러시아 연계 첩보 작전에 사용된 TAG-53의 크리덴셜 수집 인프라 노출
편집자 주: 보고서를 PDF로 다운로드하려면 여기를 클릭하세요.
이 보고서는 칼리스토 그룹, 콜드라이버, 씨보르지움에 대한 공개 보고와 겹치는 위협 활동 그룹 TAG-53이 사용하는 인프라를 프로파일링합니다. 이 활동은 네트워크 인텔리전스와 오픈 소스 보고에서 파생된 분석을 결합하여 식별되었습니다. 이 보고서는 사이버 공간에서 러시아 국가의 활동과 관련된 전략 및 작전 정보에 종사하는 네트워크 방어자 및 개인이 가장 관심을 가질 것입니다.
Executive Summary
레코디드 퓨처의 인식트 그룹은 2022년 7월부터 위협 활동 그룹 TAG-53이 유사한 인프라를 반복적으로 사용하는 것을 관찰했습니다. 새로 발견된 인프라는 이전에 러시아 국가 이익과 연계된 활동과 연관된 칼리스토 그룹, 콜드라이버, 시보르지움의 다른 인프라 전술, 기술 및 절차(TTP)와 겹치는 것으로 보입니다.
인식트 그룹은 인프라를 큐레이팅할 때 특정 패턴 구조를 사용하는 도메인 이름과 Let's Encrypt TLS 인증서 사용, 특정 호스팅 제공업체 클러스터 사용, 소규모 자율 시스템 클러스터 사용 등 TAG-53이 공통된 특성을 반복적으로 사용하는 것을 관찰했습니다.
TAG-53 인프라에는 미국의 합법적인 군사 무기 및 하드웨어 공급업체로 가장한 스푸핑된 Microsoft 로그인 페이지가 포함되어 있는 것으로 확인되었으며, 이는 일부 TAG-53 인프라가 이미 운영되고 있을 가능성이 있음을 시사합니다. 중복되는 TAG-53 캠페인에 대한 과거 공개 보고에 따르면, 이러한 인증정보 수집 활동은 부분적으로 피싱을 통해 이루어질 가능성이 높습니다.
주요 판단
- 인식트 그룹은 러시아 위협 활동 그룹으로 의심되는 칼리스토 그룹, 콜드라이버, 시보르지움(SEABORGIUM)과 연계된 것으로 보이는 태그-53이 사용하는 새로운 인프라를 확인했습니다.
- 식별된 TAG-53 인프라는 특정 도메인 등록기관 사용, Let's Encrypt TLS 인증서 사용, 소규모 자율 시스템 클러스터 등의 공통된 특징을 가지고 있습니다. TAG-53의 도메인 대부분은 특정 문체 구조를 사용합니다.
- TAG-53은 정부, 정보 및 군사 산업에 특히 중점을 두고 여러 산업 분야의 조직으로 가장한 도메인을 사용했습니다.
배경
TAG-53은 인프라를 설정할 때 일관성을 유지하는데, 이는 Callisto Group, 콜드라이버, 씨보지움의 인프라와 상당한 특징과 교차점을 가지고 있습니다. 이 그룹은 악성 도메인을 등록할 때 특정 문체 구조를 계속 사용하고 있으며, 소규모 자율 시스템 클러스터에 있는 IP 주소를 가진 특정 도메인 등록기관을 사용하고 있습니다.
2022년 8월 15일, Google의 위협 분석 그룹(TAG) 및 Proofpoint의 위협 연구팀과 공동으로 발표한 Microsoft 보고서에서 SEABORGIUM의 피싱 작업에 대해 자세히 설명했습니다. 이 연구에서 Microsoft는 시보르지움이 러시아에서 시작되었으며 "러시아의 국가 이익과 밀접하게 일치하는 목표와 피해자론"을 가지고 있다고 평가합니다. Microsoft는 SEABORGIUM이 Callisto Group, TA446 및 COLDRIVER와 공유되는 부분이 겹치며 위협 행위자가 침입 및 데이터 도난을 초래한 지속적인 피싱 및 자격 증명 도용 캠페인을 수행했음을 나타냅니다. 시보르지움은 주로 미국과 영국을 포함한 북대서양조약기구(NATO) 국가를 타깃으로 삼고 있으며, 특히 영국에 중점을 두고 있습니다. 이 그룹은 또한 2022년 2월 러시아의 본격적인 우크라이나 침공을 앞두고 우크라이나를 표적으로 삼았습니다.
구글의 TAG는 콜드라이버가 비정부 조직과 싱크탱크, 언론인, 정부 및 국방부 공무원을 대상으로 Gmail 계정을 사용하여 크리덴셜 피싱 캠페인을 수행했다고 2022년 3월에 보고하고 5월에 업데이트했습니다. 태그는 또한 콜드라이버의 TTP가 시간이 지남에 따라 진화하여 피싱 이메일에 구글 드라이브와 마이크로소프트 원드라이브에 호스팅된 PDF 또는 DOC 파일 링크를 포함시키는 방향으로 나아가고 있음을 시사합니다.
위협 및 기술적 분석
인식트 그룹은 오픈 소스 보고(1, 2, 3, 4)에서 제공된 인텔리전스를 사용하여 칼리스토 그룹, 콜드라이버, 씨보르기움 인프라와 중복될 가능성이 있는 TAG-53 인프라를 프로파일링했습니다. TAG-53 인프라는 도메인 등록기관, 자율 시스템, 도메인 이름 구조 및 관련 TLS 인증서의 특정 조합을 분석하여 발견되었습니다. 이 정보에 따르면, 이 위협 그룹은 피싱 및 인증정보 탈취 작업을 계속하고 있을 가능성이 높습니다. 인식트 그룹은 TAG-53 인프라를 모니터링하던 중 미국의 합법적인 군사 무기 및 하드웨어 공급업체로 가장한 스푸핑된 Microsoft 로그인 페이지를 발견했으며, 이는 일부 TAG-53 인프라가 이미 운영되고 있을 가능성이 있음을 시사합니다.
등록기관
인식트 그룹은 현재 및 수동 DNS(도메인 이름 시스템) 레코드를 모두 사용하여 2022년 1월부터 TAG-53이 사용하는 38개의 등록 도메인에 대한 IP 주소를 확인했습니다. 부록 A에 나열된 식별된 TAG-53 도메인은 도메인 등록에 NameCheap, Porkbun, REG.RU 및 regway를 사용하는 추세가 2022년 중반 이후 지속되고 있으며, 그 분석은 그림 1에서 볼 수 있습니다. 이러한 등록 기관이 선호하는 이유는 알 수 없지만, 후보 TAG-53 인프라를 프로파일링할 때 유용한 지표입니다.
그림 1: 2022년 1월 이후 TAG-53이 사용한 도메인 등록기관 분석(출처: Recorded Future)
자율 시스템
특정 도메인 등록기관의 사용과 함께 특정 자치 시스템의 사용도 발견되는데, TAG-53으로 수집된 모든 도메인은 10개의 자치 시스템에 존재하는 것으로 나타났으며, 아래 표 1에 표시된 MIRhosting(AS52000) 및 Hostwinds(AS54290)와 연결된 2개의 자치 시스템 번호(ASN)에 상당히 집중되어 있는 것으로 나타났습니다.
| ASN | AS 이름 | TAG-53 도메인 수 |
| AS52000 | 미르호스팅 | 11 |
| AS54290 | 호스트 | 10 |
| AS44094 | WEBHOST1-AS | 4 |
| AS62240 | 클라우바이더 | 4 |
| AS62005 | BV-EU-AS | 3 |
| AS44477 | 스타크 인더스트리 | 2 |
| AS16276 | OVH | 1 |
| AS20278 | NEXEON | 1 |
| AS206446 | 클라우드 임대 | 1 |
| AS43624 | 스탁 인더스트리 솔루션으로 | 1 |
표 1: TAG-53 연결 도메인에 대한 ASN 세부 정보 분석(출처: Recorded Future)
도메인 이름 구조
TAG-53 추적을 통해 발견된 대부분의 도메인은 유사한 구조의 도메인 이름을 사용하며, 주로 "cloud-safety[.]online"과 같이 하이픈으로 구분된 두 개의 용어로 구성되어 있습니다. 확인된 38개 도메인 중 33개 도메인은 "
그림 2에 표시된 TAG-53 도메인에서 발견되는 용어를 분석해 보면 도메인 내에서 특정 단어가 반복적으로 사용되는 것을 알 수 있는데, 대부분은 일반적인 컴퓨팅 용어입니다.
그림 2: TAG-53 링크 도메인에서 사용되는 용어 분석(출처: Recorded Future)
X.509 TLS 인증서
식별된 모든 TAG-53 도메인은 Let's Encrypt에서 제공하는 해당 X.509 TLS 인증서를 호스팅하는 것으로 확인되었으며, 그 예는 그림 3에 나와 있습니다. 렛츠 인크립트 TLS 인증서가 널리 사용됨에 따라 TAG-53 도메인과 인프라 간의 상관관계가 더욱 강화되어 이 활동의 클러스터링이 강화되었습니다.
그림 3: 드라이브-globalordnance[.]com에 대한 부분 X.509 TLS 인증서 (출처: crt.sh)
타겟팅 및 피해자 분석
발견된 38개 도메인 중 9개 도메인에는 표 2와 같이 TAG-53이 가장하려고 시도할 수 있는 잠재적 표적 조직 또는 단체에 대한 참조가 포함되어 있었습니다. 이러한 테마 도메인을 사용하는 이유는 잠재적 표적과 피해자에게 더 합법적으로 보이기 위해 실제 실체를 모방하려는 시도일 가능성이 있다는 것 외에는 완전히 이해되지 않습니다.
| TAG-53 도메인 | 의심되는 표적/가면 | 산업별 수직 |
| umopl-drive[.]com | UMO 폴란드 | 항공우주 및 방위: 하드웨어/무기 |
| drive-globalordnance[.]com | 글로벌 병기 | 항공우주 및 방위: 하드웨어/무기 |
| sangrail-share[.]com | 상레일 LTD | 항공우주 및 방위: 군사 & 민간 정보 |
| dtgruelle-us[.]com | DT그루엘 | 물류 |
| dtgruelle-drive[.]com | ||
| cija-docs[.]com | 국제 정의 및 책임 위원회(CIJA) | NGO: 무력 분쟁 범죄 조사 |
| blueskynetwork-shared[.]com | 블루 스카이 네트워크 | 통신: 위성 |
| dns-mvd[.]ru | 러시아 연방 내무부(MVD) | 정부 정부: 러시아 내무부 |
| mvd-redir[.]ru |
표 2: TAG-53 연결 도메인의 의심되는 표적/가장자(출처: Recorded Future)
9개 도메인을 분석한 결과, 특히 우크라이나 전쟁을 고려할 때 러시아와 연계된 위협 그룹이 관심을 가질 만한 산업 분야를 중심으로 7개 도메인이 집중되어 있는 것으로 나타났습니다. 2개의 이상값 도메인은 아마도 러시아 연방 내무부로 가장하기 위한 것으로 보입니다. (MVD)
자격 증명 수집
TAG-53 도메인 "drive-globalordnance[.]com"에는 미국의 군사 무기 및 하드웨어 공급업체인 합법적인 회사 Global Ordnance의 스푸핑된 로그인 페이지가 포함되어 있습니다. 그림 4에 표시된 스푸핑된 로그인 페이지는 글로벌 오드넌스 브랜딩을 사용하며, 표적이 피싱된 후 후속 인증정보 수집에 사용되는 것으로 의심됩니다. 이 인증정보 탈취 시도의 의도된 대상이 글로벌 오디넌스인지, 아니면 TAG-53이 글로벌 오디넌스 스타일의 도메인과 스푸핑된 로그인 페이지를 사용하여 합법적인 기관으로 가장하여 피해자를 노리는 것인지는 명확하지 않습니다.
그림 4: TAG-53 글로벌 오디언스 스푸핑 로그인 페이지(출처: URLScan)
완화 조치
사용자는 TAG-53과 관련된 활동을 탐지하고 완화하기 위해 다음과 같은 조치를 취해야 합니다:
- 부록에 나열된 외부 IP 주소 및 도메인에 대해 경고하도록 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 또는 네트워크 방어 메커니즘을 구성하고, 검토 후 해당 주소 및 도메인에 대한 연결 시도를 차단하는 것을 고려하세요.
- 레코딩된 미래는 악성 서버 구성을 사전에 감지하고 명령 및 제어 보안 제어 피드에서 이를 차단할 수 있는 수단을 제공합니다. 명령 및 제어 피드에는 TAG-53 및 기타 러시아 국가 지원 위협 활동 그룹이 사용하는 도구가 포함되어 있습니다. 레코딩된 미래 클라이언트는 이러한 C2 서버를 경고하고 차단하여 활성 침입을 탐지하고 해결할 수 있도록 해야 합니다.
- 기록된 미래 위협 인텔리전스(TI), 타사 인텔리전스 및 SecOps 인텔리전스 모듈 사용자는 네트워크 인텔리전스 분석의 실시간 결과를 모니터링하여 조직 또는 주요 공급업체 및 파트너와 관련된 표적 침입 의심 활동을 식별할 수 있습니다.
- 기록된 미래 브랜드 인텔리전스(BI) 모듈을 통해 조직을 스푸핑하는 타이포스쿼트 도메인과 같은 도메인 남용을 모니터링하세요. 보안 트레일 확장 기능은 위협 인텔리전스 또는 브랜드 인텔리전스 모듈을 구독하는 모든 고객이 사용할 수 있습니다. 로고 유형 소스 및 알림은 BI 모듈 전용이지만, TI 모듈은 고급 쿼리 작성기를 통해 데이터에 액세스할 수 있습니다.
- 기록된 미래의 사기성 도메인 및 타이포스쿼트 플레이북에서는 타이포스쿼트 또는 유사한 도메인 경고를 선별하는 방법을 설명합니다. 아직 알림을 설정하지 않았다면 인텔리전스 목표 라이브러리에서 인증된 알림 활성화를 참조하세요.
전망
Insikt 그룹은 태그 53 인프라를 지속적으로 추적하고 그룹의 크리덴셜 수집 작업이 다양화됨에 따라 TTP의 변화를 관찰하고 있습니다. 특히, TAG-53이 전략적인 캠페인에 유사한 기법을 장기간 사용하는 것을 강조하며 특별히 맞춤화된 인프라를 사용하는 일관된 추세가 나타났습니다.
독자는 네트워크 모니터링, 침입 탐지 시스템, 방화벽 및 관련 경계 보안 어플라이언스에서 Recorded Future 플랫폼을 통해 TAG-53 보고와 관련하여 참조된 지표를 탐지, 차단 및 추적해야 합니다.
부록 A - 지표
도메인
access-confirmation[.]com
allow-access[.]com
antibots-service[.]com
blueskynetwork-shared[.]com
botguard-checker[.]com
botguard-web[.]com
challenge-identifier[.]com
checker-bot[.]com
cija-docs[.]com
클라우드 안전[.]온라인
cloud-us[.]online
dns-cache[.]online
dns-cookie[.]com
dns-mvd[.]ru
docs-web[.]online
drive-control[.]com
drive-globalordnance[.]com
드라이브 프리뷰어[.]com
드라이브어스[.]온라인
dtgruelle-drive[.]com
dtgruelle-us[.]com
encompass-shared[.]com
filter-bot[.]com
goweb-protect[.]com
guard-checker[.]com
land-of-service[.]com
live-identifier[.]com
mvd-redir[.]ru
network-storage-ltd[.]com
nonviolent-conflict-service[.]com
proxycrioisolation[.]com
redir-document[.]com
응답-필터[.]com
response-redir[.]com
sangrail-share[.]com
share-drive-ua[.]com
transfer-record[.]com
umopl-drive[.]com
IP 주소
23[.]254[.]201[.]243
45[.]66[.]248[.]9
45[.]86[.]230[.]198
45[.]153[.]229[.]79
64[.]44[.]101[.]31
77[.]91[.]126[.]16
77[.]91[.]126[.]35
77[.]91[.]126[.]46
77[.]91[.]126[.]62
77[.]91[.]126[.]64
77[.]91[.]126[.]66
77[.]91[.]126[.]69
77[.]91[.]69[.]109
85[.]239[.]53[.]210
85[.]239[.]60[.]18
85[.]239[.]61[.]49
85[.]239[.]61[.]86
138[.]124[.]187[.]143
138[.]124[.]187[.]222
142[.]11[.]209[.]171
142[.]11[.]209[.]180
142[.]11[.]210[.]53
146[.]19[.]230[.]182
146[.]59[.]102[.]76
185[.]164[.]172[.]128
185[.]164[.]172[.]220
185[.]179[.]188[.]73
185[.]179[.]189[.]32
185[.]179[.]189[.]43
185[.]179[.]189[.]45
192[.]119[.]65[.]114
192[.]119[.]97[.]190
192[.]119[.]112[.]249
192[.]129[.]154[.]225
192[.]236[.]195[.]114
192[.]236[.]193[.]194
193[.]200[.]17[.]102
195[.]246[.]110[.]45
부록 B — Mitre ATT&CK 기법
| 전술: 기법 | ATT&CK 코드 |
| 방어 회피: 가장 | T1036 |
| 정찰: 정보 피싱 | T1598 |
| 자원 개발: 무대 기능 | T1608 |
관련