아프가니스탄 통신사 로샨의 메일 서버를 노린 중국 APT 그룹 4곳 적발
Insikt Group은 아프가니스탄 최대 통신 제공업체 중 하나인 Roshan의 메일 서버를 대상으로 하는 별도의 침입 활동을 탐지했으며, 이 서버는 4개의 중국 국가 지원 위협 활동 그룹과 연결되어 있습니다. 여기에는 중국 국가가 후원하는 그룹인 RedFoxtrot 및 Calypso APT의 활동과 현재로서는 기존 그룹과 연결할 수 없는 Winnti 및 PlugX 백도어를 사용하는 2개의 추가 클러스터가 포함됩니다. 특히, 2021년 8월과 9월에는 미군 철수 및 탈레반의 통제권 부활과 같은 주요 지정학적 사건과 맞물려 이러한 침입, 특히 칼립소 APT 활동과 윈티 멀웨어를 사용한 미지의 위협 행위자에 대한 데이터 유출 활동이 급증했습니다. 아프가니스탄 최대 통신사 중 하나를 표적으로 삼아 정보 수집에 집중하는 것은 탈레반이 새롭게 통치하는 아프가니스탄 내에서 영향력을 확대하려는 중국 공산당(CCP)의 의도에 따른 것으로 보입니다. 이 통신 회사는 다운스트림 대상 모니터링, 통신 데이터의 대량 수집, 개별 대상 추적 및 모니터링 기능 등 전략적 정보 수집을 위한 매우 가치 있는 플랫폼을 제공합니다. 또한 중국 정부는 일대일로 이니셔티브에 참여하는 국가에서 통신 부문을 전략적으로 중요한 분야로 간주하고 있습니다.
활동 타임라인
인싯트 그룹은 2021년 6월의 최근 RedFoxtrot 보고서에서 예시된 것처럼 다양한 중국 국가 지원 위협 활동 그룹을 추적하고 정기적으로 보고하고 있습니다. 이러한 그룹을 추적하는 데 사용되는 방법 중 하나는 적대적 인프라 탐지 방법과 기록된 미래 네트워크 트래픽 분석(NTA) 데이터를 결합하는 것입니다. 알려진 중국 국가 지원 행위자와 관련된 악성 인프라를 추적한 결과, 지난 한 해 동안 4개의 개별 활동 그룹과 연결된 로샨을 표적으로 삼은 여러 건의 동시 침입을 확인했습니다:
- 로샨을 표적으로 삼은 가장 먼저 확인된 활동은 중국 국가 지원 그룹으로 의심되는 칼립소 APT와 관련이 있으며, 최소 2020년 7월부터 2021년 9월까지 진행되었고 작년 8월에 인식트 그룹에서 처음 보고했습니다.
- 최근에는 최소 2021년 3월부터 5월까지 동일한 로샨 서버가 레드폭스트롯 플러그엑스 명령 및 제어 인프라와 통신하는 것이 확인되었습니다. 이 기간 동안 레드폭스트롯은 또 다른 아프가니스탄 통신 조직을 표적으로 삼은 것으로 확인되었습니다.
- 두 개의 다른 클러스터도 동일한 로샨 메일 서버를 표적으로 삼고 있었습니다. 이를 각각 윈티 클러스터와 플러그엑스 클러스터라고 하며 아래 섹션에서 자세히 설명합니다. 이 두 클러스터는 서로 또는 칼립소 APT 및 레드폭스트롯 활동과 관련이 없는 것으로 보이지만, 현재로서는 추적된 활동 그룹에 연결할 수 없습니다.
그림 1: 아프가니스탄 지정학적 보고와 로샨 NTA 데이터 유출 사건의 타임라인(출처: 레코디드 퓨처)
동일한 국가의 후원을 받는 활동 그룹이 동일한 조직을 표적으로 삼는 것은 특히 중국의 적들에게 드문 일이 아닙니다. 이러한 그룹 중 상당수는 별도의 정보 요구 사항을 가지고 있으며, 중국 정보 기관의 규모 때문에 표적 지정 및 수집에 있어 조율되지 않는 경우가 많습니다. 이 경우 그림 1에서 볼 수 있듯이 2021년 8월과 9월에 칼립소 APT 및 윈티 침입과 관련된 데이터 유출 이벤트가 증가했습니다. 이는 아프가니스탄을 겨냥한 역사적 전략 수집뿐만 아니라 주요 지정학적 사건에 따른 활동의 집중을 나타냅니다.
아프가니스탄은 특히 미국의 철군 이후 여러 가지 이유로 중국에게 전략적으로 중요한 국가입니다. 우선, 중국은 아프가니스탄 내에서 영향력을 강화하여 지역 불안정과 극단주의가 중국과 접경한 신장 위구르 자치구 및 다른 중앙아시아 국가로 확산되는 것을 방지하고자 할 것입니다. 이러한 문제는 국가 안보에 대한 우려와 일대일로 이니셔티브(BRI) 주요 투자를 포함하여 이 지역에서 중국의 이익을 보호해야 할 필요성을 제기합니다. 미국의 철수는 또한 중국에게 아프가니스탄 내에서 새로운 주요 BRI 연계 및 채굴 산업 프로젝트의 기회를 제공합니다.
기술 분석
그림 2: 로샨 침입에 사용된 인프라 차트(출처: Recorded Future)
그림 2에서 볼 수 있듯이, 손상된 로샨 서버는 다양한 공격자 C2 인프라와 통신하는 것으로 확인되었으며, 특히 중국 국가 지원 그룹에서 일반적으로 사용하는 플러그엑스 멀웨어 제품군과 연관되어 있습니다. 아래 섹션에는 그룹별 침입 활동에 대한 분석이 포함되어 있습니다.
레드폭스트롯
2021년 6월, 인식트 그룹은 최소 2014년부터 남아시아 및 중앙아시아 전역의 정부, 국방, 통신 조직을 대상으로 한 레드폭스트롯의 활동에 대해 보고했습니다. 이 활동 그룹은 레드폭스트롯으로 의심되는 운영자의 허술한 보안을 통해 신장 우루무치에 위치한 인민해방군 전략지원군(PLASSF) 네트워크 시스템 부서(NSD) 69010 부대와 연결되었습니다. 이 그룹은 중국 그룹과 흔히 연관된 맞춤형 멀웨어 변종인 IceFog, QUICKHEAL, RoyalRoad를 비롯하여 중국과 연계된 위협 공격자들이 자주 사용하는 포이즌 아이비, 플러그엑스, PC쉐어 등 널리 사용되는 기타 툴을 사용합니다.
2021년 7월과 9월의 후속 분석에서는 공개 이후 레드폭스트롯이 대량의 운영 인프라를 포기하는 것을 확인했으며, 인도와 파키스탄의 정부 및 국방 부문에서 새롭게 확인된 여러 피해자에 대해 보고했습니다. 로샨을 표적으로 삼은 레드폭스트롯 활동은 2021년 6월 그룹에 대한 공개 보고 이전에 중단되었으며 다음 플러그엑스 명령 및 제어 인프라와 연결되어 있습니다:
| C2 도메인 | 마지막으로 본 C2 IP 주소 | 마지막으로 본 활동 날짜 |
| randomanalyze.freetcp[.]com | 143.110.250[.]149 | 2021년 4월 4일 |
| darkpapa.chickenkiller[.]com | 149.28.139[.]86 | 2021년 5월 5일 |
| dhsg123.jkub[.]com | 159.65.152[.]7
143.110.242[.]139 |
2021년 4월 21일 |
표 1: 로샨 인트루전의 RedFoxtrot PlugX 표시기
칼립소 APT
2021년 3월, 인싯트 그룹은 다른 여러 중국 국가 지원 그룹과 함께 프록시로그온 익스플로잇 체인(CVE-2021-26855, CVE-2021-27065)을 사용하여 Microsoft Exchange 서버를 대상으로 대규모 익스플로잇 캠페인을 수행하는 칼립소 APT를 보고한 바 있습니다. 이 활동에서 강조된 플러그엑스 C2 도메인 중 하나인 www.membrig[.]com, 은 활성 상태로 유지되며 로샨을 대상으로 하는 지속적인 침입 활동과 연결되어 있습니다.
| C2 도메인 | 마지막으로 본 C2 IP 주소 | 마지막으로 본 활동 날짜 |
| www.membrig[.]com | 103.30.17[.]20 | 2021년 9월 12일 |
표 2: 로샨 침입의 칼립소 APT 지표
알 수 없는 윈티 클러스터
윈티 백도어는 역사적으로 APT41/Barium, APT17, 그리고 가장 최근에는 인식트 그룹이 TAG-22로 추적하는 그룹을 포함한 여러 중국 국가 지원 그룹에서 사용되었습니다. 윈티 백도어는 일반적으로 중국 국가안전부(MSS)를 대신하여 활동하는 느슨하게 연결된 여러 민간 계약자 그룹과 연결된 활동과 관련이 있습니다. 2020년 9월, 미국 법무부(DoJ)는 전 세계 100명 이상의 피해자를 대상으로 광범위한 침입 작전을 수행한 혐의로 윈티 멀웨어에 액세스한 APT41에 연결된 5명의 중국 국적자를 기소했습니다.
로샨 표적 공격과 관련하여, 표적이 된 로샨 서버와 Winnti C2 45.76.144[.]44에서 높은 수준의 데이터 유출 활동을 확인했습니다, 최소 8월 17일부터 2021년 9월 12일까지입니다. 이 윈티 C2 인프라를 알려진 그룹과 연결할 수는 없었지만, 위에서 강조한 레드폭스트롯 및 칼립소 APT 활동과는 별개의 활동일 가능성이 매우 높습니다.
알 수 없는 플러그엑스 클러스터
마지막으로, 동일한 로샨 메일 서버가 2021년 4월부터 8월까지 추가 플러그엑스 C2 서버와 통신하는 것도 확인되었습니다. 이 플러그엑스 C2(45.86.162[.]135)는 호주에 본사를 둔 PS 호스팅 리셀러 크라운클라우드와 연결되어 있습니다.
전망
중앙아시아 전역에서 중국의 국가 지원을 받는 여러 단체가 여전히 활발하게 활동하고 있으며, 각기 다른 임무와 지휘 체계로 인해 조율되지 않은 방식으로 활동하는 경우가 많습니다. 인도, 남중국해 등 다른 지정학적 요충지와 마찬가지로 아프가니스탄은 미국의 철수와 탈레반의 점령 이후에도 중국 정부의 정보 수집의 주요 표적이 될 가능성이 높습니다. 항상 사이버 스파이 활동의 주요 표적이 되는 통신 조직은 보유한 데이터의 정보 가치로 인해 이 지역 내에서 특히 높은 위험에 노출되어 있습니다. 또한 중국 정부는 일대일로 이니셔티브에 참여하는 국가의 통신 부문에 영향을 미치는 것을 전략적 우선 순위 로 삼고 있으며, 글로벌 인터넷 거버넌스 논의에서 영향력을 확대하고 있습니다.
관련