>
연구(Insikt)

레드알파, 글로벌 인도주의 단체, 싱크탱크, 정부 기관을 대상으로 다년간 크리덴셜 도용 캠페인 실시

게시일: 2022년 8월 16일
작성자: Insikt Group®

insikt-group-logo-updated-3-300x48.png

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 내용입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

이 보고서는 중국 국가가 후원하는 것으로 추정되는 위협 활동 그룹 RedAlpha가 수행한 여러 캠페인에 대해 자세히 설명합니다. 이 활동은 대규모 자동 네트워크 트래픽 분석과 전문가 분석의 조합을 통해 식별되었습니다. 데이터 소스에는 Recorded Future® 플랫폼, SecurityTrails, PolySwarm, DomainTools Iris, urlscan 및 일반적인 오픈 소스 도구와 기술이 포함됩니다. 중국의 사이버 위협 활동과 관련된 전략 및 운영 인텔리전스 요구 사항이 있는 개인과 조직은 물론 글로벌 인도주의 단체, 싱크탱크, 정부 기관이 가장 관심을 가질 것입니다. 이 보고서를 발행하기 전에 Recorded Future는 사고 대응 및 해결 조사를 지원하기 위해 모든 영향을 받는 조직에 확인된 활동을 알렸습니다.

Executive Summary

레코디드 퓨처는 중국 공산당이 조직적으로 자행하는 인권 침해에 대한 인도주의 단체 및 미디어 단체의 정기적인 보고와 함께, 이러한 인권 침해를 뒷받침하는 데 사용되는 정보 수집을 촉진하기 위한 것으로 보이는 중국 정부의 사이버 스파이 활동 및 감시 캠페인을 정기적으로 관찰하고 있습니다. 이 중 2018년 6월에 보고한 바와 같이 중국 국가가 후원하는 것으로 추정되는 위협 활동 그룹 RedAlpha(Deepcliff, Red Dev 3)의 활동을 계속 추적하고 있습니다. 이후 이 그룹이 주로 전 세계의 인도주의 단체, 싱크탱크, 정부 기관을 대상으로 대규모 인증정보 도용 활동을 하는 것을 지속적으로 관찰해 왔습니다.

지난 3년 동안 레드알파는 국제인권연맹(FIDH), 국제앰네스티, 머케이터 중국연구소(MERICS), 라디오 자유 아시아(RFA), 대만 미국연구소(AIT) 등 중국 정부의 전략적 이해관계에 속하는 글로벌 정부, 싱크탱크, 인도주의 단체를 스푸핑하는 수백 개의 도메인을 등록하고 무기화하는 것을 목격했습니다. 역사적으로 이 단체는 티베트 및 위구르 지역 사회의 개인과 단체를 포함한 소수 민족 및 종교적 소수자를 직접적으로 표적으로 삼기도 했습니다. 이 보고서에서 강조한 바와 같이, 최근 몇 년 동안 레드알파는 정치 정보를 수집하기 위해 대만의 정치, 정부 및 싱크탱크 조직을 스푸핑하는 데 특별한 관심을 보였습니다.

주요 판단

  • 레드알파는 중국 국가를 대신해 사이버 스파이 활동을 수행하는 계약업체가 원인일 가능성이 높습니다. 이 평가는 중국 공산당의 전략적 이익에 부합하는 그룹의 일관된 표적화, 인물 및 중화인민공화국(PRC)에 위치한 민간 기업과의 역사적 연관성 , 중국 정보기관이 민간 계약업체를 정기적으로 사용하는 광범위한 문서화된 사례를 기반으로 합니다.
  • 이 활동에서 레드알파는 표적이 된 개인과 조직의 이메일 계정 및 기타 온라인 커뮤니케이션에 액세스하려고 했을 가능성이 높습니다.
  • 레드알파의 인도주의 및 인권 관련 단체인 국제앰네스티와 FIDH에 대한 표적 공격과 스푸핑은 중국 공산당이 위구르족, 티베트인, 기타 중국 내 소수 민족 및 종교 집단에 대한 인권 침해가 보고되고 있는 상황에서 특히 우려스러운 일입니다.

배경

적어도 2015년부터 대량의 운영 인프라를 통제하고 높은 운영 속도를 유지해 왔지만, 지난 몇 년 동안 레드알파 활동에 대한 공개 보고는 거의 이루어지지 않았습니다. 2018년 시티즌랩에 의해 처음 발견된 이 그룹은 티베트 커뮤니티와 기타 소수 민족을 비롯해 남아시아 및 동남아시아의 사회 운동, 미디어 그룹, 정부 기관을 대상으로 크리덴셜 피싱 작업을 수행하는 것이 관찰되었습니다. 2018년 6월에는 티베트 커뮤니티를 표적으로 삼아 궁극적으로 오픈 소스 멀웨어 제품군인 NjRAT를 배포한 2건의 RedAlpha 캠페인과 관련된 활동을 공개했습니다. 이 두 캠페인은 WHOIS 등록자 데이터 일치, 티베트 커뮤니티의 공통 타겟팅, 호스팅 중복을 기반으로 한 CitizenLab의 보고와 겹쳤습니다. 이 보고서에서 살펴본 레드알파의 활동은 레드데브3라는 이름으로 이 그룹을 추적한 PWC의 2021년 연례 보고서에도 언급되어 있습니다.

과거 레드알파의 활동은 티베트인, 위구르인, 파룬궁 지지자 등 중국 내에서 박해를 받아온 여러 민족 및 종교적 소수자 커뮤니티를 대상으로 했습니다. 일반적으로 중국 내 소수 민족 및 종교 관련 단체와 개인, 특히 소위 '오독(五毒)'에 속하는 단체와 개인은 수년 동안 중국 정보 기관과 연계된 사이버 위협 활동 그룹의 빈번한 표적이 되어 왔습니다. 여기에는 바티칸과 티베트 및 홍콩 가톨릭 공동체와 관련된 조직을 표적으로 삼은 RedDelta(Mustang Panda, TA416), 중국 기독교 종교인의 이메일을 노리는 중국 국가안전부(MSS) 계약자, 홍콩 민주화 운동과 관련된 활동가 및 기타 개인을 정찰하는 APT41(바륨), 제로데이 취약점을 이용해 위구르족을 공격한 사례 등이 포함돼 있습니다.

위협 분석

지난 3년 동안 레코디드 퓨처는 레드알파가 대규모 운영 인프라 클러스터를 사용하여 캠페인을 지원하는 크리덴셜 피싱 활동을 지속적으로 수행하는 것을 관찰했습니다. 이 기간 동안 이 그룹은 일관된 전술, 기법 및 절차(TTP)를 보여주었습니다. 2019년 말과 2020년 초에 이 그룹은 공개 보고에 표시된 GoDaddy를 통한 도메인 등록, Choopa(Vultr) 및 포윈 텔레콤 인프라 호스팅과 같은 오래된 인프라 TTP에서 다음 섹션에 설명된 인프라로 전환한 것으로 보입니다.

레드알파 인프라 전술, 기법 및 절차

적어도 2015년부터 레드알파는 인증정보 도용 캠페인에 사용하기 위해 지속적으로 대량의 도메인을 등록하고 무기화했습니다. 이러한 도메인은 일반적으로 잘 알려진 이메일 서비스 제공업체를 모방하고 특정 조직을 스푸핑하여 RedAlpha 활동의 직접적인 표적이 되거나 가까운 조직 및 개인을 대상으로 하는 활동에서 해당 조직을 사칭하는 데 사용할 수 있습니다. 2021년에는 그룹에서 등록한 도메인의 수가 총 350개가 넘는 등 크게 증가했습니다. 이 기간 동안 그룹의 인프라 TTP의 특징은 다음과 같은 기준을 통해 이러한 활동을 하나로 묶을 수 있었습니다:

  • re셀러클럽[.]com 사용 네임서버
  • 가상 사설 서버(VPS) 호스팅 제공업체 Virtual Machine Solutions LLC(VirMach) 사용
  • 수백 개의 도메인에서 "mydrive-", "accounts-", "mail-", "drive-", "files-" 문자열 사용 등 일관된 도메인 이름 지정 규칙을 사용합니다.
  • 중복되는 WHOIS 등록자 이름, 이메일 주소, 전화번호 및 조직
  • 특정 서버 측 기술 구성 요소 및 가짜 HTTP 404 찾을 수 없음 오류 사용

야후(135개의 타이포스쿼트 도메인), 구글(91개의 타이포스쿼트 도메인), 마이크로소프트(70개의 타이포스쿼트 도메인) 등 주요 이메일 및 스토리지 서비스 제공업체의 일반적인 스푸핑 외에도 인도주의 단체, 싱크탱크, 정부 기관을 포함한 많은 수의 도메인이 타이포스쿼트로 사용되는 것을 관찰할 수 있었습니다:

  • 라디오 자유 아시아
  • 메르카토르 중국 연구소
  • 국제 앰네스티
  • 국제 인권 연맹
  • 미국 상공회의소(AmCham 대만 포함)
  • 퍼듀 대학교
  • 인도 국립 정보학 센터
  • 대만 민진당
  • 대만 미국 연구소
  • 전 세계 여러 국가의 외교부

다음 섹션에서 강조된 많은 경우에서 관찰된 피싱 페이지는 위에 명시된 특정 조직의 합법적인 이메일 로그인 포털을 모방했습니다. 이는 단순히 이러한 조직을 모방하여 다른 제3자를 표적으로 삼기보다는 해당 조직과 직접적으로 관련된 개인을 표적으로 삼은 것으로 추정됩니다. 다른 경우에는 피싱 페이지가 유명 메일 제공업체의 일반 로그인 페이지를 사용했으며 의도된 타겟팅이 모호했습니다. 이 그룹은 식별된 피싱 사이트로 연결되는 링크가 포함된 기본 PDF 파일을 사용했으며, 일반적으로 사용자가 파일을 미리 보거나 다운로드하려면 링크를 클릭해야 한다는 내용을 담고 있습니다.

인도주의 단체 및 싱크탱크 타겟팅

앞서 언급했듯이 레드알파는 MERICS, FIDH, 국제 앰네스티, RFA 및 여러 대만 싱크탱크 등 인도주의 단체와 싱크탱크를 모방한 도메인을 정기적으로 등록해 왔습니다. 특히, 2021년 초부터 중반까지 MERICS를 스푸핑하는 최소 16개의 도메인이 등록된 시기는 2021년 3월 중국 외교부(MOFA)가 베를린 소재 싱크탱크에 제재를 가한 시기와 일치합니다.

대만에 대한 레드알파의 일관된 초점

지난 3년 동안 레드알파는 대만 또는 대만에 기반을 둔 정부, 싱크탱크, 정치 단체를 스푸핑하는 도메인을 지속적으로 등록하는 것을 관찰했습니다. 특히 지난해 대만에 대한 미-중 간 긴장이 고조되던 시기에 대만 주재 미국 대사관인 AIT를 모방한 도메인을 여러 개 등록한 사례도 있었습니다. 더 광범위한 활동과 마찬가지로, 이러한 도메인은 Outlook과 같은 인기 있는 이메일 공급업체의 가짜 로그인 페이지를 사용하는 크리덴셜 피싱 활동과 특정 조직에서 사용하는 짐브라와 같은 다른 이메일 소프트웨어를 에뮬레이션하는 데 사용되었습니다(그림 6 참조). 대만 조직을 스푸핑하는 것으로 확인된 타이포스쿼트 도메인의 샘플 목록은 표 1에 포함되어 있습니다.

레드알파의 외교부 및 대사관 표적 공격

PWC의 2021년 연간 리뷰 보고서에서 언급했듯이, 지난 몇 년 동안 레드알파의 활동은 여러 국가의 외교부를 사칭한 크리덴셜 피싱 캠페인으로 확대되었습니다. 대만과 포르투갈의 외교부 웹메일 로그인 포털을 모방한 피싱 페이지(그림 7 및 8 참조)와 브라질과 베트남의 외교부를 스푸핑한 여러 도메인이 관찰되었습니다. 이전 섹션에서는 AIT를 모방한 도메인의 일관된 사용에 대해서도 강조했습니다. 이 그룹은 또한 인도 정부의 광범위한 IT 인프라와 서비스를 관리하는 인도 국가정보센터(NIC)의 로그인 페이지를 지속적으로 스푸핑해 왔습니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

관련