NSHC(허영일 대표) ThreatRecon팀은 29일 러시아 사이버 범죄 그룹 ‘SectorJ04’ 해킹그룹에 대한 최근 활동 분석보고서를 발표했다.

이 보고서에는 △SECTORJ04 그룹 활동 범위 및 해킹 방식 △2019년 SECTORJ04 그룹의 해킹 활동 특징 △주요 악성코드 설치 유형 △최근 한국에서 발견된 SECTORJ04 그룹 활동 등이 상세히 공개돼 있다.

보고서에 따르면, SectorJ04 그룹은 약 5년 전부터 활동하기 시작한 러시아(Russia)에 기반을 둔 사이버 범죄 그룹으로 유럽, 북미 및 서아프리카 등에 위치한 국가 및 산업 분야를 대상으로 뱅킹 트로이 목마, 랜섬웨어(Ransomware) 등을 사용해 금전적 이윤 창출 목적의 해킹 활동을 수행하는 그룹이다.

한편 2019년 SectorJ04 그룹은 동남아시아와 동아시아 등 국가에 위치한 다양한 산업 분야를 대상으로 그들의 해킹 활동 범위를 확장했으며, 특정 목표를 대상으로 하는 표적형 공격에서 불규칙 다수를 대상으로 한 공격으로 그들의 공격 양상에 변화를 보이고 있다.

◇SectorJ04 그룹 활동 범위 및 해킹 방식

SectorJ04 그룹은 기존의 해킹 활동 범위를 유지하며 동아시아와 동남아시아에 위치한 다양한 산업 분야의 기업들을 대상으로 그들의 해킹 활동 범위를 확장한 모습을 보이며, 2019년 특히 한국을 대상으로 하는 해킹 활동이 크게 증가했다.

이들은 주로 스팸 이메일(Spam Email)을 활용하며, 공격자 서버로부터의 추가적인 명령 수행이 가능한 백도어를 감염 시스템에 전달한다.

SectorJ04 그룹의 주요 해킹 국가 및 산업 분야는 기존에 북미, 유럽과 같은 국가에 위치한 금융 관련 기관 또는 소매업, 제조업 등의 일반 기업을 주된 해킹 대상으로 삼았으나, 최근 의료·제약·언론·에너지·제조업 등 그 활동 분야를 크게 확장했다. 이들은 해킹 대상 산업 분야에 크게 제한을 두지 않는 것으로 보인다.

2019년 발견된 SectorJ04 그룹의 해킹 대상 국가와 분야는 다음과 같다.

해킹 대상 국가는 대한민국, 일본, 중국, 대만, 홍콩, 태국, 필리핀, 인도네시아, 방글라데시, 파키스탄, 인도, 터키, 바레인, 사우디 아라비아, 카타르, 아랍 에미리트, 독일, 프랑스, 영국, 이탈리아, 스위스, 우크라이나, 폴란드, 루마니아, 불가리아, 마케도니아, 세르비아, 러시아, 미국, 에콰도르, 아르헨티나, 세네갈, 남아프리카 공화국 등 광범위한 국가를 대상으로 공격을 진행했다.

해킹 대상 산업 분야는 △은행, 거래소 등 금융 관련 기업 및 정부 부서 △쇼핑몰, 소셜 커머스 등 소매업 △대학교와 같은 교육 기관 △전자 제품, 제조 등의 제조업 △방송, 언론 등의 언론사 △제약, 생명 공학 관련 기업 △구인 구직 관련 기업 △도시가스, 풍력 발전 등 에너지 관련 기업 등으로 조사됐다.

◇주요 해킹 방식과 사용한 악성코드

SectorJ04 그룹은 주로 MS 워드(Word) 또는 엑셀(Excel) 파일이 첨부된 스피어 피싱 이메일을 활용하며, 문서 파일이 공격자 서버로부터 MSI(Microsoft Installer) 설치 파일을 다운로드하고 이를 사용하여 감염 시스템에 백도어를 설치한다.

최근 안티 바이러스(Anti-Virus) 프로그램들이 MSI 파일을 탐지하기 시작하자, 일부 해킹 활동에서는 악성 문서에 포함된 매크로(Macro) 스크립트가 MSI 파일을 사용하지 않고 직접적으로 감염 시스템에 백도어를 설치하는 방식을 사용하기도 한다.

해킹에 사용되는 악성 문서는 주로 MS 오피스와 관련된 테마로 작성되어 있으며 동일한 테마가 해킹 대상 국가에 따라 언어만 변경되어 여러 번 사용되기도 한다. 또한 대부분의 해킹활동에 사용되는 MSI 파일과 백도어에서 디지털 서명을 확인할 수 있었으며, 대부분의 악성코드는 발견되기 수일 전에 서명되어 있었다.

또 SectorJ04 그룹은 주로 자체 제작한 백도어인 ServHelper 와 FlawedAmmy RAT를 해킹에 활용했으며 러시아에서 제작된 합법적인 원격 관리용 소프트웨어인 RMS(Remote Manipulator System) RAT를 사용하기도 하였다. 백도어는 감염 시스템에 설치되어 이메일 스틸러(Email Stealer), 봇넷(Botnet) 악성코드와 랜섬웨어 등을 추가적으로 유포하기도 한다. 이들은 최근 AdroMut 과 FlowerPippi로 불리우는 백도어를 추가로 사용함이 확인되었으며, 해당 백도어들은 MSI 파일을 대신해 FlawedAmmy RAT등의 백도어를 설치하기 위해 사용되거나, 감염 시스템 정보를 수집해 공격자 서버에 전송하는 등의 기능을 갖는다.

감염 시스템에 설치된 백도어는 봇넷 악성코드, 랜섬웨어 등을 추가적으로 유포하기도 하며, 이 과정에서 이메일 스틸러(Email Stealer)로 불리우는 이메일 정보 수집 목적의 악성코드가 발견되기도 하였다.

이메일 스틸러는 아웃룩(Outlook) 및 썬더버드(Thunderbird) 메일 클라이언트가 레지스트리에 저장하는 SMTP, IMAP, POP3 등의 연결 프로토콜 정보 및 계정 정보를 수집하여 특정 형식으로 공격자 서버에 전송한다.

이메일 스틸러는 하드 코딩 되어 있는 확장자에 해당하는 파일의 메타데이터(Metadata) 등에 기록되어 있는 이메일 정보를 수집하기 위한 파일 수집 기능을 갖기도 한다. 그리고, 해당 악성코드는 최종적으로 자가 삭제를 위한 배치 파일을 생성 및 실행하여 감염 PC에서 실행 흔적을 삭제한다.

◇동아시아 및 동남 아시아 대상 해킹 활동 증가

한편 2019년 상반기에 한국을 대상으로 하는 SectorJ04 그룹의 해킹 활동은 지속적으로 발견되고 있는 추세다. 발견되는 이메일은 인보이스(Invoice) 및 세무 회계 자료와 관련된 내용으로 작성되어 있으며, 악성 매크로가 삽입되어 있는 MS 워드 또는 엑셀 파일이 첨부되어 있었다.

한국어로 작성된 악성 문서는 다른 해외 해킹 활동과 동일하게 MS 오피스를 테마로 한다는 특징을 갖는다.

2019년 6월, 한국을 대상으로 하는 지속적인 해킹 활동이 다시 발견되었으며 스팸 이메일은 거래 내역서, 영수증 및 송금증 등의 다양한 내용으로 작성되어 있었다. 해당 기간에는 동일한 형식을 갖는 송금증으로 위장한 스팸 이메일이 다수 발견되기도 했다.

SectorJ04 그룹은 한국을 대상으로 하는 대규모 해킹 활동을 진행함과 동시에 대만, 필리핀 등과 같은 동남아시아 국가에까지 공격의 범위를 확장하기도 하였다. 지난 5월 중국어로 작성된 스팸 이메일과 첨부 파일이 발견되기도 하였으며, 당시 SectorJ04 그룹은 전자 및 통신, 국제 학교, 제조업 등과 같은 산업 분야를 해킹 대상으로 삼았다.

◇특정 조직과 산업 군 대상에서 불규칙 다수로 해킹 대상 변화

이 그룹은 2019년 이전까지 금전적 이윤 창출을 목적으로 랜섬웨어와 뱅킹 트로이목마를 주로 활용한 웹사이트 기반의 대규모 해킹 활동을 진행했으나, 2019년 이후 불규칙 다수에 대해 이메일 계정 및 시스템 로그인 정보와 같은 공격 자원을 확보하기 위한 정보 수집 활동도 진행하고 있다.

이는 금전적 이윤을 목적으로 하는 해킹 활동의 대상을 확장하기 위한 목적을 가지며, 이와 관련해 SectorJ04 그룹은 2019년 2월경 한국 특정 기업들의 임직원을 대상으로 한 스피어 피싱 이메일을 활용해 기업 내부망을 해킹 한 사례가 발견되었다.

이들은 최종적으로 AD(Active Directory) 서버를 해킹해 기업 내부 네트워크 전체를 장악한 이후 클롭(Clop) 랜섬웨어를 AD 서버에서 유포하였으며, 해당 해킹 활동 과정에서 이메일 정보 수집 악성코드와 러시아 언더그라운드(Underground)에서 소스코드가 공유되는 봇넷 악성코드인 “AmadeyBot”도 발견되었다.

이들은 이후에도 지속적으로 한국 내 기업들을 대상으로 클롭 랜섬웨어를 유포하기 위한 해킹을 시도한 것으로 판단된다. 공격자들은 지난 5월 국세청에서 보낸 것으로 위장한 스팸 이메일을 활용해 감염 시스템에 FlawedAmmy RAT를 설치했으며, 해당 기간 동안 FlawedAmmy RAT 실행 파일과 동일한 인증서를 사용하는 클롭 랜섬웨어가 발견되기도 하였다.

◇최근 한국에서 발견된 SectorJ04 해킹그룹 활동

최근 한국에서 활동을 살펴보면, 대형 항공사 전자항공권으로 위장한 해킹 활동이 있었다. 이들은 7월 말, FlawedAmmy RAT를 사용해 한국의 교육, 구인/구직, 부동산, 반도체와 같은 기업과 대학 등에 대한 해킹을 수행했다. 해당 해킹 활동에서 대한민국 공직자 통합 메일 서비스에 사용되는 이메일 계정을 대상으로 한 스팸 이메일이 발견되기도 했다.

이들은 한국의 대형 항공사에서 발송한 것과 같이 위장한 스팸 이메일을 사용했으며 ISO 형식의 파일을 첨부파일로 사용했다. 해당 그룹은 동일한 이메일 본문 내용을 사용하여 스팸 이메일을 여러 해킹 대상에게 전달했다.

스팸 이메일에 첨부되어 있는 ISO 파일의 압축을 해제하면 “.pdf” 확장자로 위장되어 있는 SCR 파일이 존재하며 이는 MSI 파일을 다운로드하는 .NET 실행 파일이다. ISO 파일은 LNK 파일을 포함하고 있는 경우도 있었으며 이는 .NET으로 작성된 악성코드와 마찬가지로 원격지에서 MSI 파일을 다운로드 한다.

공격자 서버에서 다운로드 되는 MSI 파일에서 다음과 같은 유효한 디지털 서명이 발견되었으며, 이외에도 “HAB CLUB LT”와 “LUK 4 TRANSPORT LT”에서 발급한 디지털 서명이 발견되기도 하였다.

최종적으로 원격지 서버에서 FlawedAmmy RAT가 다운로드 되며 해당 활동에서 감염 시스템이 엑티브 디렉토리 도메인(Active Directory Domain)에 포함된 PC 인지 확인하기 위한 용도의 Base64 로 인코딩 된 파워쉘(Powershell) 스크립트가 발견되기도 하였다.

한편 8월 초, SectorJ04 그룹은 대한민국, 인도, 영국, 미국, 독일, 캐나다, 아르헨티나, 방글라데시, 홍콩 등 전 세계를 대상으로 하는 광범위한 해킹 활동을 수행했다.

해당 활동에서는 특히 의료, 제약, 생명 공학, 의료 급여 관리 업체와 같은 의료 관련 분야와 가스, 풍력 발전과 같은 에너지 관련 기업에 대한 해킹 양상이 두드러졌으며, 제조, 유통, 소매업체와 같은 기존의 해킹 대상 분야에 대한 공격 또한 발견되었다.

스팸 이메일에서 프랑스어와 영어로 작성된 본문 내용을 확인할 수 있었으며 첨부 파일로 랜덤한 숫자를 제목으로 갖는 MS 워드 파일이 사용되었다. 해당 해킹 활동에서 발견된 이메일은 모두 동일한 본문 내용을 가지고 있었다.

해당 해킹 활동에서 한국어로 된 스팸 이메일이 확인되기도 했으며, 이는 지난 6월 해킹

활동에서 사용되었던 이메일 본문 내용이 재사용 되었음을 알 수 있다. 첨부 파일은 “스캔_(랜덤숫자).doc” 라는 제목을 갖는 MS 워드 파일이 사용되었다.

첨부 파일로 사용된 MS 워드 파일은 주문 확인서와 물품 인수증으로 위장 하였으며, 매크로(Macro) 허용 버튼을 클릭하는 경우에는 공격자 서버에서 DLL 파일 형식을 갖는 다운로더를 “rundll32.exe”를 사용하여 실행한다. 해당 다운로더는 공격자 서버에서 FlawedAmmy RAT 를 다운로드하고 “rundl32.exe”라는 이름으로 실행한다.

ThreatRecon 팀은 “SectorJ04 그룹의 해킹 대상 국가 및 산업 분야는 2019년 급격히 증가했으며, 정교한 공격을 수행하기 위해 노력하는 것으로 보인다. 이들은 기존의 해킹 방식을 수정하고 주기적인 해킹 활동을 보이는 등 2019년 활발한 활동 양상을 보이는 사이버 범죄 그룹 중 하나다”라며 “이 그룹의 해킹 활동은 지속적으로 증가할 것으로 보이며 계속해서 해당 그룹에 대한 공격 활동을 모니터링 할 것”이라고 밝혔다.

SectorJ04 그룹에 대한 추가적인 자세한 내용은 ThreatRecon Platform 서비스 고객에게

제공될 예정이다. ThreatRecon Platform 서비스는 NSHC ThreatRecon 팀의 특화된 위협 탐지체계를 이용해, 위협 정보를 수집/분석, 기업 환경 내 활용 가능한 인텔리전스 정보 제공 서비스다.

★정보보안 대표 미디어 데일리시큐!★