2024-04-19 15:25 (금)
NSHC, 북한·중국·러시아·이란 등 주요 사이버공격 국가 해킹그룹 활동 분석 보고서 공개
상태바
NSHC, 북한·중국·러시아·이란 등 주요 사이버공격 국가 해킹그룹 활동 분석 보고서 공개
  • 길민권 기자
  • 승인 2023.05.03 17:55
이 기사를 공유합니다
공격그룹들의 주요 공격대상, 공격국가 등 상세 분석 자료 내놔 
북한 정부 지원 해킹 그룹의 주요 공격 대상 그래프 (NSHC 보고서 자료 중)
북한 정부 지원 해킹 그룹의 주요 공격 대상 그래프 (NSHC 보고서 자료 중)

NSHC(대표 최병규)는 5월 3일 ThreatRecon Team에서 분석한 위협 인텔리전스 보고서를 공개했다. 이번 보고서는 주요 범죄자 그룹들인 SectorA(북한), SectorB(중국), SectorC(러시아), SectorD(이란), SectorJ(사이버럼) 그룹들의 해킹 활동을 상세 분석한 내용이다. 

이번에 공개된 위협 보고서 주요 내용은 다음과 같다. 

◇북한 정부 지원 해킹 그룹 SectorA

ThreatRecon Team은 북한 정부 지원 해킹 그룹인 SectorA 그룹들을 총 7개의 하위 해킹 그룹으로 분류했다. 이들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전 탈취 목적의 해킹 활동을 병행하고 있다.

SectorA 그룹들의 공격 방식은 마이크로소프트 워드(Word), 엑셀(Excel)과 같은 파일 형태의 악성코드를 사용하는 방식 외에도 네이버(Naver), 구글(Google) 등의 이용률이 높은 인터넷 서비스들로 위장한 피싱 웹 페이지를 공격에 활용하는 빈도가 증가한 것으로 확인된다.

2022년 한 해 동안 발생한 SectorA 그룹들의 활동량을 분석한 결과 SectorA05 그룹의 활동이 가장 두드러졌으며, SectorA06 그룹과 SectorA01 그룹의 활동이 그 뒤를 이었다.

SectorA 그룹들의 주요 공격 대상이 된 산업군들은, 정부 기관과 연구 분야에 종사하고 있는 관계자 또는 시스템이 가장 많은 공격 대상이 되었으며, 그 다음으로는 금융, 방송, 교육 분야 순서로 확인된다.

공격 대상이 된 조직들은 정부 및 연구 분야에서 사회, 정치, 경제, 기술 등과 같은 주제들을 연구하거나 견해를 표명하는 조직들이 포함되어 있으며, 주로 대북 분야를 연구하거나 관련 종사자들로 확인된다

◇중국 정부 지원 해킹 그룹 SectorB

중국 정부 지원 해킹 그룹인 SectorB 그룹들은 전 세계를 대상으로 각국 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하는 것을 목적으로 하며, 각각의 하위 그룹들이 해킹 활동을 위한 악성코드나 취약점 등을 공유하는 양상을 보인다.

2022년 한 해 동안 발생한 SectorB 그룹들의 활동량을 분석한 결과 총 22 개의 하위 그룹들이 발견되었으며, SectorB22 그룹의 활동이 가장 두드러진 것으로 확인된다.

SectorB 그룹들의 주요 공격 대상이 된 산업군들을 살펴보면 정부 기관과 국방 관련 분야에 종사하고 있는 관계자 또는 시스템이 가장 많은 공격 대상이 되었으며, 그 다음으로는 제조, 교육, IT 분야 순서로 확인된다. 

◇러시아 정부 지원 해킹 그룹 SectorC

러시아 정부 지원 해킹 그룹인 SectorC 그룹들은 러시아와 인접한 국가를 포함한 전 세계를 대상으로 각 국가들의 정부 기관의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

2022년 한 해 동안 발생한 SectorC 그룹들의 활동량을 분석한 결과 총 11 개의 하위 그룹들이 발견되었으며, SectorC08 그룹의 활동이 가장 두드러진 것으로 확인된다.

SectorC 그룹들의 주요 공격 대상이 된 산업군들을 살펴보면 정부 기관과 국방 관련 분야에 종사하고 있는 관계자 또는 시스템이 가장 많은 공격 대상이 되었다. 

◇사이버 범죄 해킹 그룹 SectorJ

사이버 범죄 해킹 그룹인 SectorJ 그룹들은 다른 정부 지원 해킹 그룹들과 다르게 현실 세계에서 금전적인 이윤을 확보할 수 있는 재화적 가치가 있는 온라인 정보들을 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어(Ransomware)를 유포하거나, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

2022년 한 해 동안 발생한 SectorJ 그룹들의 활동량을 분석한 결과 총 32 개의 하위 그룹들이 발견되었으며, SectorJ09 그룹의 활동이 가장 두드러진 것으로 확인된다.

SectorJ 그룹들의 주요 공격 대상이 된 산업군들을 살펴보면 온라인 마켓플레이스(Online 

marketplace) 및 전자상거래(eCommerce)가 포함된 상업 시설 분야에서 가장 많은 공격이 발생했다.

특히 마켓플레이스(Online marketplace) 및 전자상거래(eCommerce)의 경우 취약한 홈페이지에 스키밍 스크립트(skimming scripts)를 삽입 후 사용자의 개인 정보, 신용 카드 정보, 배송 주소 등의 데이터를 탈취하거나 판매하는 등의 금전적 이익을 얻기 위한 해킹 활동들을 수행하고 있다. 

◇이란 정부 지원 해킹 그룹 SectorD

이란 정부 지원 해킹 그룹인 SectorD 그룹들은 주로 이란 정부와 정치적인 경쟁 관계에 있는 국가들을 대상으로 해킹 활동을 수행하였으며, 최근의 SectorD 해킹 그룹들의 해킹 활동 목적은 이란 정부에 반대하는 인물 또는 국가들의 정치, 외교 활동 등 정부 활동 관련 고급 정보를 수집하기 위한 목적으로 분석된다.

2022년 한 해 동안 발생한 SectorD 그룹들의 활동량을 분석한 결과 총 9 개의 하위 그룹들이 발견되었으며, SectorD02, SectorD05, SectorD10 그룹의 활동이 각각 20%로 가장 두드러진 것으로 확인된다.

SectorD 그룹들의 주요 공격 대상이 된 산업군들을 살펴보면 정부 기관과 교육 분야에 종사하고 있는 관계자 또는 시스템이 가장 많은 공격 대상이 되었다. 

★정보보안 대표 미디어 데일리시큐!

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
길민권 기자
길민권 기자 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
ND소프트