>
연구(Insikt)

중국 위협 행위자 템프페리스코프, 러시아 APT 기술을 사용하여 영국 기반 엔지니어링 회사를 표적으로 삼다

게시일: 2018년 11월 13일
작성자: Insikt Group

insikt-group-logo-updated-3-300x48.png

전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.

_범위참고: 레코디드 퓨처의 인식트 그룹은 영국에 본사를 둔 엔지니어링 회사를 표적으로 삼은 침입 사고와 관련된 네트워크 침해 지표 및 TTP를 분석했습니다. 소스에는 Recorded Future의 제품, VirusTotal, ReversingLabs, DomainTools Iris, PassiveTotal과 함께 타사 메타데이터 및 일반적인 OSINT 기술이 포함됩니다.

이 보고서는 미국, 유럽, 일본의 하이테크 엔지니어링 업계와 중국의 국가 지원 사이버 스파이 활동을 조사하는 기관에서 가장 큰 관심을 가질 것입니다.

Executive Summary

2018년 7월 초, 영국에 본사를 둔 엔지니어링 회사의 직원들이 스피어피싱 캠페인의 표적이 되어 피해를 입었습니다. 이 캠페인은 캄보디아의 정치, 인권, 중국 개발을 취재하는 프리랜서 저널리스트의 것으로 추정되는 이메일 주소도 표적으로 삼았습니다. 두 공격 모두 2018년 7월 선거를 앞두고 캄보디아 단체를 표적으로 삼은 중국 위협 행위자 TEMP.Periscope(일명 리바이어던)의 캠페인과 동일한 인프라를 사용한 것으로 보고 있습니다. 결정적으로, 템프페리스코프가 표적으로 삼은 영국 엔지니어링 회사에 대한 관심은 2017년 5월에 있었던 침입 미수 사건으로 거슬러 올라갑니다.

이 보고서에서 설명한 가용 데이터와 증거를 바탕으로 Recorded Future는 중국의 위협 행위자인 템프페리스코프가 러시아 위협 그룹 드래곤플라이와 APT28의 공개된 정교한 TTP를 재사용하여 영국 엔지니어링 회사를 공격했으며, 민감한 독점 기술 및 데이터에 액세스할 수 있을 것으로 중간 정도의 확신을 가지고 평가합니다. 저희는 템프페리스코프가 피해 네트워크에 접근하는 데 성공할 확률을 높이거나 연구자들을 혼란스럽게 하기 위해 허위 플래그를 배치하여 어트리뷰션을 회피하기 위해 공개된 TTP를 재사용한 것으로 보고 있습니다.

중국-위협-배우-템퍼리스코프-1-alt.png

일부 APT28, Dragonfly 및 TEMP.Periscope TTP 공개 및 활동의 타임라인입니다.

주요 판단

  • 공격자는 최근 캄보디아 정부를 표적으로 삼은 TEMP.Periscope 캠페인에서 확인된 명령 및 제어(C2) 도메인인 scsnewstoday[.]com을 사용한 것으로 보입니다.
  • 공격자는 중국 이메일 클라이언트인 Foxmail을 사용하여 스피어피싱 공격을 보냈습니다.
  • 이번 공격에는 중요 인프라를 표적으로 삼는 드래곤플라이 TTP로 문서화된 독특한 기법이 사용되었습니다. 이 기법은 악성 C2로 호출하는 스피어피시에서 "파일://" 경로를 사용하여 SMB 자격 증명을 획득하려고 시도합니다.
  • 이 공격은 오픈 소스 도구인 Responder의 버전을 NBT-NS 포이너로 사용한 것으로 추정됩니다. APT28은 2017년에 호텔에 투숙하는 여행객을 대상으로 한 공격에 리스폰더를 사용했습니다.
  • 이 영국 엔지니어링 회사는 2017년 9월에 미국의 엔지니어링 및 학술 단체를 표적으로 삼은 것과 동일한 C2 인프라를 사용한 2017년 5월 캠페인에서 템프페리스코프의 표적이 된 적이 있으며, 이는 프루프포인트의 리바이어던 보고서에 자세히 설명되어 있습니다.

배경

템프페리스코프는 국가가 후원하는 중국의 위협 행위자로, 2017년 10월 리바이어던이라는 그룹에 대한 보도가 나오면서 처음으로 대중의 주목을 받기 시작했습니다. 리바이어던은 고유한 오픈 소스 툴을 조합하여 해양 및 방위 산업을 첩보 활동의 대상으로 삼았습니다. 이 보고서는 적어도 2014년까지 거슬러 올라가는 이 그룹에 대한 자세한 내용을 담고 있습니다.

몇 달 후 미국과 유럽의 기업을 주로 표적으로 삼은 해양 및 방위 부문에 대한 추가 활동을 강조하는 보고서가 발표되었고, 그룹의 TTP에 대한 자세한 내용이 포함되었습니다. 이 활동에는 새로운 위협 행위자 이름인 TEMP.Periscope라는 태그가 붙었지만, 보고서 작성자들은 Leviathan과 TEMP.Periscope가 같은 그룹이라고 언급했습니다.

첨단 해양 엔지니어링 단체에 대한 표적 공격이 증가한 것은 남중국해(SCS) 영토 대부분에 대한 중국의 영유권 주장을 둘러싼 지역적 긴장이 고조되는 시기와 맞물려 있습니다. 2018년에는 남중국해 주변 국가를 노리는 중국의 사이버 스파이 활동이 계속 증가했으며, 2018년 7월 선거를 앞두고 캄보디아를 노린 템프페리스코프의 활동이 보고된 바 있습니다. 또한 2018년 초에 미 해군 계약업체를 대상으로 잠수함 기반 초음속 대함 미사일 개발 계획이 포함된 매우 민감한 데이터를 대량으로 도난당한 사건과 같은 공격은 중국이 미국과의 기술 격차를 줄이기 위해 첨단 해군 기술을 지속적으로 노리고 있다는 것을 보여줍니다.

위협 분석

감염 벡터

저희가 연구한 침입 시도는 전문 엔지니어링 솔루션을 제공하는 영국 회사의 네트워크를 표적으로 삼았습니다. 영국 엔지니어링 회사는 스피어피싱 시도에 대한 세부 정보를 Recorded Future와 공유했으며, 다음 IOC가 조사의 출발점이 되었습니다.

중국-위협-배우-템퍼리스코프-2-alt.png

이메일 헤더에 따르면 이 스피어피시는 2018년 7월 6일 오전 9시 30분(한국 시간 기준)에 폭스메일을 통해 전송된 것으로 밝혀졌습니다. Foxmail은 중국 3대 인터넷 서비스 회사 중 하나인 텐센트에서 개발한 프리웨어 이메일 클라이언트입니다. 폭스메일은 중국에서 매일 300만 명 이상의 사용자를 보유하고 있으며, 이전에 중국 APT 활동과 연관된 적이 있습니다.

영국 엔지니어링 회사 직원의 이메일 주소 외에도 캄보디아에 거주하는 언론인의 것으로 추정되는 이메일 주소에도 동일한 스피어피싱이 발송되었습니다. 발신자 계정은 캄보디아의 민사 및 사회 문제에 대해 글을 쓰고 프놈펜 포스트에 기고하는 호주 언론인이자 변호사를 사칭했습니다.

2018년 7월 캄보디아 선거를 노린 스피어피싱 캠페인에서 중국 위협 공격자 TEMP.Periscope는 발신자 주소를 위조하고 캄보디아 비정부기구(NGO) 직원을 사칭했습니다.

중국-위협-배우-템퍼리스코프-3-alt.png

표적이 된 영국 엔지니어링 회사가 공유한 스피어피싱 이메일의 스니펫입니다.

이 이메일에는 두 개의 악성 링크가 포함되어 있었습니다. 첫 번째, "file://" 링크를 클릭하면 SMB 세션이 생성됩니다. 두 번째 링크는 .url 파일도 아웃바운드 SMB 연결을 생성하도록 구성했습니다.

협박범은 캄보디아 기자로 가장하여 피해자에게 "신고 웹사이트"에 업로드할 추가 정보를 요청했습니다. 그러나 메시지의 맞춤법 및 구두점 오류로 인해 피해 조직의 네트워크 방어자들은 경고를 받았습니다.

이메일 헤더에 포함된 메타데이터와 SMB를 통한 파일 공유와의 제어된 상호 작용을 분석한 결과 침입 시도의 몇 가지 흥미로운 특징을 발견했습니다.

응답자: "NetBIOS 포이너"

먼저 SMB 파일 경로 링크를 분석했습니다. C2 82.118.242[.]243에서 호스트 이름 WIN-PRH492RQAFV가 관찰되었습니다. 피해 네트워크에서 SMB 자격 증명을 획득하려고 시도한 경우입니다. 그런 다음 호스트 이름 WIN-PRH492RQAFV가 GitHub의 Responder라는 파이썬 핵툴의 여러 포크 버전에 하드코딩되어 있음을 확인했습니다. 이 호스트명을 가진 Responder의 한 버전은 무료 파일 업로드 서비스인 BeeBin에 업로드된P4wnP11 빌드에서 발견되었고, 같은 호스트명을 가진 다른 버전은 PiBunny 내에서 발견되었습니다.

중국-위협-배우-템퍼리스코프-4-alt.png

GitHub의 응답자 수정 버전에 존재하는 WIN-PRH492RQAFV 문자열입니다.

리스폰더는 2014년 1월에 출시되었습니다. 공식 GitHub 리포지토리에 있는 README 파일에 다음과 같이 설명되어 있습니다: "응답자는 LLMNR, NBT-NS 및 MDNS 포이너입니다. 이름 접미사를 기반으로 특정 NBT-NS(NetBIOS 이름 서비스) 쿼리에 응답합니다(참조: http://support.microsoft.com/kb/163409). 기본적으로 이 도구는 SMB용 파일 서버 서비스 요청에 대해서만 응답합니다. 이 뒤에 숨은 개념은 우리의 답변을 타겟팅하고 네트워크에서 더 은밀하게 ..."

리스폰더의 악의적인 사용은 2017년 8월 11일 팬시 베어라고도 알려진 APT28이 사용하는 것으로 처음 공개적으로 문서화되었습니다. 이 도구는 호텔 방문객을 대상으로 NetBios 리소스를 스푸핑하는 데 사용되었습니다. 피해자들은 강제로 UDP 포트 137에 연결하고 SMB를 통해 APT28에 자격 증명을 공개하도록 강요받았으며, 위협 행위자는 이를 사용하여 네트워크에 대한 높은 수준의 액세스 권한을 얻었습니다.

러시아에서 더 많은 교훈을 얻으세요: "file://" 경로를 사용한 SMB 자격 증명 수집

리스폰더의 사용을 기반으로, 이 위협 행위자는 또 다른 러시아 위협 행위자인 드래곤플라이(Dragonfly, 에너지 곰 또는 웅크린 설인이라고도 함)의 기술을 차용한 것으로 보입니다.

경로 "file://82.118.242[.]243/[REDACTED]" 스피어피쉬에 사용된 공격자는 호스트가 SMB를 통해 가져오려고 시도하는 보이지 않는 이미지 태그를 생성하고 공격자에게 사용자의 NTLM 비밀번호의 해시값을 제공하여 SMB 자격 증명을 훔칠 수 있습니다. 코드를 실행할 때 브라우저는 보이지 않는 이미지 태그를 생성하고 "file://" 프로토콜 체계를 사용하여 공격 서버로 URL을 설정하며, 사용자의 로그인 NTLM 해시도 전송합니다. 이는 잠재적인 피해자의 지문을 채취하고 추후 공격 대상 네트워크에 침입하기 위한 자격 증명을 수집하는 데 효과적인 워터링홀을 만들었습니다.

"파일://" 경로를 활용하여 SMB 연결을 트리거하는 이 기법은 2018년 3월 15일에 US-CERT가 드래곤플라이 위협 행위자로 추정되는 러시아 정부 기관이 에너지 산업 및 기타 중요 인프라 부문을 표적으로 삼아 사용하는 정교한 기법으로 처음 공개적으로 자세히 설명했습니다.

82.118.242[.]243에서 호스팅되는 SWC?

위에서 설명한 SMB 자격 증명 도용과 관련된 IP인 82.118.242[.]243의 등록 세부 정보는 결정적이지 않은 것으로 판명되었습니다. WHOIS는 영국 ISP Virgin Media에 등록된 방대한 범위(82.0.0.0 - 82.47.255.255)의 IP를 참조했습니다. 그러나 MaxMind는 불가리아의 호스팅 제공업체인 Histate Global Corp.

쇼단에 나열된 취약점과 머신에 대한 검사 결과에 따르면 82.118.242[.]242는 Windows 인터넷 정보 서비스(IIS) 7.5를 실행하는 웹 서버일 가능성이 높습니다. 포트 22, 80, 88, 443, 445, 587, 902, 5985가 열려 있습니다.

중국-위협-배우-템퍼리스코프-5.png

82.118.242[.]243과 관련된 취약점일 가능성이 높습니다.

동일한 /24 CIDR 범위에 속하는 또 다른 IP 주소인 82.118.242[.]124, 는 2018년 7월에 비정상적으로 높은 위험도 점수인 89점을 기록하며 Recorded Future에 플래그가 지정되었습니다. 이는 Cisco Talos의 IOC 목록에 VPNFilter 봇넷과 관련된 2단계 멀웨어로 표시된 IP 때문이었습니다. 이 봇넷은 미국 법무부에 의해 APT28의 소행으로 밝혀졌습니다.

웹 서버 82.118.242[.]243의 취약점 기반 "file://" SMB 자격 증명 탈취 기법을 사용하여 피해자를 해당 IP로 유도하는 것으로 보아, 위협 행위자가 이 캠페인 기간 동안 웹 서버를 손상시키고 이를 피해자로부터 불법적으로 SMB 자격 증명을 획득하기 위한 표적 워터링홀로 사용한 것으로 추정됩니다.

WIN-AB2I27TG6FK 및 중국 위협 행위자 TEMP.Periscope

호스트 이름 WIN-AB2I27TG6FK는 VPN IP 193.180.255[.]2에서 스피어피시를 전송하는 디바이스의 NetBios 서버 이름으로 관찰되었습니다.

호스트 이름 WIN-AB2I27TG6FK에 대한 오픈 소스 조사 결과, 파일 이름에 호스트 이름이 포함된 여러 파일을 호스팅하는 URL scsnewstoday[.]com/news/의 오픈 디렉토리(Google 캐시 링크)가 발견되었습니다(아래 도메인 스냅샷 참조). 이 도메인은 이전에 중국 위협 행위자 TEMP.Periscope가 에어브레이크 다운로더를 제공하는 데 사용한 C2로 보고된 바 있습니다. Orz라고도 알려진 에어브레이크는 합법적인 서비스에서 감염된 웹페이지와 행위자가 제어하는 프로필의 숨겨진 문자열에서 명령을 검색하는 자바스크립트 기반 백도어입니다.

중국-위협-배우-템퍼리스코프-6-alt.png

http://scsnewstoday[.]com/news에서 호스팅되는 열린 디렉터리의 파일 목록입니다.

에어브레이크 외에도, scsnewstoday C2 서버는 캄보디아 선거를 앞두고 캄보디아 단체를 표적으로 삼은 TEMP.Periscope 악성 활동과 관련된 다른 멀웨어와 로그를 호스팅한 것으로 알려졌습니다. 영국 엔지니어링 회사를 대상으로 한 스피어피싱은 이 캠페인이 활발히 진행되던 2018년 7월 초에 발생했습니다. 오픈 디렉터리의 파일 이름에 사용된 명명 규칙으로 판단할 때, C2S와 S2C는 클라이언트-서버 및 서버-클라이언트 연결과 관련된 호스트 이름인 WIN-AB2I27TG6FK와 관련된 호스트 이름일 가능성이 높습니다(scsnewstoday[.]com과 관련된 것으로 평가). C2. 파일 이름의 호스트 이름이 TEMP.Periscope의 표적이 된 클라이언트 또는 피해자와 관련된 호스트 이름이라면 더 많은 파일이 나열될 것으로 예상됩니다.

도메인 scsnewstoday[.]com은 미국 IP 68.65.123[.]230에서 호스팅되었습니다. 2018년 7월 11일까지 도메인 호스팅 서비스인 Namecheap에 등록했습니다. C2 도메인에 대한 세부 정보가 하루 전에 공개되어 TEMP.Periscope 운영자들이 불안해하여 도메인이 삭제된 것으로 보입니다. 안타깝게도 오픈 디렉토리에 더 이상 액세스할 수 없어 WIN-AB2I27TG6FK 호스트 이름을 포함하는 세 개의 파일의 정확한 특성을 파악하는 데 어려움이 있었습니다.

업계 보고에 따르면, 중국 스파이 그룹인 템프페리스코프는 최소 2013년부터 대규모 피싱, 침입, 원격 액세스 트로이목마(RAT) 및 데이터 유출 활동을 수행해 왔습니다. 주로 엔지니어링, 해운 및 운송, 제조, 국방, 관공서, 연구 대학 등 여러 산업 분야의 해양 관련 기관을 타깃으로 삼았습니다. 하지만 전문 및 컨설팅 서비스, 하이테크 산업, 의료, 미디어 및 출판 분야도 타깃으로 삼고 있습니다.

스피어피시 발원 IP 193.180.255[.]2

이 IP는 이메일 헤더 정보에 X-Forwarded-For IP로 표시되어 스피어피시 발신자의 발신 IP 주소임을 나타냅니다. WHOIS 등록 데이터에 따르면 193.180.255[.]2는 인기 상용 VPN 서비스인 PrivateVPN의 전체 회사명인 Privat Kommunikation Sverige AB에 등록되어 있습니다. 이 회사는 TCP/UDP, L2TP, IPSEC, PPTP 및 IKEv2 프로토콜을 통한 OpenVPN을 지원한다고 명시하고 있습니다.

레코디드 퓨처는 193.180.255[.]2와 관련된 세 개의 VPN 연결을 확인했습니다. 2018년 6월 30일부터 7월 1일 사이의 IP입니다. 세 연결 모두 방글라데시 IP 103.198.138[.]187에서 시작된 UDP 500(IKE/IKEv2)을 통해 이루어졌습니다.

또한 2018년 7월 3일부터 7월 10일 사이에는 193.180.255[.]2 C2 82.118.242[.]243의 악성 SMB 자격 증명을 수집하기 위해 SSH(TCP 22), NetBios(TCP 139), Microsoft SMB(TCP 445) 연결을 설정했습니다. 흥미롭게도 이러한 연결은 스피어피싱이 전송된 7일 동안 발생했습니다.

영국 엔지니어링 회사를 대상으로 한 TEMP.Periscope의 과거 타겟팅 기록

7월의 이 공격에 앞서 2017년 5월에도 동일한 영국 엔지니어링 회사가 표적이 된 적이 있습니다. 이 캠페인은 이터널블루 익스플로잇과 고유한 DNS 터널러 백도어를 사용했습니다. 공격에 사용된 DNS 터널러는 티센크루프-마린시스템[.]org의 하위 도메인과 통신하도록 구성되었습니다. 이 도메인은 해양 엔지니어링을 전문으로 하는 독일 방위산업체 티센크루프 마린 시스템즈(ThyssenKrupp Marine Systems)를 사칭한 것이 분명합니다. 스푸핑된 도메인을 호스팅하는 것 외에도 네덜란드에 본사를 둔 HostSailor VPS IP 185.106.120[.]206을 호스팅합니다. 또한 위협 행위자가 사용하는 멀웨어와 도구가 포함된 개방형 디렉터리를 호스팅했는데, 이는 TEMP.Periscope scsnewstoday[.]com과 다르지 않습니다. C2를 열고 디렉터리를 설정합니다.

레코디드 퓨처가 스푸핑된 도메인을 분석한 결과, 이 서버는 2017년 8월 Leviathan(TEMP.Periscope라고도 알려진)이 또 다른 자바스크립트 백도어인 AIRBREAK를 실행하는 데 사용한 SeDll 자바스크립트 로더 SHA256: 146aa9a0ec013aa5bdba9ea9d29f59d48d43bc17c6a20b74bb8c521dbb5bc6f4를 호스팅하는 것으로 밝혀졌습니다. 결정적으로 리바이어던이 중국 위협 행위자로 처음 언급된 것은 2017년 10월로, 이는 템프페리스코프가 6개월 전에 동일한 인프라를 사용하여 영국 엔지니어링 회사를 표적으로 삼았다는 의미입니다.

2017년 11월, 마이크로소프트 이퀘이션 에디터 취약점 CVE-2017-11882를 활용한 또 다른 스피어피시가 영국 엔지니어링 회사에 발송되었습니다. 이 공격은 코발트 스트라이크 페이로드를 전달했습니다.

결론 및 전망

스피어피시 시도를 통해 여러 위협 행위자들의 최근 활동과 연관된 일련의 TTP가 발견되었습니다: APT28, Dragonfly 및 TEMP.Periscope. 이 공격에서 관찰된 주요 TTP를 시간순으로 나열하여 이러한 TTP에 대해 공개된 보고에서 모방된 기법의 가능성에 대한 주의를 환기시키고자 합니다. 아래 표에 요약되어 있습니다:

중국-위협-배우-템퍼리스코프-7-alt.png

공격에 사용된 것으로 관찰된 TTP 요약 및 유사한 APT TTP에 대한 링크.

나열된 APT28, Dragonfly 및 TEMP.Periscope TTP의 대부분이 이미 공개되었으므로, 관찰된 활동에는 세 가지 가능성이 있는 시나리오가 있다고 생각합니다:

  • 러시아 위협 행위자가 TEMP.Periscope TTP를 차용한 것으로 밝혀졌습니다.
  • TEMP.Periscope는 러시아의 위협 행위자 TTP를 차용했습니다.
  • 또 다른 위협 행위자는 러시아 그룹과 TEMP.Periscope의 TTP를 사용했습니다.

위의 세 가지 가설 중 어떤 것이 우리의 관찰을 가장 잘 설명하는지 평가하기 위해 이 보고서에 자세히 설명된 축적된 증거를 평가했습니다.

첫째, 공격자가 IP 193.180.255[.]2를 사용한 것이 확실합니다. 를 스피어피시를 전송하는 VPN 엔드포인트로 사용하는 이유는 이 IP 주소가 스웨덴 VPN 서비스인 PrivateVPN으로 확인되기 때문입니다. 또한 스피어피시를 전송한 디바이스가 WIN-AB2I27TG6FK 호스트 이름과 연관된 것으로 확인되었습니다. 또한 이 호스트 이름이 디렉토리가 열려 있는 알려진 TEMP.Periscope C2에서 호스팅되는 여러 파일의 파일 이름에 사용되었음을 알 수 있습니다. 이 보고서의 앞부분에서 설명한 바와 같이, 스피어피시 발신자인 WIN-AB2I27TG6FK는 scsnewstoday[.]com에서 호스팅되는 TEMP.Periscope 오픈 디렉토리의 호스트 이름인 것으로 추정됩니다.

이 스피어피싱은 2018년 7월 6일에 전송되었습니다. 불과 며칠 후, 파이어아이는 2018년 7월 캄보디아 선거를 겨냥해 scsnewstoday[.]com에 호스팅된 오픈 디렉터리를 C2로 사용한 TEMP.Periscope 캠페인에 대해 보고했습니다. 이 보고서는 동일한 인프라가 적어도 2017년 4월부터 활성화되었을 가능성이 높다고 지적했습니다.

둘째, C2 82.118.242[.]243으로 연결되는 스피어피쉬에 포함된 "file://" 경로입니다. 는 SMB를 통해 자격 증명을 훔치도록 설계되었습니다. 이 기법은 관찰된 공격이 발생하기 약 4개월 전인 2018년 3월에 US-CERT에 의해 드래곤플라이 위협 행위자 TTP로 공개적으로 문서화되었습니다.

82.118.242[.]243에서 관찰된 호스트 이름 IP는 WIN-PRH492RQAFV로, GitHub의 포크된 응답자 스크립트에서 하드 코딩된 것을 발견했습니다. 2017년 8월에 발표된 보고에 따르면 원래의 응답자 스크립트는 이전에 또 다른 러시아 위협 행위자인 APT28이 사용한 적이 있습니다.

중국-위협-배우-템퍼리스코프-1-alt.png

일부 APT28, Dragonfly 및 TEMP.Periscope TTP 공개 및 활동의 타임라인입니다.

2017년 8월 파이어아이가 APT28의 리스폰더 사용을 공개한 지 최소 2개월 후인 2017년 10월부터 연구 커뮤니티에서 활발히 추적하고 있습니다.2 이후 2018년에는 미국과 유럽의 해양 엔지니어링 회사 및 캄보디아 정부를 상대로 한 캠페인과 함께 TEMP.Periscope 활동에 대한 보고가 쇄도했습니다. 여기서 주목할 점은 저희가 관찰한 스피어피싱 역시 캄보디아에 거주하는 기자의 이름이 포함된 이메일 계정으로 발송되었으며, 이전에 캄보디아 관련 보도를 했던 호주 기자를 사칭한 계정에서 발송되었다는 점입니다.

따라서 러시아 툴링의 타임라인이 공개되기 전에 템프페리스코프 캠페인이 공개되면서 템프페리스코프가 어트리뷰션 노력을 방해하거나 단순히 효과적이라고 판단되는 기법을 사용하기 위해 TTP를 조정했을 가능성이 높습니다.

scsnewstoday[.]com과 인프라가 중복됩니다. 이 도메인은 영국 엔지니어링 회사에 스피어피시가 전송된 지 불과 며칠 후에 TEMP.Periscope가 사용한 것으로 파이어아이에 의해 공개적으로 보고되었기 때문에 다른 위협 행위자가 C2를 침해했을 가능성은 매우 낮습니다. 또한, 적어도 2017년 5월부터 템프페리스코프가 이 영국 엔지니어링 회사를 장기적으로 표적으로 삼았다는 점은 이 그룹의 끈질긴 접근 시도를 강조합니다.

이 보고서에서 설명한 가용 데이터와 증거를 바탕으로 Recorded Future는 중국 위협 행위자 TEMP.Periscope가 다른 위협 그룹의 TTP를 재사용하여 영국 엔지니어링 회사를 표적으로 삼아 민감한 독점 기술 및 데이터에 액세스할 가능성이 있다고 중간 정도의 신뢰도를 가지고 평가합니다. 템프페리스코프는 APT28이나 드래곤플라이와 같은 다른 그룹으로부터 학습하여 피해자 네트워크에 대한 액세스 성공 가능성을 높이거나 어트리뷰션 시도를 난독화하기 위해 TTP를 빠르게 조정할 수 있는 능력을 보여주었습니다.

레코디드 퓨처는 템프페리스코프가 첨단 방위 및 엔지니어링 분야의 조직을 지속적으로 공략할 것으로 예상하고 있습니다. 특히 해양 공학 분야에서 첨단 기술을 개발해야 하는 중국의 전략적 요구는 중국이 남중국해 영토를 장악하려는 움직임에 따라 여전히 집중되고 있습니다. TEMP.Periscope는 여전히 광범위하게 성공하고 있고 상대적으로 저렴한 비용으로 사용할 수 있기 때문에 계속해서 상용 멀웨어를 사용할 것으로 예상됩니다. 이들은 피해자의 네트워크에 접근하기 위해 공개적으로 보고된 기술을 악용하고 사용하는 '유행하는' 취약점을 계속 관찰할 것입니다.

마지막으로 레코디드 퓨처는 위협 행위자들이 인프라를 보호하고 경쟁 행위자들이 사용하는 기술을 관찰하기 위해 출판물과 데이터 소스를 모니터링하면서 서로를 적극적으로 모방하고 있다고 보고 있습니다. 공격자들은 올림픽 파괴자 캠페인에서 관찰된 것처럼 기술적 수단이나 기술 에뮬레이션을 통해 계속해서 허위 깃발을 심을 것으로 예상됩니다. 탐지 수단이 크게 개선됨에 따라 코드 중복을 공개적으로 식별하고 TTP를 매핑하는 것은 잘 조율된 작업의 손에 달려 있으며, 이는 이제 어트리뷰션 결과를 어둡게 만들 수 있습니다. 보고서에 언급된 샘플과 기법은 이제 이러한 문제에 대한 대중의 보고가 많기 때문에 신규 또는 진행 중인 캠페인에 빠르게 적용될 수 있습니다. 이러한 혼란을 통해 표적 캠페인은 노이즈에 더 잘 섞여 적 그룹 간의 경계를 모호하게 만들 수 있습니다.

네트워크 방어 권장 사항

레코디드 퓨처는 네트워크 액세스 권한을 얻기 위해 자격 증명을 도용하려는 TEMP.Periscope의 시도를 방어할 때 다음과 같은 조치를 수행할 것을 조직에 권장합니다:

  • 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 또는 네트워크 방어 메커니즘을 구성하여 부록 A에 나열된 외부 IP 주소 및 도메인의 불법 연결 시도를 경고하도록 하고 검토 후 차단하는 것을 고려하세요.
  • 부록 B에 제공된 Snort 규칙을 IDS 및 IPS 어플라이언스에 포함시켜 SMB 자격 증명 도용 시도를 탐지하세요. 또한, 해당되는 경우 부록 B에 제공된 Bro 쿼리를 사용하여 네트워크에서 이 보고서에 자세히 설명된 TEMP.Periscope TTP의 징후를 찾아보세요.
  • Recorded Future의 API를 사용하여 이 보고서(부록 A)에 나열된 지표를 엔드포인트 탐지 및 대응(EDR) 플랫폼으로 가져올 수 있습니다.
  • 부록 A의 지표에 대한 연결을 경고하고 차단하도록 엔드포인트 탐지 및 응답 트래픽을 구성하세요.
  • 부록 C에 제공된 Yara 규칙을 활용하여 네트워크에서 스피어피싱이 조직에 전송된 증거를 검색하세요.
  • 네트워크 전반의 SMB 트래픽, 특히 SMB를 통해 인증하려는 외부 시도를 모니터링하고 제한하세요.

관련 보안 침해 지표의 전체 목록을 보려면 부록을 다운로드하세요.

1P4wnP1은라즈베리 파이 제로 컴퓨터를 기반으로 하는 고도로 사용자 정의 가능한 USB 공격 플랫폼입니다.

2 F-Secure는 2016년 8월에 난하이슈 RAT에 대한 조사 결과를 발표했으며, 이후 TEMP.Periscope(리바이어던)의 소행으로 밝혀졌습니다.

관련