>
연구(Insikt)

다크사이드 계열사 태그-21의 추가 표적이 되는 엔티티, 웰메스 및 슬리버 인프라에 대한 링크

게시일: 2021년 6월 28일
작성자: Insikt Group®

기본 로고 - 인식트 - 디지털 (RGB).png

Executive Summary

2021년 5월 중순, 인식트 그룹은 콜로니얼 파이프라인을 침해한 동일한 다크사이드 계열사의 표적이 된 11개 조직이 더 있을 가능성이 있다고 보고했습니다. 기록된 미래 휴리스틱 행동 시그니처와 일치하는 상당한 네트워크 통신이 4월 27일에 이들 조직 중 9곳에서 콜로니얼 파이프라인을 표적으로 삼는 작전에 사용된 코발트 스트라이크 명령 및 제어(C2) 서버(176.123.2[.]216)로 관찰되었습니다. 인식트 그룹은 이 서비스형 랜섬웨어(RaaS) 계열사와 그 활동을 내부적으로 TAG-21로 추적하고 있습니다.

이 조직들이 처음 표적이 된 후 2주 동안, 9개 조직 중 5개 조직이 웰메스 및 슬리버 C2로 의심되는 조직과도 통신했습니다. 향후 네트워크 트래픽 분석(NTA)을 통해 포춘 500대 기업을 포함한 여러 업종과 지역에 걸쳐 35개 이상의 기업이 동일한 의심되는 C2 인프라와 통신하고 있는 것으로 확인되어 잠재적인 침해 가능성을 시사했습니다. 표적이 된 거의 모든 기업이 외부용 Citrix 어플라이언스 및 소프트웨어를 제시했으며,이전에는 SVR 넥서스 그룹 및 RaaS 계열사가 표적이 된 것으로 알려져 있습니다. SVR은 러시아의 대외정보국입니다. 이 연구에 제시된 데이터를 바탕으로 가능성이 낮은 순서대로 다음과 같은 시나리오가 타당하다고 생각합니다: 

  1. 두 개의 개별 그룹, RaaS 계열사인 TAG-21과 SVR 넥서스 그룹은 모두 기업 내 취약한 Citrix 서버를 대량으로 익스플로잇하여 전 세계 조직을 공격했으며, 5개의 중복된 공격 대상 조직에 공존하고 있었습니다.
  2. 확인된 WellMess C2에 연결된 인프라는 더 이상 SVR 넥서스 그룹만의 전유물이 아니며 일부 RaaS 계열사에서도 사용할 수 있습니다.
  3. 과거 WellMess C2에 액세스할 수 있는 SVR 넥서스 그룹이 RaaS 에코시스템에 참여하고 있습니다.

인식트 그룹은 레코디드 퓨처의 공지 정책에 따라 이 게시물을 공개하기 전에 책임 있는 공시 절차를 따랐습니다.

영향을 받는 조직과 관련 단체는 이 보고서의 부록 A에 제공된 지표와 관련된 과거 또는 현재 진행 중인 활동을 확인하고 다크사이드 랜섬웨어, 코발트 스트라이크, 웰메스, 슬리버 감염을 선제적으로 추적할 것을 강력히 권장합니다. 레코디드 퓨처 고객은 레코디드 퓨처 플랫폼의 고급 쿼리 빌더 기능을 통해 코발트 또는 실버를 감지할 수 있습니다. 2020 적대적 인프라 보고서에서 레코디드 퓨처의 인식트 그룹이 외부 공격자의 명령 및 제어 서버를 식별하는 방법에 대해 알아보세요. 

주요 판단

  • 4개의 서로 다른 C2에서 공유되는 대상 조직이 상당히 겹치고, 그 중 3개는 동일한 말레이시아 기반 호스팅 제공업체의 동일한 /16 넷블록에서 호스팅되며, 2개의 C2가 서로 며칠 이내에 제공된 것으로 보아 이 캠페인은 단일 활동 그룹 또는 송금이 중복되는 2개의 그룹에 의해 수행되었을 가능성이 높습니다.
  • 영향을 받은 조직과 C2 간에 마지막으로 기록된 활동은 2021년 5월 8일이었습니다. 따라서 공격자가 콜로니얼 파이프라인 사건에 대한 전례 없는 언론 보도 이후 다른 도구로 전환했거나 이러한 조직을 대상으로 한 공격에서 물러난 것으로 추정됩니다.
  • 콜로니얼 파이프라인 사건이 발생한 11일 동안 여러 업종과 지역에 걸쳐 광범위한 표적 공격이 이루어진 것으로 보아 금전적 동기를 가진 활동 그룹이 이 활동을 주도했을 가능성이 높습니다. 타겟팅은 기존의 SVR 인텔리전스 수집 요구 사항과 일치하지 않습니다.

분석

WellMess는 이전에 APT29(일명 코지 베어, 더 듀크, 블루 키츠네)가 코로나19 백신 개발을 공격하는 데 사용한 것으로 보고된 맞춤형 멀웨어 제품군입니다. 그러나 최근 보고에서 영국의 국가사이버보안센터(NCSC)는 이 활동을 러시아 연방 대외정보국(SVR)으로 지목하는 일부 표현을 재조정했습니다. 같은 보고서에서 NCSC는 또한 특정 SVR 사이버 작전이 오픈 소스 공격 보안 도구(OST)인 Sliver를 사용했다고 밝히면서 이 그룹이 이전에 공개했던 전술, 기법 및 절차(TTP)를 사용하지 않는다고 지적했습니다.

의심되는 WellMess C2 111.90.150[.]176:443

IP 주소 111.90.150[.]176, 말레이시아에 기반을 둔 '신지루 테크놀로지(Shinjiru Technology Sdn Bhd)' 인프라에서 호스팅되는 이 공격은 2020년 4월 3일에 인식트 그룹이 웰메스 C2로 의심되는 것으로 처음 탐지했으며, 최소 2021년 6월 5일까지 활성 상태로 유지되고 있습니다. 이 탐지는 WellMess 컨트롤러용으로 구성된 TLS 인증서의 고유한 특성에 대한 서명 키에 기반하여 이루어졌습니다. 사용 가능한 데이터에 따르면 이 기간 동안 이 IP로 확인된 호스트 이름은 없었지만, 서버는 2020년 11월 6일 전후에 TCP 포트 22에서 OpenSSH v7.6을 실행하도록 업데이트되었지만 WellMess 연결 TLS 인증서는 계속 설치되어 있었습니다. 또한, C2는 과거 영국 NCSC에서 코로나19 백신 개발과 관련된 기관을 표적으로 삼는 데 사용된 것으로 보고된 바 있습니다. 네트워크 트래픽에 따르면 2021년 5월 8일에 10개의 표적 조직이 C2와 통신한 것으로 나타났습니다:

  • 미국 보험 회사
  • 미국 IT 서비스 회사
  • 호주의 헬스케어 지구
  • 호주의 한 지방의회
  • 남아프리카의 한 경영 컨설팅 회사 
  • 스위스 주 정부 기관
  • 한국의 LCD 및 반도체 제조 기업
  • 브라질과 아일랜드의 대학
  • 국제적인 비디오 게임 개발 회사

111.90.150[.]176과 통신하는 표적이 된 10개 조직 중 3개 조직은 다크사이드와 연결된 콜로니얼 파이프라인 랜섬웨어 공격에 대한 이전 Insikt 조사에서 표적으로 확인된 조직입니다. 이 조사에서 저희는 콜로니얼 파이프라인 침입에 사용된 것으로 알려진 코발트 스트라이크 C2(c2.websecurenetworks[.]xyz |176.123.2[.]216)와 네트워크 통신을 설정한 여러 조직을 집중적으로 분석했습니다. 3개의 조직이 111.90.150[.]176과 통신하는 것으로 확인되었습니다. 불과 11일 후인 5월 8일, Colonial Pipeline이 랜섬웨어 공격을 받았다고 발표한 날입니다.

중복 타겟팅이 코발트 스트라이크와 웰메스 C2로 의심되는 인프라를 모두 사용하는 활동 그룹을 가리킨다면, 콜로니얼 파이프라인 침입의 원인이 다크사이드 RaaS 계열사(인식트에서 TAG-21로 추적)로 보고된 것을 고려하면 이 계열사가 웰메스 C2로 의심되는 인프라에도 접근했을 가능성이 높다고 추론할 수 있습니다. 또 다른 그럴듯한 설명은 같은 조직을 노리는 두 개의 별개의 그룹이 존재한다는 것입니다.

의심되는 WellMess C2 111.90.146[.]143:443

C2 111.90.146[.]143:443 는 영국 국가사이버보안위원회(NCSC)가 코로나19 백신 개발의 표적화를 위한 APT29의 WellMess 및 WellMail 사용을 설명하는 자문에서 보고한 바 있습니다. 이 섹션에서 설명한 피해자와 C2 인프라 특성의 밀접한 중첩은 이 연구에서 다루는 두 가지 의심되는 WellMess C2가 동일한 활동 그룹에 의해 배포되었다는 강력한 증거를 제공합니다. 

111.90.146[.]143 2020년 4월 11일 포트 443에서 고유한 WellMess TLS 인증서를 호스팅하는 IP가 처음 확인되었는데, 이는 앞서 다룬 첫 번째 WellMess C2가 프로비저닝된 지 불과 8일 후입니다. 동일한 /16 넷블록 내의 동일한 공급업체에서 호스팅되었으며 2021년 6월 7일 현재 계속 활성 상태로 유지되고 있으며 사용 가능한 데이터에 따르면 이 기간 동안 이 IP로 확인된 호스트 네임은 없었습니다. 다른 WellMess C2와 마찬가지로 이 서버도 2020년 11월에 OpenSSH v7.6p1을 실행하도록 업데이트되었지만 WellMess 연동 TLS 인증서도 그대로 설치되어 있습니다. 

레코디드 퓨처는 2021년 5월 4일부터 5월 8일 사이에 여러 포춘 500대 기업을 포함하여 최소 22개 조직이 C2와 지속적인 세션을 통해 통신하고 있음을 나타내는 네트워크 트래픽을 확인했습니다. 이 중 5개 조직은 이전에 콜로니얼 파이프라인 공격에 사용된 것과 동일한 코발트 스트라이크 C2(c2.websecurenetworks[.]xyz | 176.123.2[.]216)와 통신하는 것으로 밝혀진 바 있습니다:

  • 남아프리카의 한 경영 컨설팅 회사
  • 콜롬비아의 한 보험 회사
  • 브라질과 아일랜드의 대학
  • 국제적인 비디오 게임 개발 회사

또한, 이 보고서의 이전 섹션에서 다룬 태그-21 WellMess C2로 의심되는 111.90.150[.]176과 통신하는 조직도 6개 있었습니다:

  • 호주의 헬스케어 지구
  • 남아프리카의 한 경영 컨설팅 회사
  • 스위스 주 정부 기관
  • 브라질과 아일랜드의 대학
  • 국제적인 비디오 게임 개발 회사

의심되는 은색 C2 111.90.147[.]236:80

앞서 언급된 웰메스 C2 의심 사례와 마찬가지로 111.90.147[.]236에서 호스팅되는 Sliver C2와 관련된 피해자의 중복 패턴이 뚜렷했습니다. 콜로니얼 파이프라인 사건(176.123.2[.]216)에 사용된 코발트 스트라이크 C2. 공통 호스팅 제공업체와 넷블록, 그리고 확인된 3개의 WellMess와 Sliver C2의 피해자 유형이 모두 겹친다는 점은 공통의 활동 그룹이 이 활동을 담당했을 가능성이 높다는 강력한 증거입니다.

의심되는 Sliver C2 111.90.147[.]236, HTTP 헤더 필드의 고유한 조합을 사용하여 탐지된 이 공격은 이전에 문서화된 WellMess C2와 동일한 "신지루 테크놀로지 에스디엔 바드"에 속한 /16 넷블럭에서 호스팅되기도 했습니다. 그러나 Sliver C2가 처음 발견된 것은 2020년 10월 26일로, WellMess C2 2대가 처음 제공된 지 6개월이 지난 후였으며 2021년 6월 11일 현재까지도 활성 상태입니다. 5월 7일에 발표된 권고문에서 영국 국가사이버안보센터는 APT29가 코로나19 백신 개발을 표적으로 삼았다는 이전 발표에 대해 SVR 사이버 공격자들이 TTP를 변경하고 Sliver와 같은 도구를 채택하여 대응하고 있다고 강조했습니다.

2021년 5월 4일부터 8일까지 포춘 500대 기업을 포함하여 여러 업종에 걸쳐 전 세계에 분산되어 있는 총 21개의 조직이 Sliver C2와 통신하는 것이 관찰되었습니다.

Citrix 장치의 악용 가능성

의심되는 침입의 초기 감염 벡터를 확인할 수는 없지만, 표적이 된 조직 목록에 Citrix 어플라이언스가 집중되어 있다는 점을 고려할 때 TAG-21은 잘 문서화된 Citrix 익스플로잇을 사용한 것으로 보입니다. 레코디드 퓨처는 WellMess, Sliver, Cobalt Strike를 사용하는 TAG-21의 표적이 된 조직 중 압도적으로 많은 조직이 Citrix Gateway, Citrix NetScaler(현재 Citrix ADC(Application Delivery Controller)로 알려진), Citrix Receiver와 같은 노출된 Citrix 어플라이언스 및 소프트웨어를 실행하고 있다는 사실을 발견했습니다. 아래 그림 1은 의심되는 WellMess C2 11.90.150[.]176과 통신하는 것으로 확인된 IP에서 호스팅되는 Citrix Gateway 로그인 포털을 보여줍니다.

다크사이드-제휴-태그-21-웰메스-은색-1-1.png _그림 1: _대상 엔터티 중 하나에 대한 Citrix Gateway 로그인. 이 호스트 이름을 호스팅하는 IP는 2021년 5월 8일에 의심되는 WellMess C2 111.90.150[.]176:443과 통신하는 것으로 확인되었습니다. (출처: URLScan Pro)

2020년 7월, NCSC는 WellMess와 WellMail을 사용한 코로나19 백신 연구의 SVR 연계 표적화에 대해 보고하면서, SVR이 CVE-2019-19781에 취약한 Citrix 장치를 성공적으로 익스플로잇했으며 "[SVR]이 공개되면 다양한 새로운 취약점을 최대한 활용하려고 할 가능성이 있다"고 밝혔습니다. 이 취약점 및 기타 취약점이 계속 악용될 위험은 2021년 4월 15일 NSA, CISA, FBI가 공동으로 발표한 사이버 보안 권고에서 더욱 강조되었습니다.

또한 2021년 6월 8일에 발표된 CVE-2020-8300에서는 공격자가 피싱 공격을 실행하여 SAML 인증을 탈취함으로써 유효한 사용자 세션에 액세스할 수 있다는 점을 강조했습니다(Citrix ADC 및 Citrix Gateway에 영향을 미침).

어트리뷰션 고려 사항

이 연구에서 제시된 증거에 따르면, 지적된 피해 사례와 C2 인프라 중첩을 설명할 수 있는 3가지 시나리오가 있습니다. 가능성이 낮은 순서대로 나열됩니다:

  1. 두 개의 별도 그룹. RaaS 계열사인 TAG-21과 다른 별도의 관련 없는 그룹은 공개적으로 사용 가능한 익스플로잇을 사용하여 취약한 Citrix 어플라이언스를 광범위하게 공격함으로써 동일한 조직 중 일부를 침해했습니다. 

2021년 4월 27일부터 5월 8일 사이에 WellMess 및 Sliver 인프라로 의심되는 SVR 연계 공격자들은 코발트 스트라이크와 다크사이드 랜섬웨어를 사용하여 TAG-21의 표적이 되었던 5개 조직을 공격했습니다. 동일한 코발트 스트라이크 서버가 식민지 파이프라인을 타겟팅하는 데 사용되었습니다. SVR과 연계된 그룹은 WellMess 및 Sliver와 연결된 것으로 확인된 인프라를 사용하여 추가 조직을 표적으로 삼았을 가능성이 높습니다. 또한, SVR 연계 공격자들은 취약한 디바이스에 대한 광범위한 스캔을 수행한 것으로 알려져 있으며, 최근 랜섬웨어 조직이 공격 가능한 대상을 식별하는 데 사용하는 일반적인 기술인 CVE-2019-19781을 악용하여 이중 그룹 가설을 뒷받침하고 있습니다.

  1. 하나의 그룹. 확인된 WellMess와 연결된 인프라는 더 이상 SVR 넥서스 그룹만의 전유물이 아니며 TAG-21을 포함한 일부 RaaS 계열사에서도 사용할 수 있습니다. 

TAG-21은 2021년 4월 27일부터 5월 8일 사이에 콜로니얼 파이프라인을 포함한 35개 이상의 조직을 대상으로 침입 작전을 수행했습니다. 이 그룹은 잘 알려진 Citrix 취약점을 악용했을 가능성이 높으며 WellMess, Sliver 및 Cobalt Strike와 연결된 C2 인프라에 액세스할 수 있었습니다. 또한 태그-21은 다크사이드 랜섬웨어를 대여하여 일부 표적 네트워크의 파일을 암호화했습니다. TAG-21이 예상되는 WellMess C2의 프로필과 일치하는 서버에 대한 액세스 권한을 부여받거나, 징발당하거나, 판매되었는지 확인할 수는 없지만, 해당 C2가 처음 제공된 지 몇 달 후인 2020년 11월에 NCSC에 따라 코로나19 백신 개발 관련 표적 공격에 사용되도록 OpenSSH를 실행하도록 업데이트된 것은 분명합니다.

  1. **하나의 그룹. **가설 (2)와 유사하지만 TAG-21은 과거 WellMess C2에 대한 액세스 권한을 유지하고 RaaS 에코시스템에 참여하고 있는 SVR 연결 그룹입니다. 이는 가능성이 가장 낮은 시나리오로 평가합니다.

2020년 7월 16일에 발표된 NCSC, CSE, NSA, CISA의 공동 권고문에서는 APT29가 CVE-2019-19781에 취약한 Citrix 장치를 포함하여 많은 유명 VPN 및 이메일 어플라이언스 취약점을 악용하고, 코로나19 백신 개발과 관련된 조직 내에서 지속성을 확보하기 위해 WellMess 및 WellMail을 사용하는 그룹에 대해 자세히 설명했습니다. 웰메스에 대한 공개 어트리뷰션이 이루어진 것은 이번이 처음이지만, 2년 전인 2018년 JPCERT와 LAC가 진행한 캠페인에서 처음 보고된 바 있습니다.

그 이후로 WellMess 사용에 대한 대중의 보고는 동일한 APT29 어트리뷰션에 집중되었습니다. 2021년 4월, NCSC와 NSA는 모두 솔라윈즈와 관련 침입을 SVR의 소행이라고 공개적으로 밝혔습니다. 얼마 지나지 않아 5월 7일, NCSC는 FBI 및 CISA와 함께 사이버 작전에서 SVR 운영자가 사용하는 추가 TTP를 강조하는 후속 권고안을 발표했습니다. 여기에는 핵심 문구가 포함되어 있습니다:

앞서 국가사이버안보센터, 국가안보국, 국가정보안전국, 국가보안국, 국가보안수사국은 2020년 한 해 동안 코로나19 백신 개발에 관여하는 조직을 대상으로 WellMess 및 WellMail 멀웨어를 사용한 공격에 관한 공동 보고서를 발표했습니다. SVR 사이버 공격자들은 네트워크 방어자들의 추가 탐지 및 치료 노력을 피하기 위해 TTP를 변경하는 방식으로 이 보고서에 대응한 것으로 보입니다. 이러한 변경 사항에는 액세스 권한을 유지하기 위해 오픈 소스 도구인 Sliver를 배포하는 것이 포함되었습니다.

이 보고서에 자세히 설명된 2건의 WellMess C2 의심 사례는 코로나19 주의보가 발령되기 전인 2020년 4월에 일주일 간격으로 제공되었습니다. 2021년 6월 11일 현재 동일한 C2가 여전히 활동 중인 것으로 보이지만, 강조된 최근 활동은 주로 전 세계를 대상으로 하는 정부, 외교, 싱크탱크, 의료 및 에너지를 포함하는 일반적인 SVR 인텔리전스 요구 사항보다 훨씬 광범위합니다. 2020년 10월부터 의심되는 Sliver C2가 프로비저닝된 것도 주목할 만한데, 이는 SVR TTP가 Sliver를 사용하는 것으로 전환된 것으로 보고된 시기와 일치하기 때문입니다. 하지만 무료로 제공되는 오픈 소스 OST이며, RaaS 계열사를 포함한 다른 활동 그룹에서도 거의 대부분 사용하고 있습니다.

여러 업종과 지역에 걸쳐 표적이 된 조직이 분포되어 있는 것을 보면, 특히 코발트 스트라이크 C2가 콜로니얼 파이프라인 랜섬웨어 공격과 겹친다는 점에서 스파이 활동만을 위한 작전이라기보다는 금전적인 동기가 있을 가능성이 높습니다.

이 글을 쓰는 시점에서 TAG-21과 다크사이드 및 APT29와 같은 그룹 간의 연관성은 아직 명확하지 않지만, TAG-21은 콜로니얼 파이프라인을 표적으로 삼아 광범위한 교란을 수행할 수 있는 입증 가능한 사이버 작전 능력을 보유하고 있으며 35개 이상의 다른 단체를 표적으로 삼는 것과도 연결되어 있습니다. 이 연구에 포함된 대상 조직에서 2021년 5월 8일 이후 4개의 C2에 대한 활동은 관찰되지 않았으며, 다크사이드와 그들의 활동에 대한 광범위한 언론 보도 이후 TAG-21 또는 다른 중복 그룹이 다른 도구로 이동했거나 해체된 것으로 추정됩니다. 그러나 TAG-21이 WellMess, Sliver 및 Cobalt Strike와 연결된 인프라를 사용하는 잠재적 의미는 향후 작전에서 효과적일 수 있는 기능에 대한 접근성을 보여줍니다.

부록 A - 지표

c2.websecurenetworks[.]xyz|176.123.2[.]216 - 코발트 스트라이크 C2가 구글 멀레블 프로파일로 설정68e7bd3cf41bbc3df1159a3481e911d2d4fd588dfdbedcfe5a96dee3777eb920 - 176으로 호출하는 코발트 스트라이크 샘플.123.2[.]216 8dafde4809fae1db6c2de051de9a005c43c4b0218af4e3c1f30fa6a0f65316fc - 176.123.2[.]216 111.90.150[.]176으로 콜아웃하는 코발트 스트라이크 샘플. - 의심되는 WellMess C2 111.90.146[.]143 - 의심되는 WellMess C2 111.90.147[.]236 - 의심되는 은색 C2

관련