연구(Insikt)

이전에 TAG-53으로 추적되었던 블루첼리, 2023년에도 새로운 인프라를 계속 배포합니다.

게시일: 2023년 8월 2일
작성자: Insikt Group

insikt-group-logo-updated-3-300x48.png

인싯트 그룹은 러시아 연계 그룹인 칼리스토/칼리스토, 콜드라이버, 스타 블리자드/시보르지움 등과 연관된 위협 활동 그룹 블루찰리(BlueCharlie)를 추적하고 있습니다. 2017년부터 활동한 러시아 연계 위협 그룹인 블루찰리는 스파이 활동과 해킹 및 유출 작전을 위한 정보 수집에 중점을 두고 있습니다. 블루찰리는 전술, 기술 및 절차(TTP)를 발전시키고 새로운 인프라를 구축하여 공개 정보에 적응하고 운영 보안을 개선하는 데 있어 정교함을 보여줬습니다. 구체적인 피해자는 알려지지 않았지만 과거에는 정부, 국방, 교육, 정치 분야, NGO, 언론인, 싱크탱크 등이 공격의 표적이 되었습니다.

bluecharlie-previously-tracked-as-tag-53-continues-to-deploy-new-infrastructure-in-2023-body.png 2022년 11월 이후 블루챌리의 활동에서 사용된 용어 분석

최근 인식트 그룹은 블루찰리가 피싱 캠페인이나 인증정보 탈취에 사용될 가능성이 있는 94개의 새로운 도메인으로 구성된 새로운 인프라를 구축하는 것을 목격했습니다. 최근 운영에서 발견된 몇 가지 TTP는 과거의 활동에서 벗어난 것으로, 이는 블루찰리가 업계 보고를 통해 운영이 공개되면서 이에 대응하기 위해 운영을 발전시키고 있음을 시사합니다. 2022년 9월 인싯트 그룹을 처음 추적한 이후, 우리는 블루찰리가 여러 차례 TTP 전환을 하는 것을 관찰했습니다. 이러한 변화는 이러한 위협 행위자들이 업계 보고를 인지하고 있으며 보안 연구자들을 방해하기 위해 자신의 활동을 난독화하거나 수정하려는 노력에 어느 정도 정교함을 보이고 있음을 보여줍니다.

블루찰리의 위협에 대응하기 위해 네트워크 방어자는 피싱 방어를 강화하고, FIDO2 호환 멀티팩터 인증을 구현하고, 위협 인텔리전스를 사용하고, 써드파티 벤더를 교육해야 합니다. 블루찰리가 피싱을 지속적으로 사용하고 공개 보고에 적응해 온 역사를 보면 피싱은 앞으로도 계속 활발하게 운영될 것이며 더욱 발전할 것입니다.

각주가 포함된 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

부록 A — 침해 지표

블루찰리 도메인:
bittechllc[.]net
centeritdefcity[.]com
checkscreenit[.]com
cloudcpanelhost[.]com
clouddefsystems[.]com
cloudrootstorage[.]com
commandentrance[.]com
computertechdirectsystems[.]com
computingtechstudio[.]com
configuregatewayglobal[.]com
controlgatestorage[.]com
controlsstoragedirect[.]com
controlstoragesolutions[.]com
cryptdatagate[.]com
cryptoanalyzetech[.]com
cryptotechdirect[.]com
cryptothistech[.]com
datagatellc[.]com
datagatewayglobal[.]com
datastoragecrypto[.]com
definform[.]com
deskactivitygm[.]com
directdocumentgate[.]com
directdocumentgateway[.]com
directexpressgateway[.]com
directstoragegate[.]com
docsinfogate[.]com
documentdirectllc[.]com
documentdirectto[.]com
entrywaycenter[.]com
gateblurbrepository[.]com
gatecryptospace[.]com
gateinfosecure[.]com
gatestoragetech[.]com
gatewaydocsint[.]com
gatewayitsol[.]com
gatewayrecord[.]com
gawecryptoinfosolutions[.]com
getinfostarter[.]com
incappcloud[.]com
infocryptogate[.]com
infogatestorage[.]com
informationcoindata[.]com
informationswitchsystems[.]com
infostorageroute[.]com
intelligencerepository[.]com
itgatestorage[.]com
itinfogate[.]com
keepitlabgroup[.]com
managercodepro[.]com
meshgoin[.]com
myitappnext[.]com
myittechnext[.]com
networkgoin[.]com
oneinformationcrypto[.]com
pdfdirectglobal[.]com
pdfsecxcloudroute[.]com
po.vatangate[.]com
prodefendme[.]com
prokeeperit[.]com
protectedviews[.]com
protectordocumentcenter[.]com
realeasyconfiguregateway[.]com
realitsolutionprimary[.]com
safetydocsgateway[.]com
secureglobaltele[.]com
serverguarditweb[.]com
shielditlabel[.]com
shortinfoonline[.]com
skycithereforeit[.]com
solutionsseccloud[.]com
sourcedoorway[.]com
sourcedoorways[.]com
stateinfospace[.]com
storagecryptogate[.]com
storagecryptoweb[.]com
storageinfogate[.]com
storagekeeperinfopro[.]com
storagekeeperinfotech[.]com
storagerootconnect[.]com
storagetruncservices[.]com
storagetruncservices[.]com
storagewarden[.]com
suppdatacent[.]com
threatcenterofreaserch[.]com
transfer-dns[.]com
truncstorage[.]com
truncstorage[.]com
webgateway[.]ru
webgatewayenter[.]com
webinterstellar[.]com
yourdirectinfospace[.]com
yourspaceprotector[.]com

BlueCharlie IP Addresses:
104.140.180[.]125
104.140.180[.]126
104.168.32[.]133
104.168.46[.]21
107.174.45[.]104
107.174.45[.]106
107.175.21[.]29
138.124.183[.]150
138.124.183[.]150
142.11.194[.]133
142.11.195[.]232
142.11.196[.]83
142.11.199[.]18
146.19.170[.]161
146.19.170[.]162
162.19.175[.]92
172.245.191[.]18
172.245.220[.]195
172.245.220[.]206
172.245.254[.]219
172.245.33[.]142
172.245.33[.]188
185.138.164[.]123
185.138.164[.]229
185.250.151[.]11
185.250.151[.]11
192.210.214[.]114
192.210.214[.]150
192.210.215[.]125
192.227.162[.]32
192.236.146[.]12
192.236.195[.]192
192.236.195[.]192
192.3.111[.]149
192.3.111[.]200
192.3.118[.]108
192.3.223[.]33
192.3.228[.]170
192.3.228[.]182
192.3.73[.]140
192.3.73[.]143
194.213.18[.]35
194.213.18[.]96
198.46.174[.]172
198.46.174[.]188
23.254.253[.]127
23.94.152[.]50
23.94.231[.]161
23.94.236[.]80
23.94.96[.]12
23.94.99[.]19
23.94.99[.]22
23.94.99[.]26
23.94.99[.]30
45.137.155[.]33
45.144.30[.]160
45.144.31[.]92
45.66.249[.]101
45.66.249[.]101
45.66.249[.]83
45.8.146[.]119
45.8.146[.]213
45.8.146[.]227
45.86.230[.]104
45.86.230[.]171
45.86.230[.]61
5.61.63[.]19
77.91.126[.]29
77.91.126[.]29
85.239.52[.]228
85.239.52[.]44
85.239.53[.]154
85.239.53[.]19
85.239.53[.]54
85.239.53[.]73
85.239.54[.]200
85.239.54[.]205
85.239.54[.]242
85.239.54[.]244
85.239.54[.]54
85.239.54[.]84
85.239.54[.]84
85.239.60[.]103
85.239.60[.]105
85.239.60[.]105
85.239.60[.]71
85.239.61[.]52
91.210.164[.]40
91.228.10[.]45
91.231.186[.]105
91.231.186[.]33
94.131.8[.]189
95.164.18[.]80


부록 B — Mitre ATT&CK 기법

전술: 기법 ATT&CK 코드
Reconnaissance: Phishing for Information T1598
Resource Development: Stage Capabilities T1608

관련 뉴스 & 연구