중국 국가 지원 활동 그룹 TAG-22, 윈티 및 기타 도구를 사용하여 네팔, 필리핀, 대만 표적 공격

레코디드 퓨처는 네팔, 필리핀, 대만, 그리고 역사적으로 홍콩의 통신, 학계, 연구 개발, 정부 기관을 표적으로 삼는 중국 국가 후원 단체로 의심되는 위협 활동 그룹 22(TAG-22)를 추적하고 있습니다. 가장 최근 활동에서 이 그룹은 초기 접속 작업에서 손상된 GlassFish 서버와 Cobalt Strike를 사용한 후, 전용 액터 프로비저닝 명령 및 제어 인프라를 사용하여 장기 접속을 위해 맞춤형 Winnti, ShadowPad 및 Spyder 백도어로 전환했을 가능성이 높습니다.

배경

2020년 9월, 레코디드 퓨처 고객은 공유 사용자 지정 백도어 윈티와 섀도우패드의 사용자와 연결된 활동에 대한 보고서를 받았습니다. 이 활동은 홍콩의 한 대학과 공항을 대상으로 진행되었습니다. 이러한 침입에 사용된 인프라와 멀웨어는 윈티 그룹 활동에 대한 ESET 및 NTT 그룹의 이전 보고와 직접적으로 겹칩니다. 또한 몽골의 주요 인증 기관(CA)인 MonPass의 공식 웹 사이트에서 발견된 코발트 스트라이크로 백도어된 설치 프로그램을 설명한 Avast에서 최근 보고한 활동과 수많은 인프라 및 멀웨어가 겹치는 부분이 있습니다. 섀도우패드와 윈티 백도어는 모두 여러 중국 활동 그룹에서 공유됩니다. 특히 윈티는 역사적으로 APT41/Barium과 APT17에서 모두 사용되었으며, 일반적으로 중국 국가안전부(MSS)를 대신하여 활동하는 느슨하게 연결된 여러 민간 계약자 그룹과 연관된 활동과 연관되어 있습니다. 이 경우 Insikt Group은 이 보고서와 이전 보고서에 설명된 활동 클러스터를 임시 명칭인 위협 활동 그룹 22(TAG-22)를 사용하여 추적하고 있으며, FireEye와 Microsoft가 각각 APT41 및 Barium으로 클러스터링한 활동과 일부 중복되는 기록에 주목하고 있습니다.

손상된 GlassFish 인프라의 피해 사례 및 사용 방법

인식트 그룹은 수동 DNS 데이터와 ShadowPad, Winnti, 스파이더 백도어에 대한 공격자 C2 탐지 기술을 조합하여 TAG-22에 연결된 알려진 인프라와 도메인을 추적합니다. 2021년 6월, 기록된 미래 네트워크 트래픽 분석(NTA) 데이터를 사용하여 대만, 네팔, 필리핀의 다음 조직을 표적으로 하는 TAG-22 침입을 확인했습니다:

• 대만의 산업기술연구소(ITRI)
• 네팔 텔레콤
• 정보 통신 기술학과(필리핀)

특히, ITRI는 다수의 대만 기술 기업을 설립하고 인큐베이팅한 기술 연구 개발 기관으로서 그 역할이 주목할 만합니다. ITRI의 웹사이트에 따르면, 이 기관은 특히 스마트 생활, 양질의 건강, 지속 가능한 환경 및 기술과 관련된 연구 개발 프로젝트에 집중하고 있으며, 이 중 상당수는 인식트 그룹이 향후 중국 경제 스파이 활동의 유력한 분야로 강조했던 중국의 14차 5개년 계획에 따른 개발 우선순위와 일치합니다. 최근 몇 년 동안 중국 그룹은 대만의 반도체 산업 전반에 걸쳐 여러 조직을 표적으로 삼아 소스 코드, 소프트웨어 개발 키트 및 칩 설계를 입수했습니다.

이 4개 조직이 TAG-22 침입 활동의 의도된 최종 목표일 가능성이 높다고 생각하지만, TAG-22 C2 인프라와 통신하는 손상된 것으로 의심되는 여러 개의 GlassFish 서버도 확인했습니다. 이는 최근 NTT의 보고에 따른 것으로, 해당 그룹이 GlassFish 서버 소프트웨어 버전 3.1.2를 악용하는 것을 확인했습니다. 이하에 침입하여 침해된 인프라를 사용하여 침입 활동을 수행하며, 특히 Acunetix 스캐너를 사용하여 스캔하고 Cobalt Strike 공격 보안 도구(OST)를 배포합니다. NTT 연구원들에 따르면, 이 그룹은 침입 초기 단계에서 이 인프라를 사용하다가 ShadowPad, 스파이더, 윈티 임플란트를 제어하기 위한 전용 인프라로 전환했을 가능성이 높습니다. 전용 인프라를 위해 TAG-22는 주로 Namecheap과 Choopa(Vultr)의 가상 사설 서버(VPS)를 통해 등록된 도메인을 호스팅에 사용했습니다.

네팔 텔레콤 트레이드크래프트 사례 연구

녹화된 미래의 위협 인텔리전스 플랫폼에서 TAG-22 C2 도메인 vt.livehost[.]live를 쿼리하여 녹화된 미래의 C2 탐지 및 수동 DNS 데이터를 결합하는 Shadowpad 및 Spyder 백도어 링크를 확인했습니다.

그림 1: vt.livehost[.]com에 대한 악성 인프라 판정 결과 (출처: 레코딩된 미래)

이를 통해 TAG-22 IP 주소 139.180.141[.]227을 피벗하여 식별할 수 있습니다, 그룹이 Shadowpad와 Spyder 명령 및 제어에 모두 사용하는 것을 감지했습니다.

그림 2: TAG-22 C2 139.180.141[.]227용 인텔리전스 카드 (출처: 레코딩된 미래)

그림 3: 네팔 텔레콤에서 TAG-22 C2 인프라로의 샘플 유출 이벤트(출처: 레코디드 퓨처)

네트워크 트래픽 분석 이벤트를 사용하여 관련 악성 인프라를 추가로 식별하는 것 외에도 TAG-22 활동의 특정 피해자를 정확히 찾아낼 수 있었습니다. 위의 스크린샷은 네팔 텔레콤 IP에서 섀도우패드 및 스파이더 백도어 C2 139.180.141[.]227로 유출되는 이벤트를 보여줍니다, 유출 당시 vt.livehost[.]live 도메인을 호스팅한 업체입니다. 피해 IP 주소는 네팔 텔레콤에 할당되어 있지만, 통신 회사의 경우 해당 기업이 소유한 인프라의 대부분이 고객에게 임대되거나 제공되기 때문에 실제 피해 조직을 파악하는 데는 불충분한 경우가 많습니다. 이 경우 새로운 독점 VPN 및 지리 정보 확장 기능을 다른 강화 기능과 함께 사용하여 이 활동의 피해자를 정확히 찾아낼 수 있습니다.

그림 4: 네팔 텔레콤 IP 202.70.66[.]146을 위한 VPN 및 지리 정보 확장 (출처: 레코딩된 미래)

이 IP 주소에 대한 VPN 및 지리 정보 확장 프로그램 내에서 Google 지도 보기를 클릭하면 위치를 정확히 파악하고 네팔 텔레콤이 이 활동의 피해자일 가능성이 높다는 것을 확인할 수 있으며, 이 위치는 카트만두에 있는 네팔 텔레콤의 본사를 직접 가리키고 있습니다.

그림 5: 네팔 텔레콤 IP 202.70.66[.]146을 위한 VPN 및 지리 정보 확장 (출처: 레코딩된 미래)

멀웨어 분석

확인된 TAG-22 작전 인프라를 분석하여 이 그룹이 목표 환경에서 초기 발판을 마련하는 데 사용한 것으로 보이는 여러 코발트 스트라이크 샘플을 확인했습니다. 이 그룹은 또한 여러 샘플에 존재하는 디버깅 문자열을 기반으로 멀웨어 작성자가 피쉬마스터라고 부르는 것으로 보이는 맞춤형 코발트 스트라이크 로더를 사용했습니다:

(C:\사용자\테스트\데스크톱\피쉬마스터\x64\릴리즈\피쉬마스터.pdb)

"fish_master" 문자열은 다른 문자열에도 존재했습니다.

초기 액세스를 위해 이 그룹은 일반적으로 피쉬마스터 휴대용 실행 파일(PE)에 이중 확장자를 사용하여 Microsoft Office 또는 PDF 파일처럼 보이도록 했습니다:

• 2af96606c285542cb970d50d4740233d2cddf3e0fe165d1989afa29636ea11db - 광고 협력- DUKOU ICU.pdf.exe
• C2df9f77b7c823543a0528a28de3ca7acb2b1d587789abfe40f799282c279f7d - 履歷-王宣韓.docx.exe

각각의 경우, 실행 후 사용자에게 아래 표시된 대만인일 가능성이 있는 이력서와 같은 미끼 문서가 표시됩니다. 다른 경우에는 악성 매크로를 사용하여 피쉬마스터 로더를 드롭하는 경우도 있었습니다. 두 샘플 미끼 문서가 모두 한문으로 작성되었고 이력서에는 대만의 대학이 등장하며, 이 그룹이 대만을 더 광범위하게 타깃으로 삼았기 때문에 대만 조직이 이 특정 미끼의 표적이 되었을 가능성이 높다고 생각합니다.

그림 6: TAG-22 활동에 사용되는 미끼 문서

이 캠페인에서 TAG-22가 사용한 코발트 스트라이크 비콘 페이로드의 대부분은 다음과 같은 높은 수준의 네트워크 트래픽 특성을 포함하는 백오프 가변형 C2 프로파일을 사용하여 구성되었습니다:

사용자 에이전트: "Mozilla/5.0(Windows NT 6.1, rv:24.0) Gecko/20100101 Firefox/24.0" HTTP POST URI(복수 선택): /windebug/updcheck.php /에어캐나다/dark.php /aero2/fly.php /windowsxp/updcheck.php /hello/flash.php HTTP GET URI: /업데이트

모든 구성에는 코발트 스트라이크의 크랙 버전과 관련된 305419896 워터마크가 포함되어 있습니다.

전망

현재 인시크트 그룹은 ESET에서 윈티 그룹으로 정의한 더 넓은 그룹과 겹치는 독립적인 활동 클러스터로서 TAG-22 활동을 계속 추적하고 있습니다. TAG-22는 ShadowPad 및 Winnti를 비롯한 중국 국가 지원 그룹 특유의 공유 맞춤형 백도어를 사용하며, 코발트 스트라이크 및 아큐네틱스와 같은 오픈 소스 또는 공격적인 보안 도구도 사용합니다. TAG-22가 공개적으로 보고된 인프라를 지속적으로 사용한다는 것은 이 그룹이 운영과 관련하여 광범위한 공개 보고에도 불구하고 높은 수준의 운영 성공을 경험하고 있음을 나타냅니다. 인식트 그룹은 주로 아시아 지역에서 활동하는 TAG-22를 파악했습니다. 하지만 이 캠페인 외에도 이 그룹은 지역적으로나 산업별로 비교적 광범위한 타겟팅 범위를 가지고 있습니다. 윈티 백도어의 사용과 함께 이렇게 넓은 표적 범위는 APT17과 APT41을 비롯한 여러 지능형지속위협 공격으로 의심되는 공격자들의 전형적인 특징입니다.

침해 지표의 전체 목록은 Insikt Group의 Github 리포지토리를 참조하세요.