>
연구(Insikt)

중국 국영 그룹 TA413, 티베트 목표 달성을 위해 새로운 기능 도입

게시일: 2022년 9월 22일
작성자: Insikt Group®

insikt-group-logo-updated-3-300x48.png

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 내용입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

이 보고서는 중국 국가가 후원하는 것으로 추정되는 위협 활동 그룹 TA413이 수행한 여러 캠페인에 대해 자세히 설명합니다. 이 활동은 대규모 자동 네트워크 트래픽 분석과 전문가 분석의 조합을 통해 식별되었습니다. 이 보고서는 중국의 사이버 위협 활동과 관련된 전략 및 작전 정보 요구 사항이 있는 개인과 조직, 티베트의 이익과 관련된 인도주의 단체 및 기타 단체가 가장 관심을 가질 것입니다. 조기에 정보를 공유하고 협력해준 Sophos의 동료들에게 감사의 마음을 전합니다.

Executive Summary

레코디드 퓨처의 분석가들은 감시와 정보 수집을 목적으로 중국 국가가 후원하는 단체가 소수 민족 및 종교적 소수자 커뮤니티를 표적으로 삼는 것을 지속적으로 관찰하고 있습니다. 이전에는 이러한 성격의 활동 중 RedAlpha에 기인한 활동을 다루었습니다. 이후 티베트 커뮤니티를 특히 집요하게 표적으로 삼은 그룹을 추가로 확인했는데, 이 그룹은 오픈소스에서 흔히 TA413이라고 불립니다. 2022년 상반기에 TA413은 현재 패치된 Sophos 방화벽 제품(CVE-2022-1040)을 대상으로 하는 제로데이 취약점을 악용하고, 발견 및 발표 직후 "Follina" (CVE-2022-30190) 취약점을 무기화하며, 티베트 기업을 대상으로 하는 캠페인에 LOWZERO로 추적되는 새로운 맞춤형 백도어를 사용하는 것이 관찰되었습니다. 새로운 기술과 초기 접근 방법을 신속하게 통합하려는 이러한 의지는 로열 로드 RTF 무기화기처럼 잘 알려져 있고 보고된 능력을 지속적으로 사용하는 그룹과 종종 느슨한 인프라 조달 경향과 대조됩니다.

주요 판단

  • TA413은 중국 국가를 대신하여 사이버 스파이 활동을 수행하는 것으로 보입니다. 이 평가는 이 단체가 정보 수집 목적으로 티베트 커뮤니티를 지속적으로 표적으로 삼고, 다른 알려진 중국 국가 후원 단체와 공유되는 맞춤형 기능을 사용하며, 이를 뒷받침하는 기타 기술적 증거를 바탕으로 이루어졌습니다.
  • TA413은 여러 중국 국가 후원 그룹에 서비스를 제공하는 공유 기능 개발 파이프라인의 소비자일 가능성이 높으며, 이 그룹이 로열 로드 RTF 빌더를 지속적으로 사용하고, 여러 중국 연계 그룹이 사용하는 것으로 관찰된 Sophos 방화벽의 공유 제로데이 익스플로잇, TClient 백도어 같은 다른 공유 멀웨어 제품군에 대한 과거 액세스로 예시할 수 있습니다.
  • Sophos 방화벽 제로데이 취약점 CVE-2022-1040을 노리는 중국 국가 지원 그룹이 총 3개 이상 관찰되었습니다. 이러한 활동은 중국 국가가 후원하는 공격자들의 제로데이 사용이 지속적으로 증가하고 있으며, 중국 정보 기관과 연결된 그룹에서 익스플로잇을 포함한 맞춤형 기능을 지속적으로 공유하고 있다는 증거입니다.
  • TA413은 잘 알려진 오픈 소스 툴을 사용하지 않고 새로운 커스텀 백도어인 LOWZERO를 배포합니다.

배경

TA413의 활동이 처음 공개적으로 보고된 것은 2020년 9월, 이 단체가 티베트 커뮤니티를 지속적으로 표적으로 삼고 코로나19 팬데믹 초기 몇 달 동안 여러 유럽 단체를 잠시 표적으로 삼은 것이 관찰되면서 Proofpoint에 의해 처음 보고되었습니다. 이 활동에서 TA413은 여러 중국 국가 후원 그룹에서 공유되는 로열 로드 RTF 웨포나이저를 사용하여 세펄처로 추적된 맞춤형 멀웨어 제품군을 로드했습니다. 보다 역사적으로, TA413 인프라와 이메일 발신자 도메인은 티베트 단체를 대상으로 하는 공개적으로 보고된 ExileRAT 활동과 LuckyCat 안드로이드 멀웨어의 사용과도 연결되어 있습니다.

2021년 2월에는 FriarFox로 추적되는 맞춤형 악성 Mozilla Firefox 브라우저 확장 프로그램을 사용하는 TA413 활동이 추가로 보고되었습니다. FriarFox는 표적 사용자의 Gmail 계정에 대한 액세스 및 제어를 허용하고 자바스크립트 정찰 프레임워크 Scanbox와 관련된 명령 및 제어 인프라에 연결했습니다. 이 활동과 이 시기의 다른 관련 TA413 캠페인은 티베트 커뮤니티와 관련된 단체 및 개인을 대상으로 진행되었으며, 세펄처와 로열로드의 지속적인 사용을 특징으로 했습니다.

놀랍게도 TA413 공격자들은 최대 몇 년 동안 피싱 이메일 발신자 주소(예: tseringkanyaq@yahoo[.]com 및 mediabureauin@gmail[.]com)를 정기적으로 재사용하여 서로 다른 캠페인 활동을 이 그룹에 연결할 수 있었습니다. 또한 TA413과 공개적으로 보고된 트로픽 트루퍼(키보이, 해적판다) 활동 간의 역사적 상관관계를 관찰한 결과, 이들 클러스터 간에 어느 정도 중복되는 것으로 나타났습니다. 예를 들어, 2018년 12월 티베트 커뮤니티를 타깃으로 한 캠페인은 과거 TA413 활동과 관련된 발신자 이메일 주소 mediabureauin@gmail[.]com을 사용했으며, C2 인프라가 peopleoffreeworld[.]tk와 겹치는 것을 공유했습니다. 도메인은 Cisco Talos LuckyCat 캠페인에서 언급되었습니다. 이 감염 체인은 궁극적으로 시티즌 랩 , 트렌드 마이크로,PWC가 보고한 과거 트로픽 트로퍼 활동에서 발견된 맞춤형 TClient 백도어를 로드했습니다. TA413 및 트로픽 트루퍼 어트리뷰션 활동은 모두 URI 문자열 /qqqzqa를 사용했습니다. 최근 Check Point 연구원들은 중국어 그레이웨어인 "SMS 폭격기"와 함께 번들로 제공되는 TClient의 사용도 목격했습니다.

또한 트로픽 트루퍼 활동과 TA413 캠페인 사이에 관찰 가능한 인프라 중복이 있었습니다. 예를 들어, tibetnews[.]today 도메인 시티즌랩과 트렌드마이크로 보고서에서 언급된 이 공격은 2019년 초까지 포윈 텔레콤 IP 주소 118.99.13[.]68에서 호스팅되었으며, 이후 고유한 TA413 인프라 전술, 기술 및 절차(TTP)와 일치하는 여러 티베트 테마 도메인을 호스팅했습니다. 중요한 점은 시티즌 랩 보고서에서 캠페인과 그룹 이름이 혼용된 트로픽 트루퍼 클러스터에 대한 공개 보고와 관련해 모호한 부분이 있다는 점입니다. 또한, 중국 사이버 첩보 활동의 광범위한 동향을 고려할 때 이들 그룹이 역량 및/또는 인프라 파이프라인을 공유했으며 TA413이 더 광범위한 트로픽 트루퍼 활동의 하위 집합일 가능성도 높습니다.

위협/기술 분석

지난 몇 년 동안 티베트 커뮤니티와 관련된 조직과 개인을 대상으로 한 TA413의 활동을 지속적으로 관찰해 왔습니다. 이 그룹은 때때로 더 넓은 타깃으로 확장되기도 했지만, 이 커뮤니티를 타깃으로 하는 것은 꾸준히 지속되어 왔으며 거의 확실하게 이 그룹의 주요 정보 과제 중 하나를 나타냅니다. TA413은 또한 잘 알려진 툴셋과 인프라 TTP를 일관되게 사용하는 동시에 제로데이 또는 최근에 공개된 취약점을 감염 체인에 채택하는 데 있어 적응력과 민첩성을 입증하는 이례적인 조합을 보여주었습니다. 아래 섹션에서는 2022년 현재까지 관찰된 몇 가지 주목할 만한 TA413 캠페인 활동을 소개합니다.

최근 TA413 캠페인 활동 분석
소포스 방화벽 제로데이 익스플로잇

소포스는 2022년 3월 25일, 소포스 방화벽의 사용자 포털 및 웹 어드민에서 원격 코드 실행(RCE)을 허용하는 패치된 인증 우회 취약점에 대한 권고문을 발표했으며, 이는 CVE-2022-1040으로 추적되고 있습니다. 이 권고에 따르면, Sophos는 이 취약점이 주로 남아시아 지역의 소수의 표적 조직에 대한 초기 액세스 권한을 얻기 위해 악용되는 것을 관찰했습니다. 영향을 받은 모든 조직은 Sophos에서 직접 통보를 받았습니다. 그 후 Volexity와 Sophos는 CVE-2022-1040을 악용하는 여러 중국 국가 지원 위협 활동 그룹에 대한 연구를 발표했습니다 . 공개 보고 이전에 이 익스플로잇에 접근한 중국 국가 지원 위협 활동 그룹은 TA413을 포함하여 총 3개 이상 확인되었습니다.

TA413에 기인한 CVE-2022-1040 익스플로잇에서 관찰된 표적 공격은 이 그룹의 일반적인 활동과 일치합니다. 이 그룹은 익스플로잇 이후 활동에서 당시 여러 개의 알려진 TA413 도메인을 호스팅하는 Choopa(Vultr) IP 주소 192.46.213[.]63을 사용했습니다. 사후 익스플로잇에 사용된 두 번째 IP 주소, 134.122.129[.]102, 호스팅 어플라스틱[.]닷컴 활동 당시 TA413 도메인과 호스팅 기록이 겹치는 뉴스인디언[.]xyz 도메인을 사용했습니다.

중국_국가_후원_그룹_TA413_adopts_새로운_역량을_추구_하는_티베트an_목표_표1.png 표 1: CVE-2022-1040의 TA413 표적 공격과 연결된 익스플로잇 후 인프라(출처: 레코디드 퓨처)

로얄로드 RTF 웨폰라이저 계속 사용

TA413은 표적 피싱 시도에 공유된 로열 로드 RTF 무기화 도구의 변종을 계속 사용하고 있습니다. Royal Road는 중국 국가 후원 그룹에서 널리 공유되고 있으며, Microsoft Equation Editor의 취약점(CVE-2017-11882, CVE-2018-0798, CVE-2018-0802)을 악용하기 위한 악성 RTF 파일을 만들 수 있게 해줍니다. 2022년 5월, 구글 파이어베이스 서비스에서 호스팅되는 로열 로드 샘플 링크가 포함된 티베트 조직을 대상으로 한 표적 스피어피싱 시도를 확인했습니다. 이 그룹은 발신자 도메인 tibet[.]bet을 사용했습니다, 그룹 고유의 인프라 특성을 기반으로 TA413 활동과 연결한 적이 있으며, Proofpoint 보안 연구원도 이 캠페인을 그룹에 기인한 것으로 보고 있습니다.

중국_국가_후원_그룹_TA413_adopts_새로운_역량을_추구_하는_티베트an_목표_표2.png 표 2: 로얄 로드를 사용하여 무기화된 TA413 MalDoc(출처: 레코디드 퓨처)

RTF는 알려진 로열 로드 변종과 관련된 XOR 키 B2 A6 6D FF를 사용하여 인코딩된 dcnx18pwh.wmf라는 파일을 드롭합니다. 디코딩된 페이로드(028e07fa88736f405d24f0d465bc789c3bcbbc9278effb3b1b73653847e86cf8)는 궁극적으로 LOWZERO로 추적되는 맞춤형 백도어를 로드하고 TCP 포트 110을 통해 하드코딩된 C2 IP 주소 45.77.19[.]75에 접속합니다. LOWZERO에 대한 자세한 분석은 멀웨어 분석섹션에 포함되어 있습니다: TA413의 맞춤형 LOWZERO 백도어.

중국_국가_후원_그룹_TA413_adopts_새로운_역량을_추구_하는_티베트an_목표_그림1.png 그림 1: TA413이 사용하는 티베트어 로열로드 루어(출처: Recorded Future)

MSDT 취약점 익스플로잇 CVE-2022-30190(폴리나)

2022년 5월 30일, 티베트 망명 정부와 관련된 단체를 대상으로 한 스피어피싱 시도를 확인했습니다. 이 활동에서 공격자들은 티베트 중앙정부를 사칭하여 티베트 커뮤니티 내 여성 사진작가들을 지원하기 위한 사진 보조금이라는 주제를 사용했습니다. 피싱 이메일은 다시 발신자 도메인 tibet[.]bet을 사용했습니다. 피싱 이메일은 구글 파이어베이스 서비스와 관련된 하위 도메인인 티벳 정부 웹[.]앱에 호스팅된 파일로 연결됩니다, Proofpoint의 후속 오픈소스 보고에서도 언급된 바와 같이.

피싱 이메일은 두 차례에 걸쳐 전송되었는데, 첫 번째는 Microsoft Word .docx 파일로 연결되었습니다. Follina 취약점을 사용하려는 구글 파이어베이스 서비스에서 호스팅되는 첨부 파일과 악성 Microsoft Word 첨부 파일과 미끼 .png가 모두 포함된 .RAR 아카이브 파일에 연결된 두 번째 첨부 파일을 발견했습니다. 이미지 파일입니다.

중국_국가_후원_그룹_TA413_adopts_새로운_역량을_추구_하는_티베트an_목표_표3.png 표 3: 악성 TA413 .docx Follina 취약점을 악용하는 파일 (출처: Recorded Future)

중국_국가_후원_그룹_TA413_adopts_새로운_역량을_추구_하는_티베트an_목표_그림2.png 그림 2: 구글 파이어베이스 도메인에서 호스팅되는 RAR 파일의 내용: 미끼 PNG 파일(왼쪽)과 악성 .docx의 내용 파일(오른쪽) (출처: 레코딩된 미래)

Word 문서가 열리면 원격 웹 서버( http://65.20.75[.]158/poc.html)에서 HTML 파일 검색을 시도합니다. 다운로드된 HTML 파일은 ms-msdt MSProtocol URI 체계를 사용하여 Follina 익스플로잇을 트리거하고, 궁극적으로 Base64로 인코딩된 PowerShell 명령을 실행하여 http://65.20.75[.]158/0524x86110.exe에서 후속 페이로드를 다운로드합니다. 분석 당시 65.20.75[.]158은 최근 등록된 티베트 테마 도메인인 t1bet[.]net과 airjaldi[.]online도 호스팅했습니다, 인도의 ISP AirJaldi를 스푸핑합니다. 특히 에어잘디는 여러 티베트 단체에 인터넷 접속을 제공하는 다람살라 네트워크를 운영하고 있습니다.

중국_국가_후원_그룹_TA413_adopts_새로운_역량을_추구_하는_티베트an_목표_그림3.png 그림 3: TA413에서 Base64로 인코딩된 PowerShell 명령을 실행하고 후속 페이로드를 다운로드하는 데 사용되는 ms-msdt 명령(출처: Recorded Future)

중국_국가_후원_그룹_TA413_adopts_새로운_역량을_추구_하는_티베트an_목표_그림4.png 그림 4: 디코딩된 PowerShell 명령(출처: Recorded Future)

다운로드한 파일 0524x86110.exe는 UPX 압축되어 있고 SHA256 파일 해시 5217c2a1802b0b0fe5592f9437cdfd21f87da1b6ebdc917679ed084e40096bfd를 가집니다. 압축을 푼 UPX 파일은 또한 LOWZERO를 로드하고 포트 TCP 110을 통해 C2에 45.77.45[.]222의 Choopa C2 IP 주소를 사용합니다. 특히 45.77.45[.]222 이 활동 당시 tibetyouthcongress[.]com 도메인을 호스팅했는데, 이 도메인은 이전에 분석 결과 TA413의 소행으로 밝혀졌습니다.

TA413에서 사용 중인 기타 툴링

TA413의 활동을 추가로 분석한 결과, 이 그룹이 오픈소스 프록시 도구인 Stowaway를 사용하고 있다는 증거도 확인했습니다. 이는 IP 주소 134.122.129[.]38과 통신하도록 구성된 ELF 샘플(SHA256: 86f45f0d6778fda90a56ea8986a9124d768715af425784bbd1c371feeb2bfe68)의 식별을 기반으로 합니다, 이 IP가 TA413 도메인 freetibet[.]in을 호스팅한 시점과 거의 비슷한 시기에 공개 멀웨어 리포지토리에 업로드되었습니다. 특히, 카스퍼스키의 최근 보고에 따르면 스토어웨이는 중국 국가가 후원하는 것으로 추정되는 다른 그룹에서도 사용되고 있는 것으로 관찰되었습니다.

또한, 과거 검색 데이터를 통해 2022년 6월 TA413이 제어하는 서버 172.105.35[.]111에 존재하는 오픈 디렉터리를 확인했습니다. 발견 당시에는 더 이상 액세스할 수 없었지만, 존재하는 파일 중 하나의 이름은 fscan_amd64였습니다. 이는 이 그룹이 같은 이름의 파일을 사용하는 오픈 소스 내부 네트워크 스캐닝 도구인 fscan을 사용하고 있음을 나타내는 것으로 보입니다. 이 도구는 트렌드마이크로 연구진에 의해 중국 국가가 후원하는 것으로 의심되는 또 다른 공격자 TAG-22(Bronze University, Earth Lusca, Fishmonger, Red Dev 10)가 사용하는 것으로도 관찰되었습니다.

피해자학

최근의 모든 캠페인에서 TA413은 티베트 망명 정부와 관련된 단체를 포함하여 티베트 커뮤니티와 관련된 단체를 지속적으로 표적으로 삼는 것을 관찰했습니다. 이것이 이 그룹의 활동에서 큰 비중을 차지하는 것으로 보이지만, 오픈소스 보고에 따르면 2020년 코로나19 초기 단계에서 유럽 외교 및 입법 기관, 비영리 정책 연구 기관, 경제 문제를 다루는 글로벌 조직을 대상으로 한 TA413 활동도 단기간에 이루어진 것으로 확인되었습니다. 또한 기록된 미래 네트워크 트래픽 분석(NTA)을 사용하여 네팔의 여러 정부 기관과 관련된 인프라와 2022년 상반기에 TA413 C2 인프라와 정기적으로 통신하는 인도 인터넷 서비스 제공업체(ISP)의 기업 네트워크도 확인했습니다.

인프라 분석

TA413은 작전 인프라를 조달하고 무기화할 때 과거 공개 보고와 일치하는 일관된 인프라 TTP 세트를 계속 사용합니다. 이 그룹은 주로 GoDaddy를 통해 도메인을 등록하고 호스팅을 위해 Forewin Telecom, Choopa(Vultr), Linode를 조합하여 사용했습니다. 특히, 확인된 TA413 도메인의 대다수가 등록자 조직 이름인 "asfasf"를 사용했는데, 이는 왼손 키보드 홈 키의 일관된 키보드 워킹 때문인 것으로 보입니다. 이러한 TTP는 또한 과거 Proofpoint 보고에 소개된 것처럼 공개적으로 어트리뷰션된 TA413 도메인(예: vaccine-icmr[.]net)과도 일치합니다.

TA413은 또한 비정부 조직(티베트 국민회의, 티베트 청년회의 등) 및 미디어 조직( 티베트 타임즈 등) 등 티베트와 관련된 조직을 스푸핑하는 도메인을 주로 사용하고 있습니다. 이 그룹은 또한 원격 근무 고용 사이트인 FlexJobs와 인도 뉴스 회사인 Rediff News 등 더 광범위한 조직을 사칭하는 도메인을 등록했습니다.

중국_국가_후원_그룹_TA413_adopts_새로운_역량을_추구_하는_티베트an_목표_표4.png 표 4: 특정 조직을 스푸핑하는 TA413 도메인(출처: Recorded Future)

멀웨어 분석: TA413의 커스텀 로우제로 백도어

로우제로는 감염된 머신을 프로파일링하고 데이터를 명령 및 제어 서버로 전송한 후 실행할 추가 모듈을 수신하는 백도어입니다. 샌드박스 환경에서 실행하는 동안 추가 모듈이 관찰되지 않았기 때문에 모듈은 액터가 관심 있는 경우에만 전달되고 실행되는 것으로 판단됩니다. 이 모듈은 로우제로에 있는 기본 백도어 기능을 확장한 것으로 보입니다. 로우제로는 네트워크 리스너를 통해 수신한 통신을 이전에 수신한 데이터를 기반으로 정의된 다른 연결을 통해 외부로 프록시할 수도 있습니다.

다음 분석은 SHA256 해시 5217c2a1802b0b0fe5592f9437cdfd21f87da1b6ebdc917679ed084e40096bfd의 멀웨어 샘플에 대해 수행되었습니다.

실행 레이어

로우제로 실행 체인에는 여러 레이어/단계가 포함되어 있습니다:

  • 1단계 - 임베디드 DLL 파일의 압축을 풀고(2단계), XOR 복호화하여 실행합니다.
  • 2단계 - 일시 중단된 상태에서 rundll32.exe를 실행하고 3단계 DLL을 주입한 다음 3단계 DLL이 노출한 DllEntryPoint와 내보낸 함수 F를 호출합니다.
  • 3단계 - 내보낸 함수 F에는 백도어 기능이 포함되어 있습니다.

중국_국가_후원_그룹_TA413_adopts_새로운_역량을_추구_하는_티베트an_목표_그림5.png 그림 5: 로우제로 로딩 프로세스(출처: Recorded Future)

구성 분석

로우제로의 설정 정보는 3단계의 내보내기 함수 F에 버퍼로 전달되며, 설정 데이터는 암호화 및 압축됩니다. 압축 해제 알고리즘은 not 연산자를 적용하여 버퍼를 해독한 후에 적용됩니다. 압축 해제 알고리즘은 LZF(렘펠-지브-프리)일 가능성이 높습니다. 이 동일한 압축 해제 알고리즘은 Stage 2 dll의 압축 해제에도 사용되며 C2 통신을 위한 암호화/복호화 체계의 일부로 사용됩니다.

중국_국가_후원_그룹_TA413_adopts_새로운_역량을_추구_하는_티베트an_목표_그림6.png 그림 6: 암호화 및 압축된 구성 데이터(출처: Recorded Future)

그림 7은 복호화 및 압축 해제 후 구성 정보 버퍼의 내용을 보여줍니다.

중국_국가_후원_그룹_TA413_adopts_새로운_역량을_추구_하는_티베트an_목표_그림7.png 그림 7: 복호화 및 압축 해제된 구성 데이터(출처: Recorded Future)

캠페인 ID는 뮤텍스로 사용되며 구성 데이터에서 추출할 수 있습니다. 이 샘플에서 발견된 캠페인 ID는 8C9BB583-7C26-4990-AA73-E66F594A5AD5입니다.

이 단계에서는 C2 정보가 아직 난독화되어 있습니다. 문자열의 난독화를 부분적으로 해제하기 위해 각 바이트에 이진 not 연산자를 적용합니다. 그런 다음 사용자 지정 알파벳 Vhw4W3uB5OcY8qrp21NxbHs7ynSJFoPTEdAUtv9QagIDl6MR0KZkmjfeiCzGXL+/을 사용하여 문자열을 base64로 디코딩하여 최종 결과를 얻습니다. 최종 결과는 표 5와 같이 추출 및 구문 분석됩니다.

중국_국가_후원_그룹_TA413_adopts_새로운_역량을_추구_하는_티베트an_목표_표5.png 표 5: 추출된 C2 값(출처: Recorded Future)

C2 커뮤니케이션

이 LOWZERO 샘플은 비표준 TLS 포트(TCP 110)를 통한 TLS 버전 1.1 연결을 모방합니다. 그러나 TLS 연결은 사용자 지정이며 프로토콜 표준을 준수하지 않으며 겉으로 보기에 TLS처럼 보이도록 만들어졌을 가능성이 높습니다. 이렇게 하면 통신이 다른 TLS 트래픽과 혼합되는 동시에 행위자가 인증서 조달이나 관리에 대해 걱정하지 않아도 됩니다.

통신은 표준 TLS 핸드셰이크 구성 요소인 클라이언트 안녕하세요서버 안녕하세요로 시작됩니다. 서버 키 교환 중에 C2는 b113bc93dcd87d350850b7fd643c2c5aee678c3dcb717d1296b0cf57c749f0ab의 EC(타원 곡선) Diffie-Hellman 공개키를 전달합니다. 저희가 확인한 두 C2는 모두 동일한 공개 키를 사용한다는 점에 유의하세요.

TLS 헬로 패킷이 전송된 후, LOWZERO는 백도어가 런타임에 무작위로 생성하는 C2와 EC Diffie-Hellman 공개 키를 교환하므로 각 C2 세션은 다른 공개 키를 갖게 됩니다. 그림 8은 로우제로 백도어에서 C2로의 TLS 버전 1.1 핸드셰이크를 보여줍니다.

중국_국가_후원_그룹_TA413_adopts_새로운_역량을_추구_하는_티베트an_목표_그림8.png 그림 8: LOWZERO TLS 버전 1.1 핸드셰이크(출처: Recorded Future)

지금까지 C2 연결은 표준 TLS 1.1 핸드셰이크를 따르는 것처럼 보였습니다. TLS의 표준 구현에서는 클라이언트/서버 간에 데이터가 교환될 때 비대칭 암호화를 사용하여 대칭 키를 안전하게 교환한 다음 더 빠른 대칭 암호화로 전환하는 프로세스를 거칩니다. 하지만 LOWZERO는 프로토콜을 깨고 대칭 키를 안전하게 전송하기 위해 공개 키 암호화를 사용하지 않습니다. 대신 클라이언트 헬로 패킷의 랜덤 바이트와 서버 헬로 패킷의 랜덤 바 이트가 함께 XOR되어 C2 통신을 복호화/암호화하는 데 사용되는 AES 암호화 알고리즘의 키가 도출됩니다.

중국_국가_후원_그룹_TA413_adopts_새로운_역량을_추구_하는_티베트an_목표_그림9.png 그림 9: 로우제로 AES 암호화/복호화 키 생성(출처: Recorded Future)

로우제로 초기화 패킷

TLS 핸드셰이크와 AES 키 도출 후, LOWZERO는 다음과 같은 기본 시스템 및 사용자 정보를 C2로 전송합니다:

  1. 사용자 이름
  2. 캠페인 ID
  3. 프로세스 이름 및 프로세스 ID
  4. IP 주소
  5. 호스트 이름

그런 다음 데이터는 아래의 LOWZERO 사용자 지정 체계를 사용하여 인코딩 및 암호화되며 그림 10에도 나와 있습니다.

  1. LZF 압축
  2. 0x2b로 XOR
  3. 사용자 지정 알파벳으로 Base64 인코딩
  4. 무작위로 생성된 키로 AES 암호화(C2 전송 시 제공)
  5. 클라이언트/서버 랜덤 바이트 키의 XOR에서 파생된 키로 AES 암호화

트래픽의 암호 해독은 위의 작업을 역순으로 수행하면 가능합니다.

중국_국가_후원_그룹_TA413_adopts_새로운_역량을_추구_하는_티베트an_목표_그림10.png 그림 10: LOWZERO C2 암호화 체계(출처: Recorded Future)

그림 11은 C2와 주고받는 복호화된 AES 트래픽을 나타내는 C2 통신 구조를 보여줍니다. 응답의 핵심 부분은 명령(0x06)과 명령 데이터(0x0C)입니다.

중국_국가_후원_그룹_TA413_adopts_새로운_역량을_추구_하는_티베트an_목표_그림11.png 그림 11: 로우제로 C2 통신 구조(출처: 레코디드 퓨처)

로우제로 명령

로우제로는 한 번에 1개 이상의 명령을 수신한 다음(명령 구조는 그림 11 참조) 각 명령을 한 번에 하나씩 실행할 수 있습니다. 오프셋 0x10005090에 있는 함수는 명령을 구문 분석하고 실행하기 전에 명령 섹션의 시작 부분에 ASCII 값 PK를 나타내는 바이트가 있는지 확인하는 헤더 검사를 처리합니다. 명령 선택 사항은 다음과 같습니다:

중국_국가_후원_그룹_TA413_adopts_새로운_역량을_추구_하는_티베트an_목표_표6.png 표 6: LOWZERO 명령(출처: Recorded Future)

C2에서 모듈을 복구할 수 없었으며, 그 결과 모듈이 LOWZERO에 어떤 기능을 추가하는지 확인할 수 없었습니다.

약한 C2 프로토콜

AES 키는 TLS 핸드셰이크 자체에서 파생되기 때문에 캡처된 통신을 복호화할 수 있었습니다. 이를 통해 전송된 명령을 검토하고 피해 머신에 전달된 모든 모듈을 추출할 수 있습니다. 자세한 내용은 부록 C에 나와 있습니다.

완화 조치

  • 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 또는 네트워크 방어 메커니즘을 구성하여 부록 A에 연결된 외부 IP 주소 및 도메인에 대해 경고하도록 하고, 검토 후 해당 주소 및 도메인에 대한 연결 시도를 차단하는 것을 고려하세요.
  • 모든 외부 서비스 및 디바이스에 대한 보안 모니터링 및 탐지 기능을 갖추고 있는지 확인하세요. 웹셸, 백도어 또는 리버스 셸 배포와 같이 이러한 외부 대면 서비스를 악용한 후 발생할 수 있는 후속 활동을 모니터링합니다.
  • 기록된 미래 취약점 인텔리전스 모듈을 통해 결정된 대로 고위험 취약점과 야생에서 악용되는 취약점의 우선순위를 지정하여 취약점 패치를 위한 위험 기반 접근 방식을 보장합니다.
  • 기록된 미래 브랜드 인텔리전스 모듈을 통해 조직 및 공급업체를 스푸핑하는 타이포스쿼트 도메인과 같은 도메인 남용을 모니터링하세요.
  • 부록 B에 강조 표시된 MITRE ATT&CK 기술에 대한 탐지 및 강화 적용 범위를 사용합니다.

전망

저희의 연구 결과, 2022년 상반기에 중국 국가가 후원하는 것으로 추정되는 위협 활동 그룹 TA413이 티베트 커뮤니티를 지속적으로 표적으로 삼고 있는 것으로 확인되었습니다. 이 그룹은 새로운 기능을 지속적으로 통합하는 동시에 검증된 TTP에 의존하고 있습니다. 특히, 이 그룹이 사용하는 일부 툴과 인프라 관리 관행 사이에 극명한 대조를 보이는 것은 멀웨어 및 익스플로잇 개발에 관여하는 팀과 운영을 수행하는 팀이 분리되어 있음을 시사하는 것으로 보입니다. TA413은 주로 티베트인 표적 공격에 초점을 맞추고 있지만, 트로픽 트루퍼(키보이, 파이럿 팬더)로 알려진 그룹과 어느 정도 작전이 겹치는 것으로 보이는 여러 인프라 및 멀웨어와도 연관되어 있습니다. 더 광범위하게는 TA413이 제로데이 취약점과 최근에 발표된 취약점을 모두 채택한 것은 중국 사이버 첩보 그룹이 익스플로잇을 널리 공개하기 전에 여러 다른 중국 활동 그룹에서 정기적으로 사용하는 광범위한 경향을 나타냅니다.

관련