활동해 온 것으로 알려졌으며, Log4Shell 취약점 CVE-2021-44228을 이용한 공격사례의 배후로 지목되고 있다.
공격자는 Log4Shell 취약점을 이용하여 Base64 로 인코딩된 Powershell 명령을 실행하고, 클라우드 스토리지에서 CharmPower 라는 Powershell 기반의 백도어 악성코드를 추가 다운로드 한다.
CharmPower 악성코드는 모듈식으로 구성되었으며, 추가 모듈을 다운로드 하여 스크린샷, 정보탈취 등의 악성행위를 수행한다. 관련 내용은 아래 링크에서 확인할 수 있다.
https://www.tachyonlab.com/kr/board/security/read/isarc1/248
MuddyWater
SeedWorm 으로도 불리는 MuddyWater 해커그룹은 2017년에 처음 발견된 이후 중동, 유럽 및 북미 국가를 대상으로 사이버 공격을 수행해 온 것으로 알려져 있다.
1월 중순, 미국 사이버 사령부는 MuddyWater 해커 그룹이 이란 정보보안부 MOIS의 하위 조직임을 발표하고, 해당 그룹이 사용하는 악성코드 정보를 공개하였다. 공개된 정보에 따르면 해당 그룹은 Powershell 기반의 PowGoop 로더, 악성 스크립트와 Mori 백도어 악성코드 등을 사용하여 추가적인 악성 행위를 수행한다.
기타
위에 언급한 해커 그룹 외에도 여러 해커 그룹들이 악성코드를 유포하기 위해 피싱 메일 공격을 수행하였다.
Molerats
Molerats 해커 그룹은 팔레스타인에서 활동하며, 중동 단체를 대상으로 피싱 메일 공격을 수행하는 것으로 알려졌다.
과거에는 피싱 메일을 통해 LastConn 백도어 악성코드를 유포하였지만, 2021년 11월부터 2022년 1월까지 진행된 공격 사례에서는 NimbleMamba 라는 새로운 악성코드를 사용한 것으로 알려졌다.
1월에 발견된 공격에서는 악성 링크가 삽입된 피싱 메일을 유포하였으며, 링크를 클릭하면 감염 환경의 지역을 확인한 뒤 공격 대상에 해당 할 경우 NimbleMamba 악성코드가 포함된 RAR 파일의 다운로드 사이트로 연결한다. 다운로드된 NimbleMamba 는 C# 으로 작성된 백도어 악성코드로, 공격자의 명령을 전달받아 추가적인 악성 행위를 수행한다.
Lorec53
우크라이나 CERT 팀은 가짜 바이러스 백신 업데이트를 통해 Cobalt Strike와 백도어 악성코드를 유포한 사례를 공개하고, 공격의 배후로 Lorec53 혹은 UAC-0056 라고 불리는 해커 그룹을 지목하였다.
공격자는 우크라이나 정부 기관을 사칭해 백신 업데이트를 요구하는 내용과 함께 악성 링크를 삽입하여 피싱 메일을 유포하였다. 링크를 클릭하면 다운로드 페이지로 연결되며, 사용자가 가짜 업데이트 파일을 다운로드하여 실행하면 Windows 업데이트 패키지 설치를 요구하는 화면을 출력한다. 그리고 Coblat Strike Beacon, GraphSteel 및 GrimPlant 백도어 악성코드를 추가 다운로드 후 실행하여 네트워크 탐지 및 정보탈취 등 공격자의 명령을 수행한다.