취약한 마이크로소프트 익스체인지 서버를 악용하는 중국 그룹 칼립소 APT 의심 사례

게시일: 2021년 3월 25일

작성자: Insikt Group

Suspected Chinese Group Calypso APT Exploiting Vulnerable Microsoft Exchange Servers

Beginning on March 1, 2021, Recorded Future’s Insikt Group identified a large increase in victim communications to PlugX command and control (C2) infrastructure publicly attributed to the suspected Chinese state-sponsored group Calypso APT. We believe that this activity is highly likely linked to the exploitation of recently disclosed Microsoft Exchange vulnerabilities (also known as ProxyLogon — CVE-2021-26855, CVE-2021-27065). Our observations align with recent reporting by ESET in which the group was identified targeting vulnerable Exchange servers to deploy a web shell and ultimately load the PlugX malware post-exploitation.

표적이 된 조직은 지리적으로 광범위하고 여러 산업에 걸쳐 있었으며, 이는 표적 공격이 기회주의적일 가능성이 높다는 업계의 의견을 뒷받침합니다. 익스플로잇 이후 활동이 확인된 피해자는 호주, 체코, 독일, 인도, 이탈리아, 카자흐스탄, 마케도니아, 네팔, 스위스, 우크라이나, 미국의 지방 및 중앙 정부를 비롯하여 소프트웨어, 국방, 금융, IT, 법률 및 제조 조직을 포함했습니다. 국방 및 항공우주 분야에 서비스를 제공하는 미국 전자 부품 유통업체, 전략 방위 분야에 진출한 인도 중공업 회사, 미국과 호주의 지방 정부, 북마케도니아 중앙 정부 부처 등 여러 고가치 목표가 영향을 받았을 가능성이 있는 것으로 확인되었습니다.

인식트 그룹이 확인한 활동은 취약점이 공개되기 전인 2021년 3월 1일에 시작되었습니다. 이는 이 그룹이 마이크로소프트의 공개 이전에 제로데이에 익스플로잇에 액세스했을 가능성이 높다는 것을 의미하며, ESET의 유사한 평가를 뒷받침합니다.

인프라 및 멀웨어 분석

Insikt Group은 PTSecurity 및 ESET의 Calypso APT에 대한 공개 보고와 겹치는 플러그엑스 C2 서버 및 관련 인프라 클러스터를 추적하고 있습니다. 2020년 8월, 아프가니스탄 통신 제공업체와 정부 기관을 대상으로 한 침입 의심 활동이 확인된 후 이 인프라 클러스터와 관련된 활동을 고객에게 처음 보고했습니다. 식별된 클러스터는 아래 표 1에 요약되어 있습니다:

현재 호스팅 IP	도메인	등록 기관	등록됨
91.220.203[.]197 () [PlugX C2]	www.membrig[.]com	NAMECHEAP INC	2018-12-13
103.30.17[.]44 ()	www.draconess[.]com	NAMECHEAP INC	2018-02-05
91.220.203[.]86 () [PlugX C2]	www.rosyfund[.]com	광동 나이시니케 정보 기술 유한 회사	2018-12-13
45.144.242[.]216 () [PlugX C2]	www.sultris[.]com	NAMECHEAP INC	2018-02-02
91.220.203[.]86 () [PlugX C2]	www.yolkish[.]com	NAMECHEAP INC	2018-01-29
45.76.84[.]36 ()	mail.prowesoo[.]com	NAMECHEAP INC	2018-02-02
45.76.84[.]36 ()	www.waxgon[.]com	NAMECHEAP INC	2018-01-31
107.248.220[.]246 ()	www.rawfuns[.]com1	니케닉 인터내셔널 그룹 유한회사	2018-02-05
45.76.84[.]36 ()	mail.aztecoo[.]com	니케닉 인터내셔널 그룹 유한회사	2018-02-05

표 1: Suspected Calypso APT infrastructure cluster

플러그엑스 클러스터를 조사하면서 칼립소 APT의 인프라 전술, 기법 및 절차(TTP)에 대해 다음과 같은 높은 수준의 관찰을 할 수 있었습니다:

대부분의 도메인은 "www"를 사용했습니다. 루트 도메인에 대한 DNS 레코드가 없는 C2용 하위 도메인
대부분의 도메인은 등록 기관인 NameCheap을 사용하여 등록되었습니다.
2년 이상 운영 중인 C2 도메인
운영 인프라가 호스팅되었습니다:
- M247 Ltd
- 글로벌 네트워크 환승 제한
- PEG TECH INC
- 웹 웍스 인도 Pvt. Ltd
- Choopa LLC

Insikt Group은 식별된 인프라와 연결된 다음 멀웨어 샘플을 확인했으며, 이 중 2개가 ESET의 보고에 포함되어 있습니다. 현재로서는 이러한 샘플에 대한 광범위한 분석은 수행하지 않았습니다:

파일 이름	SHA256 해시	멀웨어 변종	C2 IP/도메인
FORTITRAY.EXE	913fa95829ba3f77c0673f0af5c6afaeb6e6a2bdd0e98c186df65f1d27b9dc1f	알 수 없음	www.yolkish[.]com
msf.exe	f32866258b67f041dc7858a59ea8afcd1297579ef50d4ebcec8775c816eb2da9	미터프리터	45.144.242[.]216
SRVCON.OCX	5d803a47d6bb7f68d4e735262bb7253def6aaab03122b05fec468865a1babe32	플러그엑스 로더	yolkish[.]com 및 rawfuns[.]com
rapi.dll	ab678bbd30328e20faed53ead07c2f29646eb8042402305264388543319e949c	화이트버드 로더	yolkish[.]com 및 rawfuns[.]com

칼립소의 마이크로소프트 익스체인지 서버 표적화 및 피해자 분석

chinese-group-calypso-exploiting-microsoft-exchange-2-1.png 그림 1: Timeline of PlugX C2 91.220.203[.]86 (Source: Recorded Future)

Recorded Future first identified the IP 91.220.203[.]86 as a suspected PlugX C2 on November 14, 2020. Using Recorded Future Network Traffic Analysis (NTA), we detected a large increase in activity linked to this C2 server from victim IP addresses hosting Microsoft Exchange services from March 1, 2021 onwards. We believe that this increase in activity is very likely linked to the widespread exploitation of recently publicized vulnerabilities impacting Microsoft Exchange, which were first disclosed on March 2, 2021.

2021년 3월 10일, ESET은 주로 중국 국가가 후원하는 다양한 위협 활동 그룹이 사전 인증 원격 코드 실행(RCE) 취약점 체인을 악용하여 공격자가 인터넷에 연결된 Microsoft Exchange 서버에 처음 액세스할 수 있도록 하는 것에 대해 보고했습니다:

CVE-2021-26855 [ProxyLogon]
CVE-2021-26857
CVE-2021-26858
CVE-2021-27065

First reported by Microsoft on March 2, exploitation of these vulnerabilities was initially linked to a China-based activity group tracked as HAFNIUM by Microsoft Threat Intelligence Center (MSTIC). ESET’s findings indicate that the vulnerabilities began to be exploited by additional Chinese activity groups, including Tick, LuckyMouse, and Calypso APT, in late February and early March. This activity occurred prior to the public disclosure of these vulnerabilities and suggests that these additional Chinese activity groups also had access to the exploit as a zero day. While initially exploited by HAFNIUM in “limited and targeted attacks”, from at least February 27 onwards, the vulnerabilities were subject to mass exploitation by an increasing number of groups (1,2,3).

This aforementioned PlugX C2 IP 91.220.203[.]86 currently hosts the domain www[.]yolkish[.]com, referenced within the aforementioned ESET reporting on the exploitation of Microsoft Exchange vulnerabilities. In this activity, the group was identified dropping web shells in the following locations following exploitation:

C:\inetpub\wwwroot\aspnet_client\client.aspx

C:\inetpub\wwwroot\aspnet_client\discover.aspx

완화 조치

Using this web shell access, Calypso APT was then identified loading the aforementioned PlugX and Whitebird malware samples through DLL search-order hijacking using legitimate executables. Insikt Group identified over 30 likely victim organizations communicating with the 91.220.203[.]86 PlugX C2 across a range of geographies and industry verticals, including local and national government, software, defense, finance, IT, legal, and manufacturing organizations in Australia, Czech Republic, Germany, India, Italy, Kazakhstan, Macedonia, Nepal, Switzerland, Ukraine, and the United States. Several of these organizations were not typical targets of cyber espionage activity, supporting wider industry commentary that much of the targeting is likely opportunistic.

식별된 Calypso APT 활동과 관련된 활동을 탐지하고 완화하기 위해 다음 조치를 권장합니다:

부록에 나열된 외부 IP 주소 및 도메인에 대해 경고하도록 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 또는 네트워크 방어 메커니즘을 구성하고, 검토 후 해당 주소 및 도메인에 대한 연결 시도를 차단하는 것을 고려하세요.
레코딩된 미래는 명령 및 제어 보안 제어 피드에서 악성 서버 구성을 사전에 감지하고 기록합니다. 명령 및 제어 목록에는 칼립소 및 중국 국가가 후원하는 위협 활동 그룹(예: 플러그엑스)이 사용하는 도구가 포함되어 있습니다. 레코딩된 미래 클라이언트는 이러한 C2 서버를 경고하고 차단하여 활성 침입을 탐지하고 해결할 수 있도록 해야 합니다.
온-프레미스 Microsoft Exchange를 실행 중인 경우 최신 업데이트가 설치되어 있고 패치의 유효성이 검사되었는지 확인하세요.
Following deployment of updates, follow industry guidance on hunting for web shells installed on Exchange servers post-exploitation (1, 2).

타협 지표

독자는 Insikt Group의 공개 Github 리포지토리( https://github.com/Insikt-Group/Research)에서 아래 나열된 지표에 액세스할 수 있습니다.