중국과 연계된 TA428, 러시아와 몽골 IT 기업을 계속 공략하다
레코디드 퓨처의 인식트 그룹은 최근 중국 위협 활동 그룹 TA428로 의심되는 단체의 새로운 활동을 확인했습니다. 확인된 활동은 2019년 러시아 및 동아시아 정부 정보 기술 기관을 표적으로 삼은 'Operation LagTime IT'로 Proofpoint가 이전에 보고한 TA428 캠페인과 겹칩니다. 확인된 인프라, 전술 및 피해자 조직을 기반으로 TA428이 러시아와 몽골의 조직을 대상으로 침입 활동을 계속하고 있는 것으로 평가합니다.
인프라 및 타겟팅
On January 21, 2021, Insikt Group detected the PlugX C2 server 103.125.219[.]222 (Hosting provider: VPSServer[.]com) hosting multiple domains spoofing various Mongolian news entities. One of the domains, f1news.vzglagtime[.]net, previously appeared in the aforementioned Proofpoint Operation LagTime IT blog. At the time of the Proofpoint blog publication in July 2019, the vzglagtime[.]net domain was hosted on 45.76.211[.]18 through the hosting provider Vultr. According to passive DNS data, this IP address also hosted the Mongolian-themed domains at the same time, further strengthening the overlaps between these unreported suspected TA428 domains and Operation LagTime IT activity. The subdomains appear to spoof familiar news-themed names and words, both in English and in Mongolian languages. Insikt Group also identified two subdomains in this campaign with the term “Bloomberg”, a US-based news agency. However, we have no other indication that this campaign targeted US companies. The subdomains in this campaign used familiar terms to lure victims into trusting these sites. These unreported domains include the following:
| aircraft.tsagagaar[.]com | Tsag agaar (цаг агаар) is a Mongolian word for “weather” |
| nubia.tsagagaar[.]com | 신울란바타르 국제공항 (NUBIA)을 스푸핑할 가능성이 있습니다. |
| gazar.ecustoms-mn[.]com | 몽골 전자 세관 스푸핑 가능성 |
| govi-altai.ecustoms-mn[.]com | 몽골의 고비-알타이 지역참조 |
| gogonews.organiccrap[.]com | 몽골 뉴스통신사 사칭 가능성이 있는 GoGo 뉴스 |
| niigem.olloo-news[.]com | 몽골 통신사 올루를 사칭한 것으로 보이는 스푸핑 가능성 |
| oolnewsmongol.ddns[.]info | 몽골 뉴스 테마 도메인을 스푸핑할 가능성이 있는 도메인 |
| bloomberg.mefound[.]com | 추가 스푸핑 뉴스 테마 하위 도메인 |
| bloomberg.ns02[.]biz | 추가 스푸핑 뉴스 테마 하위 도메인 |
멀웨어 분석
인식트 그룹은 새로 확인된 TA428 연결 인프라와 통신하는 다수의 로열 로드, 포이즌 아이비, 플러그엑스 샘플을 확인했습니다. 이는 TA428 활동에 대한 Proofpoint와 NTT Security의 이전 보고와 거의 일치합니다. 특히, 2020년 12월에 멀웨어 멀티 스캔 소스에 다음 PoisonIvy 샘플이 업로드되었습니다:
15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb (filename: x64.dll)
1145d39ce42761862eeb7c46500b3fc5cd0dcd9c0fed35623b577b01d0ec3c8e (filename: x86.dll)
x86.dll은 32비트 환경용으로, x64.dll은 64비트 환경용으로 설계되었습니다. 실행되면 DLL 파일은 두 개의 파일을 드롭합니다: DLL 하이재킹에 취약한 합법적인 실행 파일인 PotPlayerMini.exe와 PotPlayer.dll입니다, 포이즌아이비 페이로드입니다. PotPlayerMini.exe가 실행되어 악성 포이즌아이비 DLL을 로드하며, 이 경우 C2 도메인 nubia.tsagagaar[.]com과 통신하도록 구성됩니다. 이 포이즌아이비 로딩 시퀀스는 2020년 10월 NTT Security에서 설명한 TA428 활동과 직접적으로 일치합니다. NTT 연구원들은 이 그룹이 이터널블루 익스플로잇을 사용하여 측면으로 이동하여 초기 DLL 파일을 표적 호스트의 lsass.exe 프로세스에 주입하는 것을 발견했습니다.
Figure 1: Malware analysis of recent TA428 sample
인싯트 그룹은 또한 위에서 본 TA428과 연결된 포이즌아이비 샘플이 포함된 멀웨어 샌드박스 업로드와 함께 이터널블루 익스플로잇 툴, 윈에그드롭 포트 스캐너, MS17-010 스캐닝 툴을 확인했습니다. 업로드 내에 파일 경로가 있는 것으로 보아 이 멀웨어가 러시아 IT 회사 ATOL을 공격하는 데 사용되었을 가능성이 있습니다. 이러한 피해 사례는 이전에 관찰된 러시아와 동아시아 정부 정보 기술 기관을 표적으로 삼은 작전 지연 시간 IT 활동과도 일치합니다.
Additionally, a blog post by researcher Sebdraven from November 2020 details an additional Royal Road document sample that he attributes to TA428 as a continuation of Operation Lagtime IT. The lure document spoofs the sender as Mongolian authorities and refers to the conflict between Armenia and Azerbaijan in order to lure the victim to opening the document. According to Sebdraven, the file uses Version 7 of Royal Road RTF weaponizer, which installs a very simple backdoor in memory, rewriting the EQNEDT32.EXE process. After the backdoor gathers initial information on the target machine’s disk, running processes, Windows OS version, and user privileges, it attempts to reach out to the command and control (C2) domain custom.songuulcomiss[.]com, which was hosted on the Malaysian IP address 103.106.250[.]239 at the time of discovery.
공격자 프로필
TA428은 중국과 연계된 사이버 스파이 그룹으로 2019년에 Proofpoint 연구원들이 확인하여 명명했지만 인프라, 피해자, 도구가 일부 중복되는 것으로 보아 2013년부터 활동했을 가능성이 있습니다. TA428은 맞춤형 도구 세트를 사용하는 것으로 알려져 있으며, IT, 과학 연구, 국내 문제, 외교, 정치 과정, 금융 개발 등 중국에 전략적 가치가 높은 조직을 표적으로 삼고 있습니다. 2021년 2월, NTT 연구원들은 2019년 3월부터 2020년 11월까지 관찰된 nccTrojan이라는 멀웨어로 러시아와 몽골의 동아시아 국방 및 항공 조직을 표적으로 삼은 새로운 캠페인을 TA428의 소행으로 추정했습니다.
타협 지표
이 캠페인과 관련된 침해 지표는 Insikt Group GitHub 리포지토리에서 확인할 수 있습니다.
C2 IP
103.125.219[.]222 103.249.87[.]72 45.76.211[.]18
포이즌 아이비
1145d39ce42761862eeb7c46500b3fc5cd0dcd9c0fed35623b577b01d0ec3c8e (C2: nubia.tsagagaar[.]com) 15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb (C2: nubia.tsagagaar[.]com) 33c0be46fea3a981ae94c1ae0b23c04a763f8318706bd9f7530347f579a2282e (C2: bloomberg.ns02[.]biz)
PlugX
3a5828fe5e55e52f041ad8d67b12a6fc23ec2d2d37a6adde59139d523f1dfc8b (C2: nubia.tsagagaar[.]com)
로얄로드 RTF
4f941e1203bf7c1cb3ec93d42792f7f971f8ec923d11017902481ccf42efaf75 (C2: 95.179.131[.]29 - previous hosted multiple vzglagtime[.]net subdomains)
WinEggDrop 포트 스캐너
13eaf5c0c0a22b09b9dead93c86f085b6c010e3413b0e27c0616896978871048
이터널블루 익스플로잇 툴
82b0488fd910fe428513813343bf3a9a62c7bf450d509f00f437766cdc0c7aea
MS17-010 스캐너
15585fd878af7d9efd6cac2984cf52371312439797ee2c8f8180ad149e3f8b07
TA428 연결 도메인
aircraft.tsagagaar[.]com ecustoms-mn[.]com f1news.vzglagtime[.]net gazar.ecustoms-mn[.]com govi-altai.ecustoms-mn[.]com news.vzglagtime[.]net niigem.olloo-news[.]com nubia.tsagagaar[.]com olloo-news[.]com oolnewsmongol.ddns[.]info bloomberg.mefound[.]com bloomberg.ns02[.]biz nmcustoms.https443[.]org gogonews.organiccrap[.]com tsagagaar[.]com vzglagtime[.]net
관련 뉴스 & 연구