[데이터넷] 우크라이나에 대한 러시아의 하이브리드 전쟁이 격화되는 가운데, NSHC가 러시아 정부 지원 해킹그룹 섹터C(SectorC)의 2021년 활동을 분석한 보고서를 발표하고, 이들이 우크라이나를 대상으로 빈번한 해킹 활동을 수행했다고 28일 밝혔다.
NSHC는 섹터C가 러시아 정부가 지원하는 해킹 그룹으로, 현재까지 13개의 하위 그룹이 발견됐으며, 러시아 인접 국가를 포함한 전 세계 주요 국을 대상으로 정치, 외교 정보를 수집한다. 이들은 정부기관과 싱크탱크, 국방 관련 공공기관을 공격하고 있으며, MS 익스체인지 서버 취약점, iOS와 사파리 취약점 등도 이용했다. 안드로이드 기반 악성코드와 매크로 스크립트가 포함된 MS 워드 문서 사용, 델파이 다운로드 사용, 템플릿 인젝션, 파워셸, VB 스크립트, 차이나 초퍼 웹셸 등이 공격에 사용됐다.
이들은 국제 컨퍼런스, 코로나19 등 다양한 주제의 내용으로 피해자를 유인했는데, 특히 우크라이나 관련 내용을 주로 미끼로 던졌다. 우크라이나 에너지 가격, 세관신청서, 경찰사건 보고서, 군부 내 코로나19 상황 등의 주제가 이용됐다. 스피어피싱·링크드인 메시지를 이용한 사회공학 기법을 이용했으며, 추적을 피하기 위해 상용 VPN을 사용했다.
12월에는 ISO 이미지 파일에 포함된 LNK 파일로 악성 DLL파일을 로드해 모의 해킹 도구인 슬리버(Sliver) 또는 코발트 스트라이크를 설치한 후 시스템의 제어권을 탈취하는 방식의 공격을 진행했고, MS 워드 파일 형식 악성코드를 사용해 PE(Portable Executable) 형식의 악성코드를 공격 대상 시스템에 설치하고 시스템 제어권을 탈취했다.
한편 이 보고서는 NSHC의 위협 탐지 체계 ‘쓰렛리콘(ThreatRecon)’을 활용, 위협 정보를 수집·분석한 것으로, NSHC는 정기적인 인텔리전스 정보 제공 서비스를 지원한다. 쓰렛리콘은 레스트API로 다양한 보안장비와 연동할 수 있으며, 서비스 활용 예방, 탐지, 대응으로 이어지는 정보보안 활동 체계 수립을 지원한다.
