중국과 연관된 TAG-112, Cobalt Strike를 배포하기 위해 티베트 웹사이트 침해
요약
최근 사이버 캠페인에서 중국 정부가 후원하는 위협 단체 TAG-112는 Cobalt Strike 멀웨어를 배포하기 위해 Tibet Post와 기윰드 탄트릭 대학(Gyudmed Tantric University)의 두 티베트 웹사이트를 침해했습니다. Recorded Future의 Insikt Group은 공격자가 이 사이트에 악성 JavaScript를 삽입하고 TLS 인증서 오류를 스푸핑하여 방문자가 위장된 보안 인증서를 다운로드하도록 유도한다는 사실을 발견했습니다. 위협 행위자들이 원격 액세스 및 사후 악용을 위해 자주 사용하는 이 멀웨어는 티베트 단체에 대한 사이버 첩보 활동이 계속되고 있음을 보여줍니다. Cloudflare를 사용해 은폐된 TAG-112의 인프라에서 이 캠페인은 중국이 후원하는 다른 작전, 특히 TAG-102(Evasive Panda)와 연결되어 있습니다.
중국 기반 TAG-112, Cobalt Strike를 배포하기 위해 티베트 웹사이트 침해
중국의 소수 민족 및 종교 단체를 표적으로 삼는 사이버 공격이 계속되는 가운데, 티베트 단체를 겨냥한 표적 캠페인이 새롭게 발견되고 있습니다. 최근 조사에서 Recorded Future의 Insikt Group은 티베트 커뮤니티 웹사이트를 침해하고 강력한 사이버 스파이 도구인 Cobalt Strike를 배포하는 중국 정부 후원 위협 행위자 그룹, TAG-112를 발견했습니다.
주요 연구 결과
2024년 5월 말, TAG-112는 최소한 두 개의 티베트 커뮤니티 웹사이트인 Tibet Post(tibetpost[.]net) 및 기윰드 탄트릭 대학(gyudmedtantricuniversity[.]org)을 침해했습니다. 공격자는 이 사이트에서 사용하는 Joomla 콘텐츠 관리 시스템(CMS)의 취약점을 악용해 악성 JavaScript를 삽입했습니다. 이 JavaScript는 방문자에게 가짜 보안 인증서를 다운로드하도록 유도했고 이를 열면 Cobalt Strike 페이로드가 실행되었습니다.
TAG-112의 인프라는 티베트 단체를 표적으로 삼는 것으로 알려진, 보다 정교한 중국 정부 후원 그룹인 TAG-102(Evasive Panda)와 눈에 띄게 겹치는 것으로 보입니다. 그러나 맞춤 멀웨어와 이전의 JavaScript 난독화가 아닌 Cobalt Strike를 사용하는 등 공격 성숙도와 전술에서 차이가 있어 Insikt Group은 TAG-112를 별도의 개체로 식별했습니다.
악성 JavaScript 및 스푸핑된 TLS 오류
공격은 침해한 웹 사이트에 포함된 악성 JavaScript로 시작됩니다. 사용자가 이러한 사이트 중 하나를 방문하면 스크립트가 운영 체제 및 브라우저 유형을 감지하여 Windows와의 호환성을 확인합니다. 호환되는 경우 스크립트는 TAG-112의 명령 및 제어(C2) 도메인인 update[.]maskrisks[.]com과의 연결을 시작하고, 이를 통해 합법적인 TLS 인증서 오류를 스푸핑하는 HTML 페이지가 반환됩니다.
이 스푸핑된 오류 페이지는 Google Chrome의 TLS 인증서 경고를 모방하여 사용자가 '보안 인증서 다운로드' 링크를 클릭하도록 속입니다. 이를 클릭하면, 사용자는 보안 테스터가 일반적으로 사용하는 합법적인 도구이지만 원격 액세스 및 명령 실행을 위해 공격자가 자주 악용하는 Cobalt Strike를 자신도 모르는 사이에 다운로드하게 됩니다.
웹사이트 취약점 악용
TAG-112는 인기 있는 CMS인 Joomla의 취약점을 통해 감염된 티베트 웹사이트에 접근한 것으로 보입니다. Joomla를 기반으로 구축된 웹사이트는 적절하게 유지 관리 및 업데이트되지 않으면 공격자의 표적이 되는 경우가 많습니다. TAG-112는 이러한 취약점을 악용하여 악성 JavaScript 파일을 업로드할 수 있었고, 2024년 10월 초 현재 이 사이트들에서 여전히 활성화되어 있습니다.
인프라 및 난독화 전술
TAG-112 인프라는 그 기원을 숨기는 데 있어서 어느 정도 정교함이 있습니다. 이 단체는 서버의 IP 주소를 보호하기 위해 Cloudflare를 사용했는데, 이 때문에 인프라를 기원까지 추적하기가 복잡합니다. Insikt Group은 TAG-112 C2 서버에 연결된 IP 주소를 여러 개 식별했는데, 일부는 무려 2024년 3월에 활성화되었습니다. 기본 도메인인 maskrisks[.]com이 2024년 3월에 Namecheap을 통해 등록되었고, mail[.]maskrisks[.]com과 checkupdate[.]maskrisks[.]com 같은 하위 도메인이 운영 유연성을 높이기 위해 추가되었습니다.
TAG-112의 Cobalt Strike 사용
Cobalt Strike는 원격 액세스, 측면 이동, 명령 및 제어를 위한 다재다능함과 강력한 기능으로 인해 위협 행위자들 사이에서 선호되는 상용 침투 테스트 도구입니다. Insikt Group은 TAG-112와 연결되고 C2 통신은 mail[.]maskrisks[.]com으로 전달된 6개의 뚜렷한 Cobalt Strike Beacon 샘플을 식별했습니다. 이 멀웨어를 통해 TAG-112는 감염된 시스템을 모니터링하고 제어하여 정보를 수집하고 잠재적으로 이러한 감염된 시스템을 추가적인 스파이 활동에 활용할 수 있습니다.
TAG-102(Evasive Panda)에 대한 연결
TAG-112는 티베트 커뮤니티를 표적으로 삼는 것으로 알려진 또 다른 중국 APT인 TAG-102(Evasive Panda)와 몇 가지 운영 특성이 동일합니다. 두 단체 모두 악성 파일을 전달하기 위해 스푸핑된 오류 페이지 등 유사한 방법을 사용했습니다. 그러나 TAG-112의 운영 방식은 TAG-102보다 정교함이 떨어지므로 하위 그룹이거나 경험이 적은 지부일 수 있습니다. 예를 들어, TAG-102는 맞춤형 멀웨어를 배포하고 난독화 기술을 사용했지만, TAG-112는 JavaScript를 난독화하지 않고 즉시 사용할 수 있는 Cobalt Strike 도구를 사용했습니다.
난독화를 사용하지 않음에도 불구하고 TAG-112의 전술과 TAG-102와의 중첩성을 보면 티베트 및 기타 소수 민족과 종교 공동체에 대해 중국 정부가 지속적인 관심을 두고 있음을 알 수 있습니다. 이러한 캠페인은 중국 공산당의 안정과 통제에 위협으로 인식되는 단체를 대상으로 한 광범위한 감시 및 통제 전략의 일부입니다.
완화 권장 사항
TAG-112의 캠페인은 특히 국가가 후원하는 행위자들에게 가치 있는 표적이 될 수 있는 조직에서 사전 예방적 사이버 보안 조치가 중요하다는 것을 시사합니다. Recorded Future는 다음 단계를 권장합니다.
- 침입 탐지 및 예방: TAG-112와 관련된 모든 침해 지표(IoC)에 대해 경고하도록 침입 탐지(IDS) 및 침입 방지 시스템(IPS)을 구성합니다. 철저한 검토 후 확인된 TAG-112 인프라에 대한 연결을 차단하는 것을 고려합니다.
- 사용자 교육: 신뢰할 수 없는 출처에서 다운로드한 파일을 다룰 때 주의를 기울이도록 사용자를 교육합니다. 입력 없이 자동으로 다운로드되는 파일은 피싱 또는 드라이브 바이 다운로드 공격의 일부일 수 있으므로 사용자에게 파일을 열지 말라고 조언하세요.
- Cobalt Strike 탐지: Recorded Future의 Intelligence Cloud와 같은 위협 인텔리전스 모듈을 사용하여 악성 Cobalt Strike C2 서버를 실시간으로 모니터링합니다.
- 네트워크 모니터링: 네트워크 트래픽을 정기적으로 모니터링하여 침해 징후, 특히 알려진 위협 인프라에 대한 연결이 있는지 확인합니다. MTA(Malicious Traffic Analysis)는 비정상적인 활동을 감지하여 보안 팀에 잠재적인 C2 통신을 경고하는 데 도움이 될 수 있습니다.
전망
티베트 조직에 대한 TAG-112의 작전은 중국의 사이버 스파이 활동에서 소수 민족 및 종교 집단, 특히 잠재적으로 불안정을 초래할 수 있는 것으로 보이는 이들을 감시하고 통제하려는 오랜 목표를 반영합니다. 중국 공산당이 지정한 위험 프로필과 유사한 성격의 다른 단체와 지역도 유사한 국가 후원 공격의 표적이 될 가능성이 높습니다.
전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.
부록 A — 침해 지표
|
침해된 웹사이트: tibetpost[.]net gyudmedtantricuniversity[.]org C2 도메인: maskrisks[.]com mail[.]maskrisks[.]com update[.]maskrisks[.]com checkupdate[.]maskrisks[.]com C2 IP 주소: 154.90.62[.]12 154.90.63[.]166 154.205.138[.]202 인증서: d0972247c500d2a45f412f9434287161de395a35ef5b4931cba12cf513b76962(*[.]dnspod[.]cn) 94569f64f62eff185ba47e991dba54bdeea6d1a9e205d6bec767be6a864e4efb (Cloudflare Origin *.maskrisks[.]com) d4938cb5c031ec7f04d73d4e75f5db5c8a5c04ce (도난당한 코드 서명 인증서 KP MOBILE) 악성 JavaScript의 URL: https[:]//gyudmedtantricuniversity[.]org/templates/lt_interiordesign/js/custom.js https[:]//tibetpost[.]net/templates/ja_teline_v/js/gallery/jquery.blueimp-gallery.full.js 악성 URL: https[:]//update[.]maskrisks[.]com/download https[:]//update[.]maskrisks[.]com/?type=Chrome https[:]//update[.]maskrisks[.]com/?type=Edge http[:]//mail[.]maskrisks[.]com/api/view.php http[:]//154.205.138[.]202/GetUrl/cache https[:]//checkupdate[.]maskrisks[.]com/cache https[:]//update[.]maskrisks[.]com/cache Cobalt Strike: 1e42cbe23055e921eff46e5e6921ff1a20bb903fca83ea1f1294394c0df3f4cd 0e306c0836a8ee035ae739c5adfbe42bd5021e615ebaa92f52d5d86fb895651d f1f11e52a60e5a446f1eb17bb718358def4825342acc0a41d09a051359a1eb3d f4ded3a67480a0e2a822af1e87a727243dea16ac1a3c0513aec62bff71f06b27 966d311dcc598922e4ab9ce5524110a8bfd2c6b6db540d180829ceb7a7253831 1e7cb19f77206317c8828f9c3cdee76f2f0ebf7451a625641f7d22bb8c61b21b 로더: 8d4049ef70c83a6ead26736c1330e2783bdc9708c497183317fad66b818e44cb E190c7e097a1c38dd45d9c149e737ad9253b1cabee1cee7ef080ddf52d1b378c (정품 소프트웨어) 31f11b4d81f3ae25b6a01cd1038914f31d045bc4136c40a6221944ea553d6414 |
부록 B — Mitre ATT&CK 기법
| 전술: 기법 | ATT&CK 코드 |
| 자원 개발: 인프라 획득: 서버 | T1583.004 |
| 리소스 개발: 인프라 확보: 웹 서비스 | T1583.006 |
| 자원 개발: 인프라 손상: 서버 | T1584.004 |
| 초기 액세스: 드라이브 바이 공격 | T1189 |
| 방어 회피: 실행 흐름 탈취: DLL 사이드 로딩 | T1574.002 |
관련