중단에도 불구하고 복귀: 레드델타, 운영 재개

Insikt Group® 연구원들은 중국 국가가 후원하는 것으로 의심되는 위협 활동 그룹인 레드델타의 활동을 계속 추적하기 위해 일반적인 분석 기법과 함께 독점적인 기록된 미래 네트워크 트래픽 분석 및 RAT 컨트롤러 탐지 기능을 사용했습니다.

데이터 소스에는 Recorded Future® 플랫폼, 파사이트 시큐리티의 DNSDB, 보안 트레일, 바이러스 토탈, 쇼단, 바이너리엣지 및 일반적인 OSINT 기법 등이 있습니다. _

이 보고서는 아시아에 진출한 민간 부문, 공공 부문, 비정부기구의 네트워크 방어자들과 중국 지정학에 관심이 있는 사람들에게 가장 큰 관심을 끌 것입니다.

Executive Summary

이전 인식트 그룹의 보고 이후 2개월 동안 레드델타는 바티칸 및 기타 가톨릭 단체를 표적으로 삼았다는 광범위한 공개 보고에도 크게 동요하지 않았습니다. 이 보고 직후 지휘 및 통제(C2) 도메인의 해상도 상태를 변경하여 기본적인 작전 보안 조치를 취했음에도 불구하고 그룹의 전술, 기술 및 절차(TTP)는 일관성을 유지했습니다. 레드델타의 끈기는 보고서 발표 후 2주 만에 바티칸과 홍콩 가톨릭 교구 메일 서버에 대한 공격을 재개한 것에서도 잘 드러납니다. 더 광범위하게는 가톨릭, 티베트-라다크 관계, 유엔 총회 안보리 등을 주제로 한 미끼 문서가 포함된 플러그엑스 샘플과 미얀마 정부 시스템과 홍콩 대학 2곳을 대상으로 한 추가적인 네트워크 침입 활동 등 이 그룹의 소행으로 추정되는 새로운 활동도 있었습니다.

주요 판단

• 레드델타는 중국의 전략적 우선순위에 따라 계속 운영되고 있습니다. 이는 이 그룹이 바티칸과 홍콩 가톨릭 교구를 지속적으로 표적으로 삼고, 중국 내 가톨릭교와 티베트-라다크 관계 등 중국이 우려하는 지정학적 이슈를 중심으로 사이버 스파이 활동과 일치하는 방식으로 표적 미끼 문서를 사용하는 것에서 더욱 잘 드러납니다.
• 레드델타 그룹이 공개적으로 보고된 인프라와 TTP를 재사용하는 것은 운영상의 성공을 경험하고 있는 그룹으로 보이며, 레드델타는 액세스가 유지되는 한 공개적으로 알려진 인프라를 계속 사용하겠다는 실용적인 운영 보안 접근 방식을 강조하는 것일 수 있습니다.

배경

2020년 7월 28일, 인식트 그룹은 바티칸과 홍콩 가톨릭 교구가 중국 국가가 후원하는 것으로 의심되는 위협 활동 그룹 레드델타의 표적이 된 여러 가톨릭 교회 관련 기관 중 하나임을 확인한 연구 결과를 발표했습니다. 이 일련의 네트워크 침입 의심 사건은 중국 주재 홍콩 연구 사절단과 이탈리아 교황청 해외 선교 연구소(PIME)도 표적으로 삼았습니다. 인식트 그룹은 가톨릭 교회와 관련된 단체를 표적으로 삼은 것은 중국 공산당이 '지하' 가톨릭 교회에 대한 통제권을 강화하고, 중국 내 '종교를 신성화'하며, 중국 가톨릭 공동체 내에서 바티칸의 영향력을 약화하려는 목표를 나타내는 것일 수 있다고 평가했습니다.

인식트 그룹은 가톨릭 교회와 관련된 단체를 표적으로 삼은 것 외에도 인도의 법 집행 기관 및 정부 기관, 인도네시아의 정부 기관, 미얀마, 홍콩, 호주 전역의 기타 확인되지 않은 표적에 영향을 미치는 네트워크 침입도 확인했습니다. 이 활동에서 이 그룹은 '레드델타 플러그엑스', 코발트 스트라이크 비콘, 포이즌 아이비라는 맞춤형 플러그엑스 변종을 포함한 여러 멀웨어 변종을 사용했습니다.

위협 분석

레드델타 게시 후 정리

2020년 7월 28일에 RedDelta 보고서 원본이 발표된 후, 이 그룹은 침입에 사용된 인프라와 관련된 여러 가지 회피 조치를 취했으며, 여기에는 식별된 명령 및 제어(C2) 도메인 여러 곳에서 IP 해상도 변경이 포함되었습니다. 예를 들어, 레드델타 연구가 발표된 지 하루도 지나지 않아 '포이즌 아이비/코발트 스트라이크' 클러스터 내에서 확인된 모든 C2 하위 도메인의 해결이 중단되었습니다.

표 1: “Poison Ivy Cluster” domains that stopped resolving the day after report publication.

Additionally, the hosting IP for the PlugX C2 domain cabsecnow[.]com was switched from 167.88.180[.]32 to 103.85.24[.]149 on August 3, 2020. However, this was not the case for all of the identified infrastructure. Many of the PlugX C2 servers remained live and continued to be used across several of the intrusions identified within the initial report. This contrast highlights the group’s willingness to continue to use publicly known infrastructure as long as access is maintained.

레드델타, 바티칸과 홍콩 가톨릭 교구 표적 공격 재개

그림 1: Network traffic between Catholic Diocese of Hong Kong and RedDelta C2 infrastructure.

레코디드 퓨처 네트워크 트래픽 분석을 사용하여 대상 조직과 레드델타 C2 인프라 간의 통신을 분석한 결과, 보고서 발표 직후 가톨릭 교회 조직 간의 네트워크 통신이 중단된 것을 확인했습니다. 하지만 이는 오래가지 못했고, 10일 만에 홍콩 가톨릭 교구 메일 서버를, 14일 만에 바티칸 메일 서버를 표적으로 삼는 공격으로 돌아갔습니다. 이는 앞서 언급한 레드델타의 높은 위험 감수성 외에도 정보 수집을 위해 이러한 환경에 대한 액세스를 지속적으로 유지하려는 레드델타의 끈기를 보여줍니다.

2020년 9월 10일, 중국 외교부는 2018년 중국-교황청 간 협정이 "성공적으로 이행되었다"고 발표했으며, 향후 몇 주 내에 협정 갱신이 발표될 것으로 예상됩니다. 이 발표 시기는 바티칸 네트워크를 겨냥한 레드델타의 활동이 일주일 전에 중단되고, 8월 말 왕이 중국 외교부장의 로마 방문 이후여서, 이 그룹의 정보 임무가 달성되었거나 더 이상 필요하지 않은 것으로 보입니다. 이전 보고서 이후 중간 기간 동안 이 그룹이 바티칸 네트워크에 성공적으로 다시 접속할 수 있었는지는 확실하지 않습니다. 그러나 이러한 시도에 이어 새로운 레드델타 가톨릭 교회를 주제로 한 유인 문서가 등장하면서 중국 공산당이 중국 내 가톨릭 공동체에 대한 감독을 강화하는 데 주력하고 있음을 다시 한 번 강조하고 있습니다.

그림 2: Timeline of Recent RedDelta activity. (Source: Recorded Future)

중국의 전략적 이해관계에 따른 추가 타겟팅

레드델타는 중국의 전략적, 지정학적 이해관계에 부합하는 조직을 지속적으로 표적으로 삼고 있습니다. 이전 보고서에서는 2018년 중국과 교황청의 협정 갱신을 앞두고 두 국가 간의 회담을 앞두고 여러 가톨릭 교회 조직을 대상으로 한 일련의 네트워크 침입 및 피싱 시도를 이 그룹과 연관시켰습니다. 그 사이 이 그룹은 중국 내 가톨릭, 티베트-라다크 관계, 유엔 총회 안전보장이사회를 언급하는 추가 미끼를 사용해 공격 대상 컴퓨터에 플러그엑스를 로드하려고 시도했습니다.

그림 3: “History of Tibet-Ladakh Relations and Their Modern Implications” PlugX decoy document.

The first sample is loaded in a similar manner as the samples described within the previous RedDelta report. The first-stage DLL side-loading phase again uses a legitimate Microsoft Word executable to side-load a first-stage DLL loader, with both files initially stored inside a zip file. On this occasion, the zip file appears to have been stored on Google Drive, with the user likely directed to download it via a spearphishing link. Following the first DLL side-loading phase, an encrypted PlugX DAT payload is retrieved from http://103.85.24[.]161/8.dat.

표 2: Contents of “History of Tibet-Ladakh Relations and Their Modern Implications.zip” for first stage DLL side-loading.

이전에 식별된 RedDelta PlugX 샘플과 달리, 이 샘플은 이전에 분석된 샘플에서 사용된 합법적인 Adobe 실행 파일이 아닌 두 번째 DLL 사이드 로딩 단계에 합법적인 Avast Proxy 실행 파일을 사용합니다. 메모리에 로드된 플러그X 페이로드는 명령 및 제어를 위해 가톨릭 교회 테마의 플러그X 샘플에서 사용된 것과 동일한 도메인인 www.systeminfor[.]com을 사용합니다. 새로 분석된 4개의 샘플 모두에서 1단계 DLL 로더 파일은 이전에 관찰된 1단계 RedDelta PlugX DLL과 동일하고 흔하지 않은 가져오기 해시와 리치 헤더를 공유합니다. 또한 로드된 PlugX 페이로드는 앞서 설명한 맞춤형 RedDelta PlugX 변형과 일치하며, 동일한 하드코딩된 RC4 암호 구문 및 구성 블록 디코딩 기능과 함께 C2 통신에 RC4 암호화를 사용합니다.

이 샘플에서는 그림 3과 같이 '티베트-라다크 관계의 역사와 현대적 함의'라는 제목의 미끼 문서가 사용자에게 표시됩니다. 이 샘플의 구체적인 표적은 불분명하지만, 최근 이 지역에서 중국과 인도 간의 국경 긴장이 고조되고 티베트가 중국 국가가 후원하는 사이버 스파이 활동의 빈번한 표적이 되고 있는 상황에서 라다크에 대한 언급이 포함된 것은 특히 흥미롭습니다. 다른 여러 레드델타 샘플과 마찬가지로 미끼 문서의 내용은 합법적인 출처에서 가져온 것으로, 이 경우에는 아시아 태평양 시사 뉴스 사이트인 더 디플로맷의 2020년 7월 기사에서 가져온 것입니다.

그림 4: “Advance version of the 2020 Report of the Secretary-General on Peacebuilding and Sustaining Peace” PlugX decoy document snippet.

The second PlugX sample is loaded in an almost identical manner to the Tibet-Ladakh one above, in this case retrieving the encrypted PlugX DAT payload from http://103.85.24[.]158/eeas.dat. The sample uses the same Adobe executable vulnerable to DLL side-loading seen in one of the Catholic church PlugX samples, and uses the Avast Proxy executable seen in the above Tibet-Ladakh sample for the second stage side-loading. On this occasion, the zip file appears to have been stored on Dropbox, and again, was likely delivered through spearphishing containing a malicious link. This PlugX sample again uses www.systeminfor[.]com for command and control.

표 3: Contents of “Advance version of the 2020 Report of the Secretary-General on Peacebuilding and Sustaining Peace.zip” for first stage DLL side-loading.

이 샘플에 사용된 18페이지 분량의 미끼 문서(그림 4 참조)는 유엔 총회 사무총장이 작성한 '2020 평화 구축 및 평화 유지에 관한 사무총장 보고서'의 편집되지 않은 고급 사본이라고 주장합니다. 그러나 합법적인 보고서는 유엔 웹사이트에서 입수한 후 '고급 미편집본' 분류를 추가하고 날짜를 변경하기 위해 조작했을 가능성이 높습니다. 이 합법적인 보고서는 10월에 열릴 예정인 제75차 총회를 앞두고 2020년 8월 4일에 발표되었습니다. 유엔은 웹사이트를 통해 이 보고서가 2020년 유엔 평화 구축 아키텍처 검토에 대한 주요 의견이 될 것이며, 유엔의 핵심 단체가 보고서를 준비 중이라고 밝혔습니다.

이 특정 샘플의 구체적인 표적은 불분명하지만, 지정학적 이슈를 기반으로 한 공개 문서를 미끼로 사용하는 것은 이전에 여러 레드델타 미끼에서 볼 수 있었던 방식입니다. 또한, 이 샘플에 표시된 DAT 페이로드 파일명 eeas.dat은 유럽연합의 외교 서비스이자 외교 및 국방부 통합 기관인 유럽 대외 행동 서비스(EEAS)와 관련이 있을 수 있습니다. 위협 활동 그룹인 무스탕 팬더는 과거에도 유엔 안보리를 테마로 한 미끼를 사용한 적이 있습니다.

그림 5: “How Catholics Adapt to Changes in China: A Missiological Perspective” (Left) and “Catholic Bishops call for urgent Cameroon peace talks” (Right) PlugX decoy document snippets.

The final two RedDelta PlugX samples again closely resemble the others, both retrieving the DAT payload from http://103.85.24[.]158/hk097.dat, before ultimately using quochoice[.]com for command and control. This domain is currently hosted on the 2EZ Network IP 167.88.177[.]179, with all of the newly identified infrastructure following a previously noted trend in favoured hosting providers. One of the samples, titled “How Catholics Adapt to Changes in China: A Missiological Perspective,” is taken from the writings of a Chinese Catholic scholar and focuses on Christianity in China, while the other is taken from a February 2020 article by Independent Catholic News. This again highlights RedDelta’s tasking in gathering intelligence on organizations and individuals associated with the Catholic church.

표 4: Contents of “How Catholics Adapt to Changes in China A Missiological Perspective.zip” for first-stage DLL side-loading.

표 5: Contents of “Catholic Bishops call for urgent Cameroon peace talks.zip” for first-stage DLL side-loading.

미얀마 및 홍콩의 레드델타

In our previous RedDelta reporting, we observed a wide range of network communications between IP addresses assigned to Myanmar and Hong Kong telecommunication providers and RedDelta C2 infrastructure. Both Hong Kong and Myanmar have been historical targets of the closely overlapping group Mustang Panda (1,2). In the interim period, we identified PlugX (C2 103.85.24[.]149) network intrusions likely targeting government systems in Myanmar that we attribute to RedDelta. This included a VPN login portal for a Myanmar government electronic document management system. We believe RedDelta conducted this activity from August 4 (and possibly earlier) through at least September 2, 2020. Access to these systems would likely be a valuable intelligence source for accessing electronic documents stored on the system.

In addition to this new victim within Myanmar, we identified additional PlugX (C2 85.209.43[.]21 network intrusions likely targeting two Hong Kong universities. This IP address currently hosts the domain ipsoftwarelabs[.]com, which was previously noted within reporting on activity targeting Hong Kong using an older PlugX variant. While metadata alone does not confirm a compromise, we believe that both the high volume and repeated communications from hosts within these targeted organizations to these C2s are sufficient to indicate a likely intrusion.

완화 조치

• 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 또는 네트워크 방어 메커니즘을 구성하여 부록 A에 나열된 외부 IP 주소 및 도메인의 불법 연결 시도를 경고하도록 하고 검토 후 차단하는 것을 고려하세요.
• 내부 및 외부에서 액세스할 수 있는 시스템의 시스템 구성(액세스 제어 포함)을 적절히 평가하고 모든 시스템에서 강력한 비밀번호를 사용해야 합니다.
• 네트워크 세분화를 실천하고 다단계 인증, 내부 네트워크를 통해서만 액세스할 수 있어 극도로 제한된 시스템 액세스 및 저장 등 민감한 정보에 대한 특별한 보호 조치를 취합니다.
• 기본 인증과 레거시 인증은 공격자가 사내 보안 조치를 우회할 수 있으므로 가능한 경우 비활성화하세요.
• 특히 운영 체제, 바이러스 백신 소프트웨어, 핵심 시스템 유틸리티 등 모든 소프트웨어와 애플리케이션을 최신 상태로 유지하세요.
• 이메일 서신을 필터링하고 첨부 파일에 멀웨어가 있는지 면밀히 조사하세요.
• 호스트 기반 제어 사용: 공격을 차단하는 가장 좋은 방어 및 경고 신호 중 하나는 클라이언트 기반 호스트 로깅 및 침입 탐지 기능을 수행하는 것입니다.
• 네트워크 IDS, 넷플로우 수집, 호스트 로깅, 웹 프록시와 같은 기본적인 사고 대응 및 탐지 배포와 제어를 구현하고 탐지 소스에 대한 인적 모니터링도 함께 수행하세요.

전망

레드델타가 공개적으로 보고된 인프라와 TTP를 재사용한 것은 중국 국가가 후원하는 위협 활동 그룹 전반의 위험 성향이 대조적이라는 것을 보여줍니다. 일부 그룹은 광범위한 공개 보고에도 불구하고 여전히 활발하게 활동하는 반면(예: APT41 및 레드델타), 다른 그룹은 공개 보고에 대응하여 행동을 크게 바꾸거나 활동을 줄입니다(예: APT3). 모든 경우에 컴퓨터 네트워크 익스플로잇(CNE) 작전이 제공하는 그럴듯한 부인 가능성으로 인해 중국은 레드델타 사건을 포함하여 이러한 활동(1,2)에 대한 개입을 정기적으로 부인하고 있으며, 이는 역사적 증거에도 불구하고 마찬가지입니다.

광범위한 공개 보고에도 불구하고 레드델타의 활동이 계속되고 있는 점을 감안할 때, 그룹은 TTP를 약간 조정하면서 높은 운영 템포로 계속 운영할 것으로 예상합니다. 이전 보고서에서는 보안 및 탐지 조치에 적절히 투자할 능력이나 의지가 부족한 종교 단체 및 비정부기구(NGO)와 같은 단체를 표적으로 삼는다는 점을 강조한 바 있습니다. 이는 공개적으로 알려진 인프라와 TTP를 재사용하려는 그룹의 의지를 더욱 촉진할 것으로 보입니다.