취약한 마이크로소프트 익스체인지 서버를 악용하는 중국 그룹 칼립소 APT 의심 사례
레코디드 퓨처의 인식트 그룹은 2021년 3월 1일부터 중국 국가 지원 그룹인 칼립소 APT로 의심되는 플러그엑스 명령 및 제어(C2) 인프라에 대한 피해자 통신이 공개적으로 크게 증가한 것을 확인했습니다. 이 활동은 최근 공개된 Microsoft Exchange 취약점(프록시로그온이라고도 함 - CVE-2021-26855, CVE-2021-27065)의 악용과 관련이 있을 가능성이 높다고 생각합니다. 이 그룹이 취약한 Exchange 서버를 표적으로 삼아 웹 셸을 배포하고 궁극적으로 익스플로잇 후 플러그엑스 멀웨어를 로드하는 것이 확인되었다는 ESET의 최근 보고와 일치합니다.
표적이 된 조직은 지리적으로 광범위하고 여러 산업에 걸쳐 있었으며, 이는 표적 공격이 기회주의적일 가능성이 높다는 업계의 의견을 뒷받침합니다. 익스플로잇 이후 활동이 확인된 피해자는 호주, 체코, 독일, 인도, 이탈리아, 카자흐스탄, 마케도니아, 네팔, 스위스, 우크라이나, 미국의 지방 및 중앙 정부를 비롯하여 소프트웨어, 국방, 금융, IT, 법률 및 제조 조직을 포함했습니다. 국방 및 항공우주 분야에 서비스를 제공하는 미국 전자 부품 유통업체, 전략 방위 분야에 진출한 인도 중공업 회사, 미국과 호주의 지방 정부, 북마케도니아 중앙 정부 부처 등 여러 고가치 목표가 영향을 받았을 가능성이 있는 것으로 확인되었습니다.
인식트 그룹이 확인한 활동은 취약점이 공개되기 전인 2021년 3월 1일에 시작되었습니다. 이는 이 그룹이 마이크로소프트의 공개 이전에 제로데이에 익스플로잇에 액세스했을 가능성이 높다는 것을 의미하며, ESET의 유사한 평가를 뒷받침합니다.
인프라 및 멀웨어 분석
Insikt Group은 PTSecurity 및 ESET의 Calypso APT에 대한 공개 보고와 겹치는 플러그엑스 C2 서버 및 관련 인프라 클러스터를 추적하고 있습니다. 2020년 8월, 아프가니스탄 통신 제공업체와 정부 기관을 대상으로 한 침입 의심 활동이 확인된 후 이 인프라 클러스터와 관련된 활동을 고객에게 처음 보고했습니다. 식별된 클러스터는 아래 표 1에 요약되어 있습니다:
| 현재 호스팅 IP | 도메인 | 등록 기관 | 등록됨 |
| 91.220.203[.]197 ()
[PlugX C2] |
www.membrig[.]com | NAMECHEAP INC | 2018-12-13 |
| 103.30.17[.]44 () | www.draconess[.]com | NAMECHEAP INC | 2018-02-05 |
| 91.220.203[.]86 ()
[PlugX C2] |
www.rosyfund[.]com | 광동 나이시니케 정보 기술 유한 회사 | 2018-12-13 |
| 45.144.242[.]216 ()
[PlugX C2] |
www.sultris[.]com | NAMECHEAP INC | 2018-02-02 |
| 91.220.203[.]86 ()
[PlugX C2] |
www.yolkish[.]com | NAMECHEAP INC | 2018-01-29 |
| 45.76.84[.]36
() |
mail.prowesoo[.]com | NAMECHEAP INC | 2018-02-02 |
| 45.76.84[.]36
() |
www.waxgon[.]com | NAMECHEAP INC | 2018-01-31 |
| 107.248.220[.]246
() |
www.rawfuns[.]com1 | 니케닉 인터내셔널 그룹 유한회사 | 2018-02-05 |
| 45.76.84[.]36
() |
mail.aztecoo[.]com | 니케닉 인터내셔널 그룹 유한회사 | 2018-02-05 |
표 1: 의심되는 칼립소 APT 인프라 클러스터
플러그엑스 클러스터를 조사하면서 칼립소 APT의 인프라 전술, 기법 및 절차(TTP)에 대해 다음과 같은 높은 수준의 관찰을 할 수 있었습니다:
- 대부분의 도메인은 "www"를 사용했습니다. 루트 도메인에 대한 DNS 레코드가 없는 C2용 하위 도메인
- 대부분의 도메인은 등록 기관인 NameCheap을 사용하여 등록되었습니다.
- 2년 이상 운영 중인 C2 도메인
- 운영 인프라가 호스팅되었습니다:
- M247 Ltd
- 글로벌 네트워크 환승 제한
- PEG TECH INC
- 웹 웍스 인도 Pvt. Ltd
- Choopa LLC
Insikt Group은 식별된 인프라와 연결된 다음 멀웨어 샘플을 확인했으며, 이 중 2개가 ESET의 보고에 포함되어 있습니다. 현재로서는 이러한 샘플에 대한 광범위한 분석은 수행하지 않았습니다:
| 파일 이름 | SHA256 해시 | 멀웨어 변종 | C2 IP/도메인 |
| FORTITRAY.EXE | 913fa95829ba3f77c0673f0af5c6afaeb6e6a2bdd0e98c186df65f1d27b9dc1f | 알 수 없음 | www.yolkish[.]com |
| msf.exe | f32866258b67f041dc7858a59ea8afcd1297579ef50d4ebcec8775c816eb2da9 | 미터프리터 | 45.144.242[.]216 |
| SRVCON.OCX | 5d803a47d6bb7f68d4e735262bb7253def6aaab03122b05fec468865a1babe32 | 플러그엑스 로더 | yolkish[.]com 및 rawfuns[.]com |
| rapi.dll | ab678bbd30328e20faed53ead07c2f29646eb8042402305264388543319e949c | 화이트버드 로더 | yolkish[.]com 및 rawfuns[.]com |
칼립소의 마이크로소프트 익스체인지 서버 표적화 및 피해자 분석
그림 1: 플러그엑스 C2 91.220.203[.]86의 타임라인 (출처: 레코딩된 미래)
레코디드 퓨처가 처음 식별한 IP 91.220.203[.]86 2020년 11월 14일에 플러그엑스 C2가 의심되는 것으로 확인되었습니다. 기록된 향후 네트워크 트래픽 분석(NTA)을 사용하여 2021년 3월 1일 이후 Microsoft Exchange 서비스를 호스팅하는 피해자 IP 주소에서 이 C2 서버에 연결된 활동이 크게 증가한 것을 감지했습니다. 이러한 활동의 증가는 2021년 3월 2일에 처음 공개된 Microsoft Exchange에 영향을 미치는 최근 공개된 취약점의 광범위한 악용과 관련이 있을 가능성이 매우 높다고 생각합니다.
2021년 3월 10일, ESET은 주로 중국 국가가 후원하는 다양한 위협 활동 그룹이 사전 인증 원격 코드 실행(RCE) 취약점 체인을 악용하여 공격자가 인터넷에 연결된 Microsoft Exchange 서버에 처음 액세스할 수 있도록 하는 것에 대해 보고했습니다:
- CVE-2021-26855 [프록시로그온]
- CVE-2021-26857
- CVE-2021-26858
- CVE-2021-27065
3월 2일에 Microsoft에서 처음 보고한 이 취약점의 악용은 처음에 Microsoft 위협 인텔리전스 센터(MSTIC)에서 HAFNIUM으로 추적한 중국 기반 활동 그룹과 관련이 있습니다. ESET의 조사 결과에 따르면 이 취약점은 2월 말과 3월 초에 Tick, LuckyMouse, Calypso APT를 비롯한 추가적인 중국 활동 그룹에 의해 악용되기 시작했습니다. 이 활동은 이러한 취약점이 공개되기 전에 발생했으며, 이 추가 중국 활동 그룹도 제로 데이로 익스플로잇에 액세스했음을 시사합니다. 처음에는 하프늄이 "제한적이고 표적화된 공격"으로 이 취약점을 악용했지만, 최소 2월 27일부터는 점점 더 많은 그룹 (1,2,3) 이 이 취약점을 대량으로 악용하기 시작했습니다.
앞서 언급한 플러그엑스 C2 IP 91.220.203[.]86 현재 www[.]yolkish[.]com 도메인을 호스팅하고 있습니다, 앞서 언급한 Microsoft Exchange 취약점 악용에 대한 ESET 보고서에서 언급된 내용을 참조하세요. 이 활동에서 이 그룹은 익스플로잇 후 다음 위치에 웹 셸을 드롭하는 것이 확인되었습니다:
C:\inetpub\wwwroot\aspnet_client\client.aspx
C:\inetpub\wwwroot\aspnet_client\discover.aspx
완화 조치
이 웹 셸 액세스를 사용하여 Calypso APT는 합법적인 실행 파일을 사용하여 DLL 검색 순서 탈취를 통해 앞서 언급한 플러그엑스 및 화이트버드 멀웨어 샘플을 로드하는 것이 확인되었습니다. 인식트 그룹은 91.220.203[.]86과 통신하는 30개 이상의 피해 가능성이 있는 조직을 확인했습니다. 호주, 체코, 독일, 인도, 이탈리아, 카자흐스탄, 마케도니아, 네팔, 스위스, 우크라이나, 미국의 지방 및 중앙 정부, 소프트웨어, 국방, 금융, IT, 법률 및 제조 조직을 포함한 다양한 지역 및 산업 분야에 걸쳐 플러그엑스 C2를 사용하고 있습니다. 이 중 몇몇 조직은 사이버 스파이 활동의 전형적인 표적이 아니었으며, 이러한 표적 공격의 대부분이 기회주의적일 가능성이 높다는 업계의 의견을 뒷받침합니다.
식별된 Calypso APT 활동과 관련된 활동을 탐지하고 완화하기 위해 다음 조치를 권장합니다:
- 부록에 나열된 외부 IP 주소 및 도메인에 대해 경고하도록 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 또는 네트워크 방어 메커니즘을 구성하고, 검토 후 해당 주소 및 도메인에 대한 연결 시도를 차단하는 것을 고려하세요.
- 레코딩된 미래는 명령 및 제어 보안 제어 피드에서 악성 서버 구성을 사전에 감지하고 기록합니다. 명령 및 제어 목록에는 칼립소 및 중국 국가가 후원하는 위협 활동 그룹(예: 플러그엑스)이 사용하는 도구가 포함되어 있습니다. 레코딩된 미래 클라이언트는 이러한 C2 서버를 경고하고 차단하여 활성 침입을 탐지하고 해결할 수 있도록 해야 합니다.
- 온-프레미스 Microsoft Exchange를 실행 중인 경우 최신 업데이트가 설치되어 있고 패치의 유효성이 검사되었는지 확인하세요.
- 업데이트를 배포한 후에는 익스플로잇 후 Exchange 서버에 설치된 웹 셸을 찾는 방법에 대한 업계 지침을 따르세요(1, 2).
타협 지표
독자는 Insikt Group의 공개 Github 리포지토리( https://github.com/Insikt-Group/Research)에서 아래 나열된 지표에 액세스할 수 있습니다.
관련