중국과 연계된 TA428, 러시아와 몽골 IT 기업을 계속 공략하다
레코디드 퓨처의 인식트 그룹은 최근 중국 위협 활동 그룹 TA428로 의심되는 단체의 새로운 활동을 확인했습니다. 확인된 활동은 2019년 러시아 및 동아시아 정부 정보 기술 기관을 표적으로 삼은 'Operation LagTime IT'로 Proofpoint가 이전에 보고한 TA428 캠페인과 겹칩니다. 확인된 인프라, 전술 및 피해자 조직을 기반으로 TA428이 러시아와 몽골의 조직을 대상으로 침입 활동을 계속하고 있는 것으로 평가합니다.
인프라 및 타겟팅
2021년 1월 21일, 인식트 그룹은 플러그엑스 C2 서버 103.125.219[.]222를 탐지했습니다. (호스팅 제공업체: VPSServer[.]com) 다양한 몽골 뉴스 기관을 스푸핑하는 여러 도메인을 호스팅합니다. 도메인 중 하나인 f1news.vzglagtime[.]net, 앞서 언급한 Proofpoint Operation LagTime IT 블로그에 소개된 바 있습니다. 2019년 7월 프루프포인트 블로그 게시 당시, vzglagtime[.] 도메인은 45.76.211[.]18에서 호스팅되었습니다. 호스팅 제공업체 Vultr을 통해 패시브 DNS 데이터에 따르면 이 IP 주소는 동시에 몽골 테마 도메인도 호스팅하고 있어 보고되지 않은 TA428 의심 도메인과 오퍼레이션 래그타임 IT 활동 간의 중첩이 더욱 강화되었습니다. 하위 도메인은 영어와 몽골어로 익숙한 뉴스 테마의 이름과 단어를 스푸핑하는 것으로 보입니다. 인식트 그룹은 또한 이 캠페인에서 미국에 본사를 둔 통신사인 '블룸버그'라는 용어를 사용하여 두 개의 하위 도메인을 식별했습니다. 그러나 이 캠페인이 미국 기업을 표적으로 삼았다는 다른 증거는 없습니다. 이 캠페인의 하위 도메인은 익숙한 용어를 사용하여 피해자가 해당 사이트를 신뢰하도록 유인했습니다. 이러한 미보고 도메인에는 다음이 포함됩니다:
aircraft.tsagagaar[.]com | 차그 아가르 (цаг агаар)는 몽골어로 "날씨"를 뜻합니다. |
nubia.tsagagaar[.]com | 신울란바타르 국제공항 (NUBIA)을 스푸핑할 가능성이 있습니다. |
gazar.ecustoms-mn[.]com | 몽골 전자 세관 스푸핑 가능성 |
govi-altai.ecustoms-mn[.]com | 몽골의 고비-알타이 지역참조 |
gogonews.organiccrap[.]com | 몽골 뉴스통신사 사칭 가능성이 있는 GoGo 뉴스 |
niigem.olloo-news[.]com | 몽골 통신사 올루를 사칭한 것으로 보이는 스푸핑 가능성 |
oolnewsmongol.ddns[.]info | 몽골 뉴스 테마 도메인을 스푸핑할 가능성이 있는 도메인 |
bloomberg.mefound[.]com | 추가 스푸핑 뉴스 테마 하위 도메인 |
bloomberg.ns02[.]biz | 추가 스푸핑 뉴스 테마 하위 도메인 |
멀웨어 분석
인식트 그룹은 새로 확인된 TA428 연결 인프라와 통신하는 다수의 로열 로드, 포이즌 아이비, 플러그엑스 샘플을 확인했습니다. 이는 TA428 활동에 대한 Proofpoint와 NTT Security의 이전 보고와 거의 일치합니다. 특히, 2020년 12월에 멀웨어 멀티 스캔 소스에 다음 PoisonIvy 샘플이 업로드되었습니다:
15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb (filename: x64.dll)
1145d39ce42761862eeb7c46500b3fc5cd0dcd9c0fed35623b577b01d0ec3c8e (filename: x86.dll)
x86.dll은 32비트 환경용으로, x64.dll은 64비트 환경용으로 설계되었습니다. 실행되면 DLL 파일은 두 개의 파일을 드롭합니다: DLL 하이재킹에 취약한 합법적인 실행 파일인 PotPlayerMini.exe와 PotPlayer.dll입니다, 포이즌아이비 페이로드입니다. PotPlayerMini.exe가 실행되어 악성 포이즌아이비 DLL을 로드하며, 이 경우 C2 도메인 nubia.tsagagaar[.]com과 통신하도록 구성됩니다. 이 포이즌아이비 로딩 시퀀스는 2020년 10월 NTT Security에서 설명한 TA428 활동과 직접적으로 일치합니다. NTT 연구원들은 이 그룹이 이터널블루 익스플로잇을 사용하여 측면으로 이동하여 초기 DLL 파일을 표적 호스트의 lsass.exe 프로세스에 주입하는 것을 발견했습니다.
그림 1: 최근 TA428 샘플의 멀웨어 분석
인싯트 그룹은 또한 위에서 본 TA428과 연결된 포이즌아이비 샘플이 포함된 멀웨어 샌드박스 업로드와 함께 이터널블루 익스플로잇 툴, 윈에그드롭 포트 스캐너, MS17-010 스캐닝 툴을 확인했습니다. 업로드 내에 파일 경로가 있는 것으로 보아 이 멀웨어가 러시아 IT 회사 ATOL을 공격하는 데 사용되었을 가능성이 있습니다. 이러한 피해 사례는 이전에 관찰된 러시아와 동아시아 정부 정보 기술 기관을 표적으로 삼은 작전 지연 시간 IT 활동과도 일치합니다.
또한, 2020년 11월에 작성된 셉드레이븐 연구원의 블로그 게시물에서는 TA428이 지연 시간 IT 작전의 연장선상에 있는 로열로드 문서 샘플을 추가로 자세히 설명합니다. 이 유인 문서는 발신자를 몽골 당국으로 위장하고 아르메니아와 아제르바이잔 간의 분쟁을 언급하여 피해자가 문서를 열도록 유인합니다. 셉드레이븐에 따르면, 이 파일은 메모리에 매우 간단한 백도어를 설치하는 로열로드 RTF 웨포나이저 버전 7을 사용하여 EQNEDT32.EXE 프로세스를 다시 작성합니다. 백도어는 대상 시스템의 디스크, 실행 중인 프로세스, Windows OS 버전, 사용자 권한에 대한 초기 정보를 수집한 후 명령 및 제어(C2) 도메인 custom.songuulcomiss[.]com에 접속을 시도합니다, 말레이시아 IP 주소 103.106.250[.]239에서 호스팅되었습니다. 발견 당시
공격자 프로필
TA428은 중국과 연계된 사이버 스파이 그룹으로 2019년에 Proofpoint 연구원들이 확인하여 명명했지만 인프라, 피해자, 도구가 일부 중복되는 것으로 보아 2013년부터 활동했을 가능성이 있습니다. TA428은 맞춤형 도구 세트를 사용하는 것으로 알려져 있으며, IT, 과학 연구, 국내 문제, 외교, 정치 과정, 금융 개발 등 중국에 전략적 가치가 높은 조직을 표적으로 삼고 있습니다. 2021년 2월, NTT 연구원들은 2019년 3월부터 2020년 11월까지 관찰된 nccTrojan이라는 멀웨어로 러시아와 몽골의 동아시아 국방 및 항공 조직을 표적으로 삼은 새로운 캠페인을 TA428의 소행으로 추정했습니다.
타협 지표
이 캠페인과 관련된 침해 지표는 Insikt Group GitHub 리포지토리에서 확인할 수 있습니다.
C2 IP
103.125.219[.]222 103.249.87[.]72 45.76.211[.]18
포이즌 아이비
1145d39ce42761862eeb7c46500b3fc5cd0dcd9c0fed35623b577b01d0ec3c8e (C2: nubia.tsagagaar[.]com) 15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb (C2: nubia.tsagagaar[.]com) 33c0be46fea3a981ae94c1ae0b23c04a763f8318706bd9f7530347f579a2282e (C2: bloomberg.ns02[.]biz)
PlugX
3a5828fe5e55e52f041ad8d67b12a6fc23ec2d2d37a6adde59139d523f1dfc8b (C2: nubia.tsagagaar[.]com)
로얄로드 RTF
4f941e1203bf7c1cb3ec93d42792f7f971f8ec923d11017902481ccf42efaf75 (C2: 95.179.131[.]29 - 이전 호스팅된 여러 개의 vzglagtime[.]net 하위 도메인)
WinEggDrop 포트 스캐너
13eaf5c0c0a22b09b9dead93c86f085b6c010e3413b0e27c0616896978871048
이터널블루 익스플로잇 툴
82b0488fd910fe428513813343bf3a9a62c7bf450d509f00f437766cdc0c7aea
MS17-010 스캐너
15585fd878af7d9efd6cac2984cf52371312439797ee2c8f8180ad149e3f8b07
TA428 연결 도메인
aircraft.tsagagaar[.]com ecustoms-mn[.]com f1news.vzglagtime[.]net gazar.ecustoms-mn[.]com govi-altai.ecustoms-mn[.]com news.vzglagtime[.]net niigem.olloo-news[.]com nubia.tsagagaar[.]com olloo-news[.]com oolnewsmongol.ddns[.]info bloomberg.mefound[.]com bloomberg.ns02[.]biz nmcustoms.https443[.]org gogonews.organiccrap[.]com tsagagaar[.]com vzglagtime[.]net
관련