>
연구(Insikt)

RedAlpha: 티베트 커뮤니티를 타깃으로 한 새로운 캠페인 발견

게시일: 2018년 6월 26일
작성자: Insikt Group®

insikt-group-logo-updated-3-300x48.png

전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.

범위 참고: 레코디드 퓨처는 티베트 커뮤니티를 노리는 새로운 멀웨어를 분석했습니다. 이 보고서에는 멀웨어 자체 및 관련 인프라에 대한 자세한 분석이 포함되어 있습니다. 출처로는 Recorded Future의 플랫폼, VirusTotal, ReversingLabs, 타사 메타데이터, 일반적인 OSINT 및 네트워크 메타데이터 강화(예: DomainTools Iris 및 PassiveTotal), 연구자 협업 등이 있습니다.1 이 연구의 목적은 두 가지로, 잠재적 피해자를 보호하기 위해 활용할 수 있는 지표를 제공하고 적의 TTP 변화 가능성에 대한 인식을 제고하는 것입니다.

Executive Summary

레코디드 퓨처의 인식트 그룹은 지난 2년간 티베트 커뮤니티를 겨냥한 두 건의 새로운 사이버 스파이 캠페인을 발견했습니다. RedAlpha라고 명명된 이 캠페인은 가벼운 정찰, 선택적 타겟팅, 다양한 악성 툴을 결합합니다. 이 활동은 인도에 기반을 둔 티베트 커뮤니티를 표적으로 삼은 새로운 멀웨어 샘플에서 피벗한 결과 발견되었습니다.

인식트 그룹이 새로운 캠페인의 인프라 중복을 분석한 결과, 남아시아 및 동남아시아 정부 외에도 중국의 '5대 독(五毒)2'이 더 광범위하게 표적이 되고 있는 것으로 나타났습니다. 캠페인의 '다섯 가지 독' 관련 조직 표적화, 중복되는 인프라, 연구 중에 발견된 다른 중국 APT가 사용하는 멀웨어와의 연결 고리를 바탕으로, 저희는 레드알파 캠페인이 중국 APT에 의해 수행된 것으로 중간 정도의 확신을 가지고 평가합니다.

주요 판단

  • 티베트 커뮤니티를 대상으로 새롭게 발견된 두 개의 레드알파 캠페인은 2017년과 2018년에 진행되었습니다. 이해를 돕기 위해 명령 및 제어(C2) 서버의 이름을 따서 '2017 hktechy' 및 '2018 internetdocss' 캠페인이라고 부릅니다.
  • 공격자의 공격 기법은 2017년 맞춤형 드롭퍼와 NetHelp 인포스틸러 임플란트로 구성된 맞춤형 멀웨어에서 2018년 맞춤형 유효성 검사기와 njRAT 상품 멀웨어로 진화했습니다. 2018년 인터넷닥스 캠페인은 또한 검색의 영향을 줄이고 독점 도구의 손실과 인프라 유지에 드는 비용을 피하기 위해 축소된 인프라를 활용했습니다.
  • 두 캠페인 모두 여러 C2 서버로 구성된 페이로드를 사용했지만, 두 캠페인의 멀웨어는 모두 doc.internetdocss[.] C2 도메인을 사용하여 두 캠페인을 하나로 묶습니다.
  • CVE-2017-0199를 악용한 악성 Microsoft Word 문서도 레드알파 캠페인에 사용되었습니다. 이 샘플은 이전 Recorded Future 연구에서 강조한 57일간의 CNNVD 취약점 공개 지연 기간 동안 야생에서 처음 발견되었으며, CNNVD의 공개 지연이 중국 위협 공격자들이 익스플로잇을 작동시키기 위한 것이라는 가설을 더욱 뒷받침합니다.
  • 이전 활동과의 흥미로운 연관성으로는 넷트래블러, 아이스포그, 디디독 APT가 사용한 FF-RAT 및 공통 인프라의 역사적인 사용과 마일 티 캠페인이 있습니다.

배경

수년 동안 티베트 및 위구르 커뮤니티는 익스플로잇, 피싱, 워터링홀 공격, Windows, MacOS, 최근에는 Android를 포함한 여러 플랫폼을 악용하는 멀웨어를 통해 많은 위협 행위자의 표적이 되어 왔습니다. 당연히 공격자 중에는 원조 윈티 그룹, 럭키캣, 넷트래블러를 비롯해 미니듀크, 이퀘이션 그룹과 같은 중국 위협 조직이 다수 포함되어 있습니다. 연구자들은 표적 커뮤니티를 지원함으로써 새로운 악성 캠페인을 발견하는 동시에 피해자를 보호할 수 있지만, 반복적인 발견은 궁극적으로 공격자를 억제하는 데 거의 도움이 되지 않습니다.

레드알파 캠페인은 2017년 중반에 인도의 티베트 커뮤니티를 대상으로 시작되었습니다. 최신 캠페인은 2018년 4월 말에 새로운 하위 도메인을 등록하는 등 계속 진행 중입니다. 위협 행위자는 피해자 정찰과 핑거프린팅을 신중하게 조합한 후 다단계 멀웨어로 선택적 타깃팅을 수행했습니다. 사용된 멀웨어는 2017년 캠페인의 신뢰할 수 있는 맞춤형 툴셋에서 보다 신중하고 스파르타적인 접근 방식으로 바뀌었고, 2018년에는 상용 멀웨어로 마무리되었습니다. 이 두 캠페인을 연속적으로 관찰하는 것은 비교적 잘 알려지지 않은 위협 행위자의 진화를 보여줍니다.

redalpha-cyber-campaigns-1.png

레드알파 캠페인에서 선택한 활동의 향후 타임라인을 기록합니다.

레드알파 캠페인 개요

명령 및 제어(C2) 서버 중 하나의 이름을 딴 2017 hktechy 캠페인은 2017년 6월에 시작되었습니다. 이 악성 코드는 32비트 및 64비트 Windows 시스템 모두에 대해 두 단계의 맞춤형 멀웨어를 사용했습니다. 첫 번째 단계는 페이로드를 다운로드하고 Windows 서비스로서 지속성을 설정하도록 설계된 간단한 드롭퍼였습니다. 다음 단계는 시스템 정보를 수집하고 파일과 전체 디렉터리를 압축하여 유출하도록 설계된 인포스틸러였습니다. 이 멀웨어는 IIS로 구성된 서버에 의존하는 이중 C2 인프라를 사용했을 뿐만 아니라 POST 요청을 통해 파일과 정보를 두 번째 서버로 전송했습니다.

2017년 hktechy 캠페인의 C2 도메인 등록에 사용된 것과 동일한 이메일 주소가 홍콩 IP로 확인된 다른 도메인 등록에도 사용된 것을 발견했습니다. 이 IP는 올해 초 시티즌랩이 보고한 2016년과 2017년에 티베트인을 대상으로 한 피싱 캠페인과 연관된 적이 있습니다. 이러한 인프라의 중첩으로 인해 세 가지 캠페인 모두 동일한 위협 행위자의 소행으로 파악할 수 있었습니다. 이 역사적인 활동은 남아시아 및 동남아시아 국가의 정부 네트워크를 포함하여 이 그룹의 광범위한 타겟팅 프로필을 보여주었습니다. 이 보고서는 또한 이 그룹이 피해자의 네트워크에 접근하기 위해 마이크로소프트, 구글, 야후와 같은 서구의 웹메일 및 클라우드 서비스 제공업체를 스푸핑했다는 점을 강조했습니다.

시티즌랩은 이들이 관찰한 캠페인의 배후가 '엉성한' 기술을 선보이고 값싼 인프라를 활용한 '저급한 계약자'였을 가능성이 있다고 평가했습니다. 2017년 hktechy 캠페인을 관찰한 결과, 공격자는 처음부터 중복 통신을 통해 맞춤형 멀웨어를 사용하는 데 능숙했으며, 이는 공격자의 정교함 수준이 높아졌음을 시사합니다.

2018년 인터넷닥스 캠페인은 1월에 시작되어 최소 2018년 4월 말까지 계속되었습니다. 이 캠페인은 맞춤형 1단계 드롭퍼가 추가 드롭을 시도하기 전에 피해자의 환경을 확인하고 기본 시스템 정보를 C2에 비콘으로 전송하는 검증기 스타일의 임플란트로 대체되면서 갑자기 hktechy 툴킷에서 벗어난 것으로 밝혀졌습니다. 그런 다음 공격자는 특정 피해자 컴퓨터에 상용 멀웨어인 njRAT를 선택적으로 배포했습니다. 두 단계가 피해자 정찰, 드롭, 탈출 등 공격 캠페인의 모든 측면을 위해 단일 C2 서버와 통신하는 것을 발견했습니다.

맞춤형 툴링에서 상용 멀웨어로의 전환은 APT 연구 커뮤니티에서 관찰된 공격자 TTP의 광범위한 변화를 나타냅니다. 더 많은 조사를 받게 되면서 범죄 집단과 국가가 후원하는 집단 모두 상용 멀웨어와 침투 테스트 도구에 점점 더 의존하고 있습니다. 이러한 변화는 공격자들에게 두 가지 부가가치를 제공합니다. 첫째, 공격자들이 일반적인 툴을 더 많이 사용할 수 있도록 하고, 둘째, 공격이 발견되었을 때 툴을 재구성하는 데 드는 비용을 낮춤으로써 공격자들에게 두 가지 부가가치를 제공합니다.

2018년 인터넷닥스 캠페인에서 보여준 신중하고 선별적인 타겟팅은 경험이 많은 행위자나 조직이 현재 진행 중인 캠페인에 관여하고 있다는 이론을 뒷받침합니다. 미숙한 공격자들은 피해 기관을 여러 번 공격하는 경향이 있으며, 동일한 피해자를 여러 번 표적으로 삼고 정찰 단계를 생략한 채 시끄러운 스매시 앤 그랩 스타일의 작전을 선호하는 경향이 있습니다. 조사 결과, 이 그룹의 타겟팅은 매우 치밀합니다. 공격자는 원하는 피해자를 정찰하는 것부터 시작하여 C2 서버를 통해 합법적인 뉴스 기사로 연결함으로써 피해자의 운영 체제에 핑거프린팅을 할 수 있었습니다. 이러한 드롭을 관찰한 결과, 클릭을 시도한 사람들 중 일부만이 티베트 학자를 위한 도움을 요청하는 세심한 미끼를 제공받았습니다. 첨부 파일은 지속성을 설정하고 1단계 유효성 검사기 임플란트를 배포하는 익스플로잇 문서였습니다.

공격자 식별의 최종 단계에서 검증자 임플란트는 일반적인 안티바이러스 솔루션에 대한 피해자 환경을 조사하고 가상 환경을 연구하며 기본적인 피해자 시스템 정보를 전송하는 반복적인 비콘을 설정합니다. 이러한 보호 조치는 hktechy 캠페인의 맞춤형 툴킷에는 없었습니다. 그런 다음 공격자는 njRAT 상품 멀웨어 페이로드를 제공할 피해자를 신중하게 선택했습니다.

레드알파 캠페인과 관련된 샘플은 두 캠페인에서 모두 20개 미만으로 매우 드물게 발견되었습니다. 커스텀 샘플은 C++로 코딩됩니다. 2018년 드롭퍼는 주로 중국어 포럼과 블로그에서 볼 수 있는 공개 소스 코드 조각을 묶어 Haxe라는 희귀한 C++ 크로스 플랫폼 프레임워크에 의존했습니다.

저희는 레드알파 캠페인과 그 이전 작전에 사용된 무수히 많은 인프라를 발견했으며, 이를 아래 Maltego 차트에 정리했습니다:

redalpha-cyber-campaigns-2-alt.png

2017~2018 레드알파 캠페인 인프라(이미지를 클릭하면 크게 볼 수 있습니다).

기술적 분석: 멀웨어 및 툴링

Hktechy 캠페인(2017년 중반)

레드알파 캠페인은 2017년 중반의 hktechy 캠페인에서 시작되었다고 평가합니다. 감염 경로는 현재 알려지지 않았지만, 간단한 드롭퍼와 페이로드인 맞춤형 다단계 멀웨어를 사용했습니다. 드롭퍼는 인포스틸러 페이로드에 대해 Windows 서비스로서 지속성을 설정했습니다. 두 단계 모두 32비트 및 64비트 Windows 시스템에서 모두 사용할 수 있습니다. 개선된 독립형 64비트 인포스틸러의 단일 샘플(넷헬프 스트라이커)도 아래에 설명되어 있습니다.

2017: 오디오 드로퍼

redalpha-cyber-campaigns-3.png

드롭퍼가 시작 파일로 자체 지속성을 설정하려고 시도했습니다. 그런 다음 http://doc.internetdocss[.]com/nethelpx86.dll에서 파일을 다운로드하여 <C:\Windows\nethelp.dll> 에 저장했습니다. 이 다음 단계 페이로드에 대한 지속성은 Windows 서비스 호스트(svchost.exe)를 통해 실행할 서비스로 nethelp.dll을 등록하여 설정되었습니다. 프로세스. 서비스가 효과적으로 실행되고 있음을 확인한 후 드롭퍼는 드롭된 파일을 삭제하고 자동으로 삭제했습니다. 그렇지 않으면 http://doc.internetdocss[.]com/audiox86.exe에서 다시 다운로드를 시도합니다, 따라서 공격자에게 예기치 않은 문제를 완화할 수 있는 업데이트 메커니즘을 제공합니다.

x86-64 변형 드롭퍼는 동일한 기능을 제공하지만 대신 동일한 C2 서버의 64비트 드롭을 참조합니다.

2017: 드로퍼 변형

redalpha-cyber-campaigns-4.png

2017: 넷헬프 인포스틸러

redalpha-cyber-campaigns-5.png

넷헬프 페이로드는 서비스로만 작동하도록 설계되었습니다(오디오 드롭퍼가 비트를 일치시켜 설정한 지속성 방법). 페이로드는 런타임에 GetProcAddress 및 LoadLibrary를 통해 API를 동적으로 연결합니다.

임플란트는 동시에 두 가지 통신 방법에 의존했습니다. < www.hktechy[.]com> 에 대한 열린 소켓으로 별도의 스레드를 생성하는 것입니다. 서버를 포트 80에 연결하고 <index.ackques[.]com> 에 POST 요청을 보냅니다. 특정 사용자 에이전트가 있는 C2 서버를 아래 그림과 같이 설정합니다:

redalpha-cyber-campaigns-6.png

파일 핸들 및 크기와 함께 매개변수로 전달된 POST 요청 템플릿입니다.

hktechy 소켓은 피해 시스템에 대한 정보를 전송하는 데 사용되었으며, POST 요청은 "index.acques[.]com/index.html"로 전송되었습니다. 주로 피해 시스템에서 zlib 압축 파일을 업로드했습니다.

redalpha-cyber-campaigns-7.png

파일 훔치기 로직에 대한 스위치 문 부분 디컴파일.

위의 스크린샷에서 볼 수 있듯이 파일 도용 로직은 다음을 포함하는 광범위한 스위치 문 형태로 임플란트에 구워졌습니다:

  • 파일 및 폴더 열거.
  • 개별 파일 업로드, 이동 및 삭제.
  • 업로드하기 전에 전체 디렉터리를 압축하려면WinRAR3e (rar.exe)를 사용합니다.
  • 전체 경로로 RAR 파일을 추출합니다.
  • 전체 디렉터리 삭제(정리 또는 기본 삭제 선택).
  • 특정 매개변수가 있는 파일 또는 프로그램 열기.

hktechy C2 메커니즘은 논리 볼륨 및 파일 목록에 대한 정보 등 피해 시스템에 대한 보다 세분화된 정보를 업로드하는 데 사용됩니다. 또한 공격자는 감염된 컴퓨터로 파일을 전송하고 필요에 따라 추가 페이로드를 실행할 수 있습니다.

바이너리의 런타임 유형 식별 기호를 분석한 결과 클라이언트 소켓 관리 코드, 명령줄 셸과의 파이프, 파일 업로드 등 일부 기능이 오픈 소스 Gh0st RAT에서 가져온 것으로 나타났습니다. "중국 소프트웨어 개발자 네트워크"의 게시물에서 "CUploadManager" 가상 클래스에 대한 추가 소스 코드가 해제된 것으로 보입니다.

2017: 넷헬프 인포스틸러 변형 버전

redalpha-cyber-campaigns-8.png

2017: 넷헬프 스트라이커 인포스틸러

공격자들은 원래 NetHelp 인포스틸러의 컴파일 타임스탬프가 생성된 지 한 달 후에 새로운 버전을 컴파일했습니다.

redalpha-cyber-campaigns-9.png

NetHelp 변형의 유사성 분석.

표준 64비트 넷헬프 인포스틸러와 최신 넷헬프 스트라이커 임플란트의 차이점은 약간의 변화가 있었으며, 완전히 새로운 기능은 10% 미만에 불과했습니다. 이러한 변경을 통해 페이로드는 자립성을 갖게 되었고, 초기 드롭퍼 모듈 없이도 자체적으로 지속성을 확보할 수 있게 되었으며 피해자의 컴퓨터에서 사용할 수 없는 타사 소프트웨어에 의존하지 않고도 문서 세트를 훔칠 수 있게 되었습니다.

2017: 넷헬프 스트라이커 인포스틸러

redalpha-cyber-campaigns-10.png

특히 이번 업데이트를 통해 인포스틸러 스트라이커 페이로드가 자체적으로 설치될 수 있게 되었습니다. 단어(x32|x86).exe의 지속성 기능을 복제했습니다. 드롭퍼를 사용하여 svchost.exe에서 실행하는 서비스("Windows 인터넷 도움말")로 nethelp.dll을 설정했습니다. 그런 다음 "install"이라는 이름의 새 내보내기를 통해 해당 기능에 액세스할 수 있습니다.

또한 이 새 버전에서는 더 이상 전체 디렉터리를 압축하기 위해 WinRar(rar.exe)의 가용성에 의존하지 않습니다. 이제 인포스틸러는 파일 크기의 변화를 모니터링하고 업데이트된 파일 사본을 C2 서버로 보냈습니다.

마지막으로 hktechy 도메인은 striker.internetdocss[.]com으로 대체되었습니다. 에서 이 변형의 이름을 따온 것입니다.

인터넷독스 캠페인(2018~현재)

레드알파 인터넷독스 캠페인은 2018년 1월에 시작되었습니다. 확인된 감염 경로는 티베트 학자에게 도움을 요청하는 사회 공학 이메일을 통해 전달된 익스플로잇 미끼 문서를 사용하는 것입니다. 이 캠페인은 단일 C2, 최소한의 도구, 보다 선택적인 감염에만 의존합니다. 이 익스플로잇 문서는 크로스 플랫폼 C++ 프레임워크와 함께 공개적으로 사용 가능한 소스 코드에서 가져온 사용자 정의 유효성 검사기 스타일의 임플란트를 설치합니다. 그런 다음 공격자는 2단계 페이로드를 전송할 가치가 있는 감염된 피해자를 선택합니다. 이 캠페인에서 확인된 유일한 2단계 하락은 상품 RAT였습니다.

2018: 2018년: 감염 벡터

redalpha-cyber-campaigns-11-alt.png

이 미끼 문서는 Microsoft Office 방정식편집기4를 악용하여 내장된 DLL을 로드하기 위해 무기화됩니다. 흥미롭게도 미끼 문서 자체에는 미국 영어, 사우디 아랍어, 중국 중국어 등 보기 드문 언어 자원이 조합되어 있습니다. 미끼(아래 그림)가 가상 머신에서 제대로 렌더링되지는 않았지만 멀웨어의 실행을 막지는 못했습니다.

redalpha-cyber-campaigns-12.png

잘못 렌더링된 루어 문서.

루어 문서가 실행되면 내장된 DLL(MD5: e6c0ac26b473d1e0fa9f74fdf1d01af8)을 로드하여 "winlogon.exe"라는 이름의 사용자 "Temp" 디렉터리에 유효성 검사기 임플란트를 드롭합니다. 지속성은 레지스트리 실행 키를 통해 설정됩니다.

redalpha-cyber-campaigns-13.png

유효성 검사기를 "winlogon.exe"로 임포트합니다.

2018: 검증자 스타일 비콘

redalpha-cyber-campaigns-14.png

2018년 인터넷독스 캠페인에 사용된 멀웨어는 2017년 hktechy 캠페인에서 동일한 위협 행위자가 사용한 멀웨어에서 벗어난 것입니다. 첫 번째 단계는 더 이상 순진한 드롭퍼가 아니라 공격자가 추가 멀웨어를 배포하기 전에 피해자를 검증하는 방법을 선택했습니다. 임플란트는 머신에 안티멀웨어 제품이 있는지 조사한 다음 피해 머신을 프로파일링하고 비콘 정보를 C2 서버로 수집합니다. 그런 다음 공격자는 다음 단계 페이로드를 선택적으로 활용할 수 있습니다.

멀웨어의 코딩 자체는 정교하지 않은 절단 및 접합 효율성으로 인해 주목할 만합니다. Haxe 크로스 플랫폼 프레임워크를 사용하여 C++용으로 컴파일되었습니다. 대부분의 실행 흐름은 하나의 메인 함수에 하나로 묶여 있습니다. 필수 기능은 아래와 같이 중국 블로그와 포럼에서 발견되는 여러 오픈 소스 코드에서 복사된 것으로 보입니다.

redalpha-cyber-campaigns-15-alt.png

OS 버전과 정확한 비교 목록을 확인합니다.

redalpha-cyber-campaigns-16-alt.png

WMI는 보안 제품을 확인합니다.

임플란트 비콘은 사용자 정보와 OS 버전을 doc.internetdocss[.]com에 일정 간격으로 가볍게 난독화했습니다. C2 서버.

2018: 사용자 지정 드롭퍼 변형

redalpha-cyber-campaigns-17.png

njRAT: 2단계 페이로드

다음 단계로 넘어간 사례를 한 건 확인할 수 있었습니다. 희소성에도 불구하고 페이로드는 njRAT(일명 블라다빈디)의 표준 버전인 것으로 밝혀졌습니다. 이 상품 멀웨어는 원래 중동 지역을 대상으로 널리 퍼져 있었지만, 변종이 전 세계 피해자를 대상으로 사용되는 것이 관찰되고 있습니다. 이 페이로드가 표준 njRAT와 다른 유일한 점은 1단계 유효성 검사기와 동일한 C2 서버 및 하위 도메인(doc.internetdocss[.]com)을 가리키는구성5입니다. redalpha-cyber-campaigns-18.png

redalpha-cyber-campaigns-19.png

njRAT 디코딩된 출력.

시티즌랩에서 설명한 멀웨어와의 유사점

시티즌랩이 보고서에서 설명한 멀웨어는 2017년 hktechy 캠페인에 사용된 넷헬프 인포스틸러 변종과 직접적인 코드 중복을 공유하지 않습니다. 하지만 코딩 스타일에서 2018년 인터넷독스 캠페인과 몇 가지 유사한 점이 있습니다. 인터넷독스 유효성 검사기와 마찬가지로, 시티즌랩이 설명한 멀웨어는 C++로 코딩되었으며 크로스 플랫폼 프레임워크(이 경우에는 Haxecpp가 아닌 Qt 버전 4)에 의존했습니다. 시티즌랩이 설명한 다른 유사한 특징으로는 단일 C2 서버와 통신하여 피해 컴퓨터에서 파일을 훔치는 파일 스틸러 역할을 하는 악성코드, 한자와의 변환을 위해 GBK 코덱에 의존하는 악성코드 등이 있습니다.

인프라

Hktechy 캠페인(2017년 중반)

2017년의 hktechy 캠페인은 C2 도메인 doc.internetdocss[.]com과 통신하도록 구성된 드롭퍼를 활용했습니다. 이 드로퍼는 두 개의 추가 C2 도메인인 www.hktechy[.]com과 통신하도록 구성된 NetHelp Infostealer 페이로드를 전달하는 데 활용되었습니다. 및 index.ackques[.]com.

redalpha-cyber-campaigns-20.png

2017년 hktechy 캠페인 인프라 요약(이미지를 클릭하면 크게 볼 수 있습니다).

패시브 DNS 확인 결과 doc.internetdocss[.] 2017년 6월 28일 일본 IP 220.218.70[.]160으로 처음 확인되었는데, 이는 6월 11일 원본 드롭퍼가 컴파일된 지 불과 몇 주 후입니다. 이 도메인은 2017년 9월 14일까지 동일한 일본 IP로 계속 확인되었고, 그 후 2018년 인터넷닥스 캠페인에 다시 나타날 때까지 사용이 중단되었습니다.

2017년 6월 28일부터 9월 14일 사이에 220.218.70[.]160으로 확인된 추가 도메인은 아래에 자세히 설명되어 있습니다:

redalpha-cyber-campaigns-21.png

2017년 6월 19일에 중국 IP인 198.44.172[.]97로 확인된 Hktechy[.]com이 처음 관측되었습니다, 중국 VPS 제공업체 VPSQuan LLC에 속해 있습니다. 아래 표에 나열된 네 가지 해시가 이 IP와 상관관계가 있는 것으로 나타났는데, 이는 RiskIQ 내 Proofpoint의 신종 위협 데이터를 사용했습니다.6 샘플 중 하나를 제외한 모든 샘플은 2017년에 doc.internetdocss[.]com을 호스팅하는 일본 IP 220.218.70[.]160에서 배포되었습니다. 이 보고서에서 3개의 해시가 2017년 hktechy 캠페인과 연관된 것으로 확인되었지만, 작성 시점에 일반적인 멀웨어 멀티스캐너 저장소에서 샘플 중 하나(MD5: 1b67183acc18d7641917f4fe07c1b053)는 확보할 수 없었습니다. 이 샘플은 2017년 인포스틸러 멀웨어의 변종으로 추정됩니다.

레드알파-사이버 캠페인-22.png

hktechy NetHelp Infostealer 변종과 220.218.70[.]160 간의 연결.

인터넷독스 캠페인(2018-진행 중)

앞서 설명한 대로, internetdocss 유효성 검사기는 doc.internetdocss[.]com과 통신하도록 구성되었습니다. 의 경우 C2.

redalpha-cyber-campaigns-23.png

2018년 인터넷닥스 캠페인 인프라 요약(이미지를 클릭하면 크게 볼 수 있습니다).

정방향 DNS 조회 결과 doc.internetdocss[.] 현재 싱가포르 IP 45.77.250[.]80을 가리키고 있습니다. (Choopa, LLC), 그리고 역사적으로 최소 두 개의 다른 IP로 확인되었습니다:

redalpha-cyber-campaigns-24.png

doc.internetdocss[.]com의 DNS 확인.

앞서 언급했듯이 doc.internetdocss[.] 는 2017년 hktechy 캠페인 당시에도 일본 IP 220.218.70[.]160으로 확인되었을 때 C2로 설정되었습니다. 이러한 인프라가 겹치면서 두 캠페인이 서로 연결되어 동일한 위협 행위자의 소행이라고 확신할 수 있게 되었습니다.

싱가포르 IP 45.77.250[.]80

45.77.250[.]80에 대한 조사 IP를 통해 internetdocss[.]com의 여러 관련 하위 도메인을 확인했습니다:

redalpha-cyber-campaigns-25.png

SG IP 45.77.250[.]80으로 확인되는 기타 도메인.

위 표에 나열된 도메인 중 상당수가 티베트 독립 운동, 파룬궁 신봉자 또는 민주화 운동 등 중국에서 검열된 주제를 언급하는 중국 오독과 관련된 용어를 포함하고 있음을 알 수 있습니다. 인도에 망명한 티베트인 커뮤니티를 추가로 표적으로 삼기 위해 인도의 저명한 언론 매체인 NDTV도 스푸핑된 것으로 추정됩니다.

이러한 도메인 등록의 성격으로 볼 때, 이 캠페인은 중국의 전통적, 이념적, 지역적 지정학적 표적을 추가로 포괄하는 광범위한 캠페인으로 의도되었을 가능성이 높습니다.

일본 IP 220.218.70[.]160

앞서 간략히 언급했듯이 일본 IP 220.218.70[.]160 호스팅된 doc.internetdocss[.]com 2017년 6월 28일부터 2017년 9월 14일 사이입니다.

또한, u2xu2[.]com 또한 2017년 8월 20일부터 2018년 4월 8일 사이에 220.218.70[.]160으로 해결되었습니다. u2xu2[.]com의 전체 해상도 기록은 아래에 나와 있습니다:

redalpha-cyber-campaigns-26.png

u2xu2[.]com의 DNS 확인 기록.

220.218.70[.]160에 대한 추가 연구를 수행하는 동안, "Microsoft_Word_97_-_2003___1.doc" 파일을 발견했습니다. 바이러스토탈에서 220.218.70[.]160을 참조한 (MD5: 1929db297c9d7d88a6427b8603a7145b) 를 문서 본문에 추가합니다.

이 파일에 대한 예비 분석 결과, 문자 인코딩이 "중국어 간체 GBK"로 설정된 "AdminFuke" 한 명이 작성한 것으로 나타났습니다. 이 Word 문서가 열리면 동일한 C2(hXXp://220.218.70[.]160/sec.hta)에서 HTML 실행 파일(HTA)을 다운로드하려고 시도합니다.

이 트로이 목마에 감염된 Microsoft Word 문서는 CVE-2017-0199를 악용하며 2017년 5월 8일에 멀티스캐너 저장소에 처음 업로드되어 2017년 11월에 Recorded Future에서 발표한 연구에서 처음 공개된 CVE-2017-0199 취약점 공개에 대한 57일간의 CNNVD 발표 지연 기간 내에 있습니다.

넷헬프 스트라이커 인포스틸러 및 공유 SSL 인증서

이 보고서의 앞부분에서는 여러 가지 수정 사항 중 새로운 C2 도메인인 striker.internetdocss[.]com이 멀웨어에 삽입되는 NetHelp Striker 임플란트에 대해 설명했습니다. 이 도메인의 최근 DNS 확인 기록은 레드알파 캠페인에 사용된 위협 행위자가 사용하는 광범위한 인프라와 다르며, 일반적인 45.77.250[.]80으로 확인된 적이 없습니다. 인터넷독스[.]닷컴의 다른 모든 하위 도메인과 마찬가지로 Choopa LLC VPS도 마찬가지입니다.

Striker.internetdocss[.]com 현재 WebNX 미국 IP 주소인 142.4.62[.]249로 확인됩니다. 이전에는 striker.internetdocss.com이 홍콩 IP 27.126.179[.]157로 확인되었습니다. (포윈 텔레콤 그룹 제한). 이 IP는 이전에 u2xu2[.]com을 호스팅했던 IP와 동일한 바로 앞 넷블록에 있다는 점에 유의해야 합니다. (27.126.179[.]158). 또한, 27.126.179[.]156 범위의 모든 Forewin Telecom 등록 IP에서 정확히 동일한 SSL 인증서(SHA1: c8e61a4282589c93774be2cddc109599316087b7)가 관찰되었습니다. - 27.126.179[.]160.

이 작은 넷블록에 할당된 과거 SSL 인증서를 자세히 살펴본 결과, 5개 포윈 텔레콤 IP 중 4개가 과거에 SSL 인증서 SHA1(dd3f4da890fa00b0b6032d1141f54490c093c297)을 공유했음을 확인했습니다. 이 인증서는 27.126.179[.]159에서 활성화되었습니다. 포윈 IP가 tk.u2xu2[.]com이었을 때의 포윈 IP 을 가리키고 있습니다. 이를 통해 http.ackques[.]com을 식별할 수 있었습니다, 2017년 넷헬프 인포스틸러 C2 도메인 index.ackques[.]com의 형제입니다, 동일한 IP 27.126.179[.]159로 확인됩니다, 따라서 27.126.179[.]156을 재확인합니다. - 27.126.179[.]160은 레드알파 캠페인의 배후에 있는 동일한 위협 행위자가 관리하는 것으로 추정되는 넷블록입니다. 동일한 소규모 넷블록에 있는 공통 SSL 인증서 및 형제 도메인은 이 소규모 넷블록이 동일한 그룹에 의해 관리되고 있음을 나타내는 강력한 지표입니다.

홍콩 IP 122.10.84[.]146

앞서 설명한 것처럼 doc.internetdocss[.] 2018년 2월 8일부터 2018년 3월 27일 사이에 이 홍콩 IP로 해결되었습니다. 그러나 2018년 3월 23일부터 sp.u2xu2[.]com 도메인이 에 대한 해결책을 제시합니다.

저희는 sp.u2xu2[.] 및 doc.internetdocss[.]com 둘 다 과거에 122.10.84[.]146과 상위 도메인인 u2xu2[.]를 가리킨 적이 있기 때문에 동일한 위협 행위자가 관리하고 있을 가능성이 높습니다, doc.internetdocss[.]com과 동일한 일본 IP 220.218.70[.]160으로 확인되었습니다. 또한 이전으로 해결되었습니다. 조사 기간에 도메인 또는 관련 IP 인프라가 다른 주체에 의해 재할당되거나 인수되었음을 시사하는 증거는 없습니다.

악성코드 멀티스캐너 저장소에서 소급 분석하여 122.10.84[.]146과 관련된 여러 파일을 확인했습니다. IP:

  • MD5: c94a39d58450b81087b4f1f5fd304add. 이것은 RedAlpha 2018 인터넷독스 캠페인에 사용된 커스텀 1단계 드롭퍼의 변형입니다.
  • MD5: 3a2b1a98c0a31ed32759f48df34b4bc8("qww.exe"). 이것은 njRAT를 드롭하는 2단계 페이로드를 포함하는 대체 1단계 유효성 검사기입니다.
  • "qww.exe"와 관련이 있을 수 있습니다. 유효성 검사기. 동일한 122.10.84[.]146에서 호스팅되는 njRAT(Bladibindi라고도 함) 버전을 발견했습니다. 홍콩 IP(파일명 serverdo7468.exe, MD5: c74608c70a59371cbf016316bebfab06).

타겟팅

티베트인만 공격 대상이 아닙니다.

레드알파의 2017년 캠페인 C2의 도메인 등록자는 hktechy[.]com입니다, steven-jain@outlook[.]com이었습니다. 이 이메일 주소를 자세히 살펴보면 유사한 도메인인 angtechy[.]com을 등록하는 데도 사용되었음을 알 수 있습니다, 2017년 6월 20일에 출시되었습니다. Angtechy[.]com 2015년 중반부터 60개 이상의 도메인을 호스팅한 홍콩 IP 115.126.39[.]107로 계속 확인되고 있습니다. 이러한 도메인 중 상당수는 달라이 라마 성하 사무소(웹메일-dalailama[.]com), 스리랑카 국방부(메일-defense[.]tk) 등 특정 기관을 스푸핑하고 있었습니다, 중국 온라인 자동차 경매 사이트(메일유신파이[.]닷컴) 로 설정할 수 있습니다. 115.126.39[.]107에서 호스팅되는 기타 도메인 구글, 야후, 마이크로소프트에서 제공하는 일반 웹메일 및 클라우드 서비스 스푸핑이 포함되어 있습니다.

redalpha-cyber-campaigns-27-alt.png

115.126.39[.]107에서 호스팅되는 스푸핑된 도메인 선택.

115.126.39[.]107과 스푸핑된 도메인 중 다수는 2018년 1월 시티즌랩에서 실시한 연구에서 보고되었으며, 남아시아 및 동남아시아의 티베트 커뮤니티와 정부 기관을 대상으로 하는 광범위한 피싱 캠페인이 자세히 설명되어 있습니다. 시티즌랩이 보고한 캠페인과 hktechy 캠페인의 인프라 중첩은 동일한 위협 행위자가 2015년 초부터 티베트 커뮤니티와 다른 피해자들을 표적으로 삼았을 수 있다는 강력한 증거를 제공합니다.

인도 타겟팅?

조사된 홍콩 IP 122.10.84[.]146의 메타데이터 분석 는 4월 2일부터 4월 23일 사이에 인도의 두 IP(103.245.22[.]117)로 반복적인 SSL 연결이 이루어졌다고 밝혔습니다, 103.245.22[.]124)로 확인되는 마하온라인 서비스입니다. MahaOnline은 뭄바이가 수도인 인도 서부의 마하라슈트라 주 정부를 위한 e-포털입니다. 이 전자 포털을 통해 시민들은 민원 서비스를 이용할 수 있으며 다음과 같은 도메인을 호스팅할 수 있습니다(예: swayam.mahaonline.gov[.]in). (부족 개발 프로그램 웹사이트) 및 molpg.mahaonline.gov[.] (온라인 결제 게이트웨이).

홍콩 IP 122.10.84[.]146과 마하온라인 IP 간의 악성 통신이 직접 관찰되지는 않았지만, 마하온라인 IP에서 홍콩 C2 포트 443으로 연결되는 양을 보면 e-포털이 성공적으로 표적이 되었음을 알 수 있습니다. 또한 이러한 연결을 설명할 수 있는 홍콩 C2에서 호스팅되는 합법적인 서비스는 없습니다.

위협 행위자

앞서 강조한 것처럼 공유 SSL 인증서는 홍콩 IP 27.126.179[.]159에 존재했습니다. tk.u2xu2[.]com을 호스팅할 때. 과거 DNS 확인 기록을 살펴본 결과, tk.u2xu2[.]com을 발견했습니다. 2016년 6월부터 2016년 11월까지 홍콩 IP 103.20.193[.]156으로 확인되었습니다. 이 IP는 심천 캐서린 헝 기술 정보 회사에 등록되었습니다. 같은 기간 동안 악성 MD5: 83ffd697edd0089204779f5bfb031023이 tk.u2xu2[.]com과 통신하는 것을 발견했습니다.

레코디드 퓨처의 리버싱랩의 강화된 분석 결과 83ffd697edd0089204779f5bfb031023이 2016년 6월에 야생에서 처음 관찰되어 위험 등급 "65"를 부여하고 티니웬 멀웨어군으로 분류했습니다. 티니웬은 적어도 2012년부터 존재해 온 FF-RAT로 더 널리 알려져 있으며, FF-RAT에 대한 대중의 보고는 오로지 중국 APT 활동과 연관되어 있습니다. 2015년 FBI는 중국 APT가 수행한 것으로 널리 알려진 미국 인사관리처(OPM)를 성공적으로 표적으로 삼는 데 활용된 "더 효과적인 도구 중 하나"로 FF-RAT를 강조한 것으로 알려졌습니다.

또한, 2017년 6월 연구 논문에서 Cylance는 C2 tk.u2xu2[.]com과 통신하도록 구성된 FF-RAT의 인스턴스를 문서화했습니다. 여기서 도출된 연관성을 바탕으로 볼 때, FF-RAT는 2016년 초부터 RedAlpha의 배후에 있는 동일한 위협 공격자들이 사용했을 가능성이 높다고 평가합니다.

마지막으로 WHOIS 데이터에 따르면 13316874955@163[.]com 홍콩 IP 103.20.193[.]156을 등록하는 데 사용되었습니다. 이 이메일 주소는 최소 125개의 IP 주소를 추가로 등록했는데, 모두 선전 캐서린 헝 기술 정보 회사에 등록되어 있으며, 이 중 몇몇 IP는 넷트래블러, 아이스포그, 디디독과 같은 중국 APT 그룹과연결7된 것으로 태그가 지정되어 있습니다:

  • 103.30.7[.]76; 넷트래블러; 카스퍼스키
  • 103.30.7[.]77; 넷트래블러; 카스퍼스키
  • 103.20.192[.]59; 넷트래블러; 카스퍼스키
  • 103.20.195[.]140; 아이스포그; 카스퍼스키
  • 103.20.192[.]4; DeyDog; FireEye
  • 103.20.192[.]248; 마일 티 캠페인; 팔로알토 네트웍스

PLA 개입 가능성 지표

115.126.39[.]107로 확인된 도메인 중 하나인 cqyrxy[.]com은 연락처 이름이 "ren minjie"로 등록되어 있습니다. 흥미롭게도 '런민지에'는 人民(런민)과 解(지에)의 영어 음역 철자이며, 解(지에)는 解放军(지팡준)의 약어일 가능성이 높습니다. 지팡쥔은 '중국 인민해방군(PLA)'으로 번역되므로 '렌민제'는 PLA를 음역한 약어일 가능성이 높습니다. 이것이 도메인 등록 세부 정보에 의도적으로 허위 플래그를 심은 것인지, 아니면 단순히 위협 행위자가 가해 조직의 신원을 공개하는 부주의한 행동의 결과인지는 명확하지 않습니다.

또한 난징 칭란 정보 기술 유한공사(南京青苜信息技术有限公司)라는 중국 정보 보안 회사와의 연결고리도 발견했습니다.

시티즌랩이 2018년 1월 보고서와 함께 공개한 악성 도메인 드라이브 메일-구글[.]닷컴과 드라이브 계정-구글[.]닷컴은 첨부된 IOC 데크에 등재되어 있습니다. 두 도메인 모두 QQ 이메일 6060841@qq[.]com을 사용하여 등록되었습니다. 이 이메일 주소가 중국 구인 사이트 www.52pojie[.]cn의 구인 광고 연락처로 등록되어 있는 것을 발견했습니다, 의 "정보 보안 엔지니어"로 "난징 칭란 정보 기술 유한회사"의 "정보 보안 엔지니어"를 채용합니다. QQ 계정의 연결된 이름이 'Mr. Liang."

난징 지방 정부 웹사이트에 등록된 공식 문서에 따르면 난징 칭란 정보 기술 유한회사는 "... 보안 평가, 보안 강화, 침투 테스트, 보안 컨설팅, 공격 및 방어 훈련, 보안 교육"을 제공하는 난징에 본사를 둔 회사입니다. 이 회사는 웹 사이트가 꽤 괜찮은 편입니다(hXXp://www.cimer.com[.]cn). 는 티베트 커뮤니티를 표적으로 삼는 데 사용된 두 개의 악성 도메인이 공격적인 '훈련'을 수행하는 정보 보안 회사와 연관되어 있다는 점이 흥미롭습니다.

redalpha-cyber-campaigns-28.png

hXXps://www.52pojie[.]cn/thread-93849-1-1.html 6060841@qq[.]com에 게재된 채용 공고 (이미지를 클릭하면 크게 볼 수 있습니다).

전망

저희의 조사 결과 2017년과 2018년에 티베트 커뮤니티를 대상으로 중국 APT가 수행한 두 가지 새로운 캠페인이 발견되었습니다.

현재로서는 새로운 위협 행위자가 레드알파 캠페인을 수행했다는 사실을 명확히 입증할 만한 충분한 증거를 확보하지 못했습니다. 우수한 시티즌랩 보고를 제외하면, 저희 연구에 자세히 설명된 멀웨어와 TTP를 기존 위협 행위자와 연결시키는 공개 자료가 부족합니다. 기존 중국 APT에 대한 인프라 등록을 통해 몇 가지 잠정적인 연결 고리를 설명했지만, 악성 활동의 배후에 있는 개인과 조직에 대한 자세한 정보가 더 있어야 확정할 수 있습니다.

이전에 공개되지 않은 맞춤형 멀웨어를 hktechy 캠페인에 사용한 점과 인터넷독스 캠페인에서 그들의 기술이 입증된 진화를 보면 위협 행위자는 멀웨어와 툴링에 대한 숙련된 역량 개발 프로그램을 보유하고 있으며, 이는 자원이 풍부한 국가 국가의 후원을 받고 있을 가능성이 높습니다. 또한 중국 국가 취약점 데이터베이스(CNNVD)가 의도적으로 취약점 공개를 늦추기로 한 기간 동안 이 그룹이 새로운 취약점(CVE-2017-0199)을 전술적으로 악용하는 것을 관찰했습니다. 지난 한 해 동안 저희는 중국 국가안전부(MSS)가 공격적인 사이버 첩보 활동을 가능하게 하기 위해 고위험 취약점을 공개하지 않고 있다는 사실을 지적하며 CNNVD에 미치는 영향에 대해 광범위하게 보도한 바 있습니다.

'인민해방군'의 약자를 사용하여 도메인을 등록한 레드알파 캠페인의 배후에 있는 공격자들이 OPSEC에 실패했을 가능성을 발견한 것은 흥미로운 발전이었습니다. 이는 중국 APT 그룹인 아이스포그, 넷트래블러, 디디독, 마일 티 캠페인의 배후에 있는 난징 칭란 정보 기술 회사와의 인프라가 겹치는 점과 더불어 레드알파 활동의 배후에 있는 위협 행위자들이 중국 출신이라는 점을 시사합니다. 정교한 중국 위협 공격자들이 거의 독점적으로 사용하는 것으로 보고된 FF-RAT를 사용했을 가능성이 높다는 점도 이 사건을 더욱 강화합니다.

조직을 선별적으로 표적으로 삼는 것은 이 지역에 기반을 둔 모든 정부와 시민 단체가 우려해야 할 일입니다. 저희는 이 단체의 활동이 5대 독에 대한 표적 공격이 처음이 아니며, 특히 시민단체, NGO, 자선단체의 경우 마지막이 아닐 것이라는 사실을 알게 되었습니다. 이러한 많은 조직에서 네트워크 방어에 대한 투자가 부족하면 자원이 풍부하고 동기가 있는 위협 행위자의 공격에 대한 방어 능력이 떨어질 수밖에 없습니다.

티베트 공동체와 다른 오독에 대한 광범위한 감시와 검열은 중국 국가에 있어 매우 중요한 문제입니다. 중국 공산당의 지속적인 통치에 대한 위협은 국가 안보의 문제로 간주되므로 이러한 시민 단체를 대상으로 한 사이버 첩보 활동을 적발하는 것은 놀라운 일이 아닙니다. 또한, 인접한 남부와 동남부 정부를 표적으로 삼은 것은 위협 행위자가 지정학적 사건에 따라 진화할 수 있는 CPC 요구 사항을 확대하기 위해 노력할 수 있음을 나타냅니다. 이 위협 행위자가 이전에 공개되지 않은 멀웨어와 인프라를 사용한 점과 이번 연구에서 설명한 TTP와 관련된 공공 및 민간 보고가 부족한 점으로 미루어 볼 때 중국 국가에 의한 것으로 추정되는 잘 알려지지 않은 위협 행위자를 발견한 것으로 보입니다.

관련 보안 침해 지표의 전체 목록을 보려면 부록을 다운로드하세요.

1인식트그룹은 이 연구를 지원하는 VirusTotal 및 카스퍼스키의 GReAT와의 긴밀한 협력에 감사를 표합니다.

2'오독'은위구르족, 티베트인, 파룬궁, 중국 민주화 운동, 대만 독립 운동 등 중국 공산당이 체제 안정에 위협이 된다고 생각하는 요소를 말합니다.

3WinRAR은임플란트 본체 자체에 포함되어 있지 않습니다. 개발자는 피해 시스템에 이 일반적인 소프트웨어가 설치되어 있다고 가정하거나 다른 방법으로 피해 시스템에 드롭할 수 있습니다.

4바이러스토탈 멀티스캐너는이러한 익스플로잇을 CVE-2017-11882 및 CVE-2018-0802로 태그합니다. 익스플로잇된 정확한 취약점의 정확성은 아직 확인되지 않았습니다.

5케빈브린의 njRAT 디코더를 사용하여 디코딩했습니다.

6http://blog.passivetotal.org/hashes-or-it-didnt-happen/https://www.proofpoint.com/us/resources/data-sheets/emerging-threats-intelligence/

7리스크IQ의지표인 OSINT 강화 사용.

관련