한국의 학계, 정부, 정치 단체를 표적으로 삼은 다년간의 중국 APT 캠페인
레코디드 퓨처의 인식트 그룹은 중국 국가 지원 단체의 소행으로 알려진 장기간의 사이버 첩보 캠페인인 TAG-74에 대한 분석을 실시했습니다. TAG-74는 주로 한국의 학계, 정치계, 정부 기관에 침투하는 데 주력합니다. 이 그룹은 중국 군사 정보와 연계되어 있으며 한국, 일본, 러시아의 학술, 항공우주 및 방위, 정부, 군사, 정치 기관에 심각한 위협을 가하고 있습니다. TAG-74의 한국 교육 기관 표적 공격은 지적 재산권 도용과 전 세계 고등 교육 기관 내 영향력 확대를 목표로 하는 중국의 광범위한 첩보 활동과 맞물려 있습니다.
중국 국가가 후원하는 행위자들이 한국에서 정보를 수집하는 동기는 지역적 근접성과 인도 태평양에서 미국과 중국의 지역 동맹국들과의 경쟁에서 한국의 전략적 역할 때문일 수 있습니다. 최근 중국이 한국의 미국과의 긴밀한 관계와 대만에 대한 관여, 그리고 미국과 일본의 중국 봉쇄에 대한 우려를 표명하면서 긴장이 고조되고 있습니다. 중국이 한국 기업과의 외교 및 비즈니스 관계를 형성하기 위한 정보를 모색함에 따라 남북 협력과 관련된 스푸핑 도메인과 미끼 문서를 포함한 TAG-74의 정보 수집 활동은 더욱 강화될 것으로 예상됩니다.
한국을 타깃으로 한 TAG-74 캠페인에서 관찰된 전형적인 감염 사슬 (출처: 레코디드 퓨처)
TAG-74는 한국, 일본, 러시아 조직에 대한 정보 수집을 전문으로 하는 중국의 국가 지원 위협 활동 그룹입니다. 그들의 전술, 기술 및 절차(TTP)에는 .chm 사용이 포함됩니다. 파일은 실행 체인을 가로채는 DLL 검색 순서를 트리거하여 사용자 정의된 버전의 VBScript 백도어 ReVBShell을 로드합니다. 또한, ReVBShell을 통한 초기 액세스가 설정되면 Bisonal이라는 사용자 지정 백도어를 사용하여 기능을 향상시킵니다. 이 맞춤형 ReVBShell 변종은 TAG-74와 밀접하게 관련된 또 다른 위협 활동 그룹인 Tick Group이 공유한 것으로 보이며, 이는 이들 그룹 간의 협업을 나타냅니다.
TAG-74가 한국 조직을 지속적으로 표적으로 삼고 있고 북부 극장 사령부와의 작전 연계 가능성이 높다는 점은 이 단체가 한국, 일본, 러시아에서 적극적이고 장기적인 정보 수집 활동을 계속할 것임을 시사합니다. 특히 .chm 파일에 대한 중국 국가 지원 행위자는 한국 외 지역에서는 특별히 흔하지 않습니다. 그러나 이 공격 벡터가 한국을 표적으로 하는 활동에서 사용된 것은 TAG-74 캠페인과 더 광범위하게는 북한의 국가 후원 위협 활동 그룹인 킴수키와 APT37의 활동에서 모두 확인되었습니다. 조직은 .chm의 존재 및 사용 여부를 모니터링해야 합니다. 파일은 특히 최근 몇 년 동안 위협 공격자들 사이에서 널리 사용되는 수법이기 때문에 해당 환경 내에서 일반적으로 사용되지 않는 경우 특히 주의해야 합니다.
전체 분석 내용을 읽으려면 여기를 클릭하세요.
부록 A — 침해 지표
도메인 alleyk.onthewifi[.]com anrnet.servegame[.]com asheepa.sytes[.]net attachdaum.servecounterstrike[.]com attachmaildaum.servecounterstrike[.]com attachmaildaum.serveblog[.]net bizmeka.viewdns[.]net bucketnec.bounceme[.]net chsoun.serveftp[.]com ckstar.zapto[.]org daecheol.myvnc[.]com eburim.viewdns[.]net eduin21.zapto[.]org elecinfonec.servehalflife[.]com foodlab.hopto[.]org formsgle.freedynamicdns[.]net formsgle.freedynamicdns[.]org fresh.servepics[.]com global.freedynamicdns[.]net global.freedynamicdns[.]org hairouni.serveblog[.]net hamonsoft.serveblog[.]net hanseo1.hopto[.]org harvest.my-homeip[.]net hometax.onthewifi[.]com hwarang.myddns[.]me jaminss.viewdns[.]net janara.freedynamicdns[.]org jeoash.servemp3[.]com jstreco.myftp[.]biz kanager.bounceme[.]net kcgselect.servehalflife[.]com kjmacgk.ddnsking[.]com kookmina.servecounterstrike[.]com ksd22.myddns[.]me kumohhic.viewdns[.]net kybook.viewdns[.]net leader.gotdns[.]ch likms.hopto[.]org logindaums.ddnsking[.]com loginsdaum.viewdns[.]net mafolog.serveminecraft[.]net mailplug.ddnsking[.]com minjoo2.servehttp[.]com mintaek.bounceme[.]net munjanara.servehttp[.]com necgo.serveblog[.]net pattern.webhop[.]me pixoneer.myvnc[.]com plomacy.ddnsking[.]com proeso.servehttp[.]com prparty.webhop[.]me puacgo1.servemp3[.]com saevit.servebeer[.]com safety.viewdns[.]net samgiblue.servegame[.]com sarang.serveminecraft[.]net satreci.bounceme[.]net sejonglog.hopto[.]org signga.redirectme[.]net skparty.myonlineportal[.]org steering.viewdns[.]net stjpmsko.serveblog[.]net surveymonkey.myddns[.]me themiujoo.viewdns[.]net tsuago.servehalflife[.]com tsuagos.servehalflife[.]com unipedu.servebeer[.]com visdpaka.servemp3[.]com visual.webhop[.]me wwl1764.ddnsking[.]com IP 주소 45.133.194[.]135 92.38.135[.]92 107.148.149[.]108 141.164.60[.]28 148.163.6[.]214 158.247.223[.]50 158.247.234[.]163 Bisonal 01e5ebc2c096d465800660a0ad6d62208a5b2b675e3700f3734fac225b1d38bd 11cd4b64dcac3195c01ffc937ae1eb77aa2f98d560a75347036d54a1cf69a5fd a88ca28b0948e810d4eb519db7b72a40cfe7907ce4c6a881a192880278f3c8b5 89f250599e09f8631040e73cd9ea5e515d87e3d1d989f484686893becec1a9bc 0ea0b19c562d20c6ac89a1f2db06eedcb147cde2281e79bb0497cef62094b514 ReVBShell(디코딩됨) aa4ad5341a9258330abd732cbab3721d76764f1ff21a8f960622661d701a1a71 8f50f49e77ddcc7ef639a76217b2eb25c48f9ce21ae8341050d0da49b89b7b34 ae0f641dc9d33ee50990971104ef1c598e216693700be6b74bb1e9ef373af97c 465c7c6a0f23ba5f928fc0d0cdc4d9f6ec89e03dcedafc3d72b3b3c01a54a00c 6a59421fd225d90439b6a933458718cf43dbe518c63979e8980bc070c070558a df7d584d56af6fcf3cca31ed0d3a4d34abd2c1019b8d223a230f8a78075a7d9a 078a8026f32b8d05258285dc527408388c651f6c3eaebc45f8bb3f4b42248631 로더 DLL c643598b4ee0e9b3b70dae19437bbec01e881a1ad3b2ec1f6f5c335e552e5d6e 9425666e58b200306935c36301d66a4bf2c831ad41ea0ee8984f056257b86eb6 a16997954b64499479b4721c9f742b5d2875496f2035e1c654b06694981041b2 0d0acd7e7257a715c10dded76acb233adc8fdfe32857eda060bd1448e8b54585 0ea02fddf2ec96d4aee8adaffda2dd5fab0ea989b0c3f8c1577a1be22ee9153a e3cdaa9bfba6bfac616b7f275c1e888b8910efcb8a3df071f68ad1e83710bd61 9fdb528949a2b80ac40cb7d3333bdff5d504294cc3d90cf353db72b8beffd2b2 607f324c3427916d67369e40af72aa441f3ca7be1e0ec6c53c3558fc7a1c4186 8efc5db8c678bdf27dacbf033842c2ef676c979afdc4561cb8d315d2d488491f CHM 파일 beb09817608daba003589292a6cca2f724c52f756df2ef0e230380345d702716 ba07ee6409908384172511563e6b9059cf84121fcb42c54d45c76ec67cb36d7c bf1d1f5157756529d650719cc531ec2de94edb66ae1dabd00ed6f4b90a336d9c 2dd7c9ea32f5b2a4d431fc54aa68cd76837f80bb324ef2e4e1e5134e467e35af 56c9235e55b1a6371762159619e949686d8de2b45a348aeb4fd5bed6a126f66a dda47ba7a41c9a2f041cc10f9b058a78e0019315c51cc98d0f356e2054209ae5 cf5bbbcb3f4d5123c08635c8fd398e55e516893b902a33cd6f478e8797eea962 HTML 파일 b3a8ea3b501b9b721f6e371dd57025dc14d117c29ce8ee955b240d4a17bc2127 9d10de1c3c435927d07a1280390faf82c5d7d5465d772f6e1206751400072261 0eea610ec0949dc602a7178f25f316c4db654301e7389ee414c9826783fd64c0 8073593a7311bc23f971352c85ce2034c01d3d3fbbe4f99a8f3825292e8f9f77 e1748e7e668d6fc7772e95c08d32f41ad340f4a9acf0e2f933f3cbeba7323afa 0d6893c7a3a7afc60b81c136b1dcdfb24b35efab01aac165fe0083b9b981da7c 77fbb82690c9256f18544e26bb6e306a3f878d3e9ab5966457ac39631dfd2cb0 파일명 한국해양 & OCEAN UNIVERSITY.chm SPM_(협력사)_사용자매뉴얼_v2.1.chm 세종대학교 DID 연락처 Ver1.0(202103 현재).chm 서울기독대 전자출결-웹페이지 교수자-메뉴얼 Ver1.0.chm 2022년도_기초과학연구역량강화사업_착수보고회_개최_계획 Ver1.1.chm 국토위 위원명단(사진)_Ver_1.2.chm 비젠테크_Seculetter_제품소개서_2021 v1.4.chm 통일부 남북경협관련 법인 연락처_Ver2.1.chm |
부록 B — Mitre ATT&CK 기법
전술: 기법 | ATT&CK 코드 |
초기 액세스 - 스피어피싱 첨부 파일 | T1566.001 |
실행 - 명령 및 스크립팅 인터프리터: Visual Basic | T1059.005 |
실행 - 사용자 실행: 악성 파일 | T1204.002 |
지속성 - 부팅 또는 로그온 자동 시작 실행: 레지스트리 실행 키/시작 폴더 | T1547.001 |
방어 회피 - 하이재킹 실행 흐름: DLL 검색 순서 하이재킹 | T1574.001 |
방어 회피 - 시스템 바이너리 프록시 실행: 컴파일된 HTML 파일 | T1218.001 |
방어 회피 - - 실행 가드레일 | T1480 |
Discovery - 소프트웨어 검색: 보안 소프트웨어 검색 | T1518.001 |
명령 및 제어 - 데이터 인코딩: 표준 인코딩 | T1132.001 |
명령 및 제어 - 애플리케이션 계층 프로토콜: 웹 프로토콜 | T1071.001 |
명령 및 제어 - 암호화된 채널: 대칭 암호화 | T1573.001 |
유출 - C2 채널을 통한 유출 | T1041 |
관련