2020-12-04 10:45 (금)
NSHC, 6년간 한국 등 27개국 기업 공격해 온 ‘SectorJ17’ 해킹그룹 분석 보고서 공개
상태바
NSHC, 6년간 한국 등 27개국 기업 공격해 온 ‘SectorJ17’ 해킹그룹 분석 보고서 공개
  • 길민권 기자
  • 승인 2020.06.10 16:26
이 기사를 공유합니다

특정 정부 후원, 금전적인 이득 획득하려고 해킹 시도하는 사이버 범죄 해킹 그룹
전 세계 27개 국가에서 발생한 SectorJ17 그룹의 해킹 활동 도표. NSHC 보고서 이미지 캡쳐.
전 세계 27개 국가에서 발생한 SectorJ17 그룹의 해킹 활동 도표. NSHC 보고서 이미지 캡쳐.

NSHC(대표 허영일)의 ThreatRecon팀은 10일 ‘사용자 정보 탈취를 목표로 하는 ‘SectorJ17’ 그룹의 해킹 활동 분석 보고서’를 발표했다.

‘SectorJ17’ 그룹은 2014년부터 현재까지 약 6년간 한국을 주된 해킹 대상으로 활동하고 있으며, 주요 해킹 타깃 산업군은 제조 및 설비 관련 기업들로 조사됐다.

이번 보고서에 따르면, “2019년 말 한국 제조 및 기타 산업 시설들을 대상으로 하는 SectorJ17 그룹의 해킹 활동이 발견되었다”며 “이들은 금전적인 이득을 획득하고자 해킹을 시도하는 사이버 범죄 해킹 그룹이다. 이들의 해킹 활동이 발견된 일자를 기반으로 활동 기간을 분석해보면 이들은 2018년 이후부터 활발하게 활동했으며, 2014년부터 현재까지 최소 6년간 해킹 활동을 한 것으로 조사됐다”고 설명했다.

또 “SectorJ17 해킹 그룹은 주로 악성코드를 첨부 파일로 한 스피어피싱 이메일(Spear Phishing Email)을 활용하고, 해킹 대상 조직의 임직원에게 전송해 조직 내부 시스템에서 사용자 계정 정보와 암호 등을 탈취한다”고 덧붙였다.

이번 보고서는 SectorJ17 그룹의 해킹 활동에서 발견된 특성과 사용자 정보 등을 탈취하기 위해 사용한 악성코드 관련 내용들이 상세히 포함돼 있다.

SectorJ17 그룹은 2014년 이후부터 현재까지 27개 국가에서 해킹 활동을 전개했으며 전체 해킹 활동의 44%가 한국에 위치한 조직을 대상으로 진행했다.

이들 조직은 한국을 비롯해 오스트리아, 벨기에, 중국, 프랑스, 독일, 홍콩, 헝가리, 인도, 이스라엘, 이탈리아, 말레이시아, 뉴질랜드, 필리핀, 폴란드, 러시아, 싱가폴, 슬로바키아, 스페인, 스웨덴, 대만, 태국, 우크라이나, 영국 및 미국 등 세계 각국에서 해킹활동을 전개한 것으로 조사됐다.

SectorJ17 그룹의 한국 공공기관 대상 스피어 피싱 이메일
SectorJ17 그룹의 한국 공공기관 대상 스피어 피싱 이메일

NSHC 측은 “SectorJ17 그룹의 해킹 대상이 되었던 기업들은 주로 전기/전자, 건설, 제약, 배관, 설비 및 자동차 등으로 확인되었으며, 특히 제조 및 설비 관련 산업군의 기업들이 주요 해킹 대상이 되었다”며 “이 외 한국 공공기관을 대상으로 하는 활동도 발견되었다”고 보고서에 밝혔다.

◇견적서로 위장한 악성코드 첨부…스피어 피싱 이메일

보고서에 따르면, SecotrJ17 그룹의 해킹 기법은 복잡하지 않다. 해당 그룹은 제조업과 관련된 기관 또는 기업에서 보낸 것으로 위장한 스피어 피싱 이메일을 사용하며, 문서 파일 아이콘으로 위장한 실행 파일을 이메일의 첨부 파일로 사용한다.

실행 파일의 대부분 어도비 리더(Adobe Reader, PDF) 문서 아이콘을 사용하며, 파일명은 주로 견적서, 송장, 지불 내역 등 일반 민간 기업 등에서 관심 있을 만한 내용으로 작성되어 있다.

스피어 피싱 이메일의 수신자 이메일 주소는 주로 인터넷 등에서 검색 가능한 정보를 바탕으로 선정되었으며, 대부분의 이메일 본문은 정상 이메일로 위장하기 위해 네임 카드(Name Card)를 포함했지만 이는 발신자 정보와 일치하지 않는 경우가 다수 존재했다.

이외에도 보고서에는 수집한 사용자 계정과 암호 정보 FTP 서버로 전달하는 악성코드에 대한 상세 내용이 포함돼 있다.

NSHC 장영준 수석연구원은 “SectorJ17 해킹 그룹은 다른 정부 지원 해킹 그룹들과 같은 높은 수준의 해킹 기술을 구현하지는 않지만 정상적인 이메일 주소에서 보내진 것으로 위장한 스피어 피싱 이메일을 통해 지속적으로 웹 브라우저와 이메일 클라이언트에 저장된 사용자 계정 및 암호 정보 등을 수집하고 있다”며 “SectorJ17 그룹의 해킹 활동은 공개 소프트웨어와 스크립트, FTP 호스팅 서비스를 사용하고 SSH를 이용한 수집 데이터의 암호화 전송 방식을 추가해 보안 장비 등에서의 탐지를 어렵게 한다”고 설명했다.

이어 “웹 브라우저와 이메일 클라이언트의 사용자 계정과 암호만을 탈취하는 것으로 미루어 금전 목적의 다른 해킹 활동에 이를 활용하거나, 다크웹(DarkWeb) 등에서 해킹 활동으로 수집한 사용자 계정과 암호 정보 등을 판매하기 위한 것으로 분석된다”며 “해당 그룹은 지속적으로 견적서 요청(Request for quotation)이라는 동일한 주제로 작성된 스피어 피싱 이메일을 사용함으로 이와 같은 내용으로 작성되었거나 발신인과 이메일 발신 주소 등이 명확하지 않은 이메일을 열람할 때는 각별한 주의가 필요하다”고 당부했다.

★정보보안 대표 미디어 데일리시큐!★