2019-11-14 11:03 (목)
NSHC ThreatRecon팀 "SectorA05 해킹조직 분석...그들의 해킹활동 놀라워" 보고서 발표
상태바
NSHC ThreatRecon팀 "SectorA05 해킹조직 분석...그들의 해킹활동 놀라워" 보고서 발표
  • 길민권 기자
  • 승인 2019.01.30 19:13
이 기사를 공유합니다

ThreatRecon팀 "그들의 활동이 생각보다 오래되었다는 점 확인하고 놀라움 느껴"

▲ NSHC 보고서 이미지
▲ NSHC 보고서 이미지
NSHC(허영일 대표) RedAlert, ThreatRecon팀이 지난 1월 초, 한국 통일부 취재기자 77명을 대상으로 유포된 악성코드에 대해 분석 리포트를 30일 공개했다.

ThreatRecon팀은 보고서를 통해 "이번 공격은 특정 정부가 지원하는 해킹그룹 SectorA05 조직의 하위 그룹으로 추정된다. 해당 악성코드를 기점으로 과거 활동을 추적한 결과 이들은 일본 IP를 사용하는 한국 도메인의 특정 C2서버를 최소 27개월 이상 지속적으로 사용하며 활동한 것"이라며 "또 이메일을 통해 악성코드를 유포하는 공격뿐만 아니라 이메일 계정 정보를 탈취하기 위한 피싱 공격도 함께 하고 있다. 주로 중앙정부, 통일, 외교 영역과 국방 영역 등 한국 정부 인사 등을 해킹 대상으로 삼았다. 최근에는 가상화폐 거래소 및 사용자들을 대상으로 확대해 금전적 이득도 주요 목적으로 하고 있다"고 설명했다.

이어 팀은 이들 공격 활동을 'Operation Kitty Phishing'이라고 명명했다. 이들의 공격은 현재까지도 매일 이루어지고 있으며 지금까지 발견된 공격은 빙산의 일각이라고 강조했다.

보고서에는 이번 공격자들의 이메일 계정 탈취 공격, 악성코드 배포 공격 등에 대한 상세한 분석 내용이 포함돼 있다.

◇SectorA05의 공격 방법 분석

보고서에 따르면, 공격조직 SectorA05의 최초 공격 유입 방식은 2가지 방식이다. 먼저 타깃의 이메일 계정의 패스워드를 탈취하기 위한 피싱 공격과 타깃 PC의 정보들을 탈취하기 위한 악성코드를 이메일을 통해 배포하는 공격이다.

공격자들은 타깃을 사용하고 있는 이메일 서비스와 동일한 피싱 사이트를 만들고 타깃에게 발송한다. 그들은 주로 비밀번호 재설정 요청 등 보안과 관련해 문제가 발생한 것으로 오인하도록 해 타깃이 패스워드를 입력하도록 유도한다.

악성코드는 이메일의 첨부파일을 통해 전달하는 방식을 사용한다. 이들은 이메일의 첨부파일로 다양한 방법들을 사용한다. 스크립트 파일을 전달하는 방법, 한글(HWP) 문서의 취약점을 이용한 방법, 'EXE' 실행 파일을 문서처럼 보이게 하는 속임수 방법 등을 사용한다. 이러한 파일들은 주로 압축 파일 형태로 전달된다.

◇공격조직의 코인탈취

R-2-1.jpg
한편 ThreatRecon팀은 SectorA05의 암호화폐 관련 코인 탈취 행위를 수행하고 있는 다는 것도 확인했다.

SectorA05 해킹그룹은 전통적으로 한국 및 주변 국각에서 각종 기밀 정보들을 탈취하는 행위를 주요 목적으로 하고 있는 조직이다. 그러나 최근 암호화폐 관련 코인을 탈취하기 위한 해킹 시도에도 많은 시간을 할애하고 있다는 것을 확인했다.

한편 해당 그룹이 정부 배후의 스파이 활동을 하는 역할에서 암호화폐 탈취를 통한 외화벌이까지 목적이 확대된 것인지 아니면 그들 중 일부가 자신들의 사익을 위해 일탈 행위로 코인을 노리고 있는지 명확하지 않다.

그러나 명확한 사실은 그들이 일부 형태의 해킹 대상으로부터 활발하게 암호화폐 관련 코인을 탈취하기 위한 활동을 지속적으로 하고 있다는 점이다. 암호화폐 거래소 임직원 및 개인 암호화폐 사용자들과 코인 관련 개발자 등이 그들의 주요 해킹 목표다. ThreatRecon팀은 실제로 공격자들의 암호화폐 지갑과 개인키가 위치한 디렉토리까지 확인했다.

◇왜 'Operation Kitty Phishing'인가

R-3-1.jpg
ThreatRecon팀은 SectorA05 해킹조직을 지속적으로 추적하는 과정 중에 그들이 피해자들을 관리하기 위해 사용하는 관리 스크립트를 발견했다. 그들은 피해자들을 키티(Kitty, 적립금이라는 의미의 영어)라 칭하면서 관리하고 있었다. 이것에서 착안해 그들의 작전을 ThreatRecon팀은 'Operation Kitty Phishing'이라고 명명한다고 밝혔다.

◇ SectorA05 해킹조직, 쉬지 않고 해킹 공격 시도

한편 ThreatRecon팀은 그들을 추적하면서 그들의 열정적인 해킹 활동에 놀랐다고 밝혔다.

팀은 "그들은 쉬지 않고 공격 대상들에게 피싱 메일을 유포했으며 악성코드 또한 지속 유포했다. 올해 초 통일부 기자들을 대상으로 악성코드를 유포한 이후에도 그들은 잠재적 암호화폐 사용자들을 대상으로 악성코드를 유포했다. 그리고 감염된 피해자들의 PC를 검색해 코인과 관련된 파일들이 있을 경우 추가적 악성코드를 개인별 맞춤으로 제작해 배포했다. 또 개별 사용자들 맞춤으로 코인 탈취를 위한 악성코드를 제작하고 실시간으로 배포했다"고 설명했다.

보고서 말미에 ThreatRecon팀은 "SectorA05의 지속적인 공격활동을 추적하며 그들의 활동이 생각보다 오래되었다는 점을 확인하고 놀라움을 느꼈다. 기존에 이메일 계정 탈취를 수행하는 피싱 조직과 악성코드를 유포하는 조직이 동일한 조직인지에 대해 판단하는 것이 매우 어려웠지만 이번 추적을 통해 그들이 동일한 조직이며 모두 동시에 수행하고 있음을 확인했다"고 밝혔다.

또 "특정 C2 서버를 무려 27개월 이상 사용하고 있음에도 그동안 이들의 활동을 제대로 막지 못한 점에 대해 매우 아쉽게 생각한다. 하지만 이제 그들의 활동이 우리를 통해 많이 드러난 만큼 앞으로 그들의 활동은 계속 감시할 것이다. 지금도 그들은 활동하고 있다. 우리는 여전히 그들을 계속 추적할 것"이라고 강조했다.

★정보보안 대표 미디어 데일리시큐!★