연구(Insikt)

중단에도 불구하고 복귀: 레드델타, 운영 재개

게시일: 2020년 9월 15일

작성자: Insikt Group®

Insikt Group® 연구원들은 중국 국가가 후원하는 것으로 의심되는 위협 활동 그룹인 레드델타의 활동을 계속 추적하기 위해 일반적인 분석 기법과 함께 독점적인 기록된 미래 네트워크 트래픽 분석 및 RAT 컨트롤러 탐지 기능을 사용했습니다.

데이터 소스에는 Recorded Future® 플랫폼, 파사이트 시큐리티의 DNSDB, 보안 트레일, 바이러스 토탈, 쇼단, 바이너리엣지 및 일반적인 OSINT 기법 등이 있습니다. _

이 보고서는 아시아에 진출한 민간 부문, 공공 부문, 비정부기구의 네트워크 방어자들과 중국 지정학에 관심이 있는 사람들에게 가장 큰 관심을 끌 것입니다.

Executive Summary

이전 인식트 그룹의 보고 이후 2개월 동안 레드델타는 바티칸 및 기타 가톨릭 단체를 표적으로 삼았다는 광범위한 공개 보고에도 크게 동요하지 않았습니다. 이 보고 직후 지휘 및 통제(C2) 도메인의 해상도 상태를 변경하여 기본적인 작전 보안 조치를 취했음에도 불구하고 그룹의 전술, 기술 및 절차(TTP)는 일관성을 유지했습니다. 레드델타의 끈기는 보고서 발표 후 2주 만에 바티칸과 홍콩 가톨릭 교구 메일 서버에 대한 공격을 재개한 것에서도 잘 드러납니다. 더 광범위하게는 가톨릭, 티베트-라다크 관계, 유엔 총회 안보리 등을 주제로 한 미끼 문서가 포함된 플러그엑스 샘플과 미얀마 정부 시스템과 홍콩 대학 2곳을 대상으로 한 추가적인 네트워크 침입 활동 등 이 그룹의 소행으로 추정되는 새로운 활동도 있었습니다.

주요 판단

레드델타는 중국의 전략적 우선순위에 따라 계속 운영되고 있습니다. 이는 이 그룹이 바티칸과 홍콩 가톨릭 교구를 지속적으로 표적으로 삼고, 중국 내 가톨릭교와 티베트-라다크 관계 등 중국이 우려하는 지정학적 이슈를 중심으로 사이버 스파이 활동과 일치하는 방식으로 표적 미끼 문서를 사용하는 것에서 더욱 잘 드러납니다.
레드델타 그룹이 공개적으로 보고된 인프라와 TTP를 재사용하는 것은 운영상의 성공을 경험하고 있는 그룹으로 보이며, 레드델타는 액세스가 유지되는 한 공개적으로 알려진 인프라를 계속 사용하겠다는 실용적인 운영 보안 접근 방식을 강조하는 것일 수 있습니다.

배경

2020년 7월 28일, 인식트 그룹은 바티칸과 홍콩 가톨릭 교구가 중국 국가가 후원하는 것으로 의심되는 위협 활동 그룹 레드델타의 표적이 된 여러 가톨릭 교회 관련 기관 중 하나임을 확인한 연구 결과를 발표했습니다. 이 일련의 네트워크 침입 의심 사건은 중국 주재 홍콩 연구 사절단과 이탈리아 교황청 해외 선교 연구소(PIME)도 표적으로 삼았습니다. 인식트 그룹은 가톨릭 교회와 관련된 단체를 표적으로 삼은 것은 중국 공산당이 '지하' 가톨릭 교회에 대한 통제권을 강화하고, 중국 내 '종교를 신성화'하며, 중국 가톨릭 공동체 내에서 바티칸의 영향력을 약화하려는 목표를 나타내는 것일 수 있다고 평가했습니다.

인식트 그룹은 가톨릭 교회와 관련된 단체를 표적으로 삼은 것 외에도 인도의 법 집행 기관 및 정부 기관, 인도네시아의 정부 기관, 미얀마, 홍콩, 호주 전역의 기타 확인되지 않은 표적에 영향을 미치는 네트워크 침입도 확인했습니다. 이 활동에서 이 그룹은 '레드델타 플러그엑스', 코발트 스트라이크 비콘, 포이즌 아이비라는 맞춤형 플러그엑스 변종을 포함한 여러 멀웨어 변종을 사용했습니다.

위협 분석

레드델타 게시 후 정리

2020년 7월 28일에 RedDelta 보고서 원본이 발표된 후, 이 그룹은 침입에 사용된 인프라와 관련된 여러 가지 회피 조치를 취했으며, 여기에는 식별된 명령 및 제어(C2) 도메인 여러 곳에서 IP 해상도 변경이 포함되었습니다. 예를 들어, 레드델타 연구가 발표된 지 하루도 지나지 않아 '포이즌 아이비/코발트 스트라이크' 클러스터 내에서 확인된 모든 C2 하위 도메인의 해결이 중단되었습니다.

reddelta-cyber-threat-operations-2-1.png.jpg 표 1: 보고서 게시 다음 날 해결이 중지된 '포이즌 아이비 클러스터' 도메인.

또한 플러그엑스 C2 도메인의 호스팅 IP는 다음과 같습니다. 2020년 8월 3일에 167.88.180[.]32에서 103.85.24[.]149로 전환되었습니다. 그러나 확인된 모든 인프라에서 이러한 현상이 발생한 것은 아닙니다. 초기 보고서에서 확인된 여러 침입 사례에서 많은 플러그엑스 C2 서버가 계속 사용 중이었습니다. 이러한 대조는 액세스가 유지되는 한 공개적으로 알려진 인프라를 계속 사용하겠다는 그룹의 의지를 강조합니다.

레드델타, 바티칸과 홍콩 가톨릭 교구 표적 공격 재개

그림 1: 홍콩 가톨릭 교구와 레드델타 C2 인프라 간의 네트워크 트래픽.

레코디드 퓨처 네트워크 트래픽 분석을 사용하여 대상 조직과 레드델타 C2 인프라 간의 통신을 분석한 결과, 보고서 발표 직후 가톨릭 교회 조직 간의 네트워크 통신이 중단된 것을 확인했습니다. 하지만 이는 오래가지 못했고, 10일 만에 홍콩 가톨릭 교구 메일 서버를, 14일 만에 바티칸 메일 서버를 표적으로 삼는 공격으로 돌아갔습니다. 이는 앞서 언급한 레드델타의 높은 위험 감수성 외에도 정보 수집을 위해 이러한 환경에 대한 액세스를 지속적으로 유지하려는 레드델타의 끈기를 보여줍니다.

2020년 9월 10일, 중국 외교부는 2018년 중국-교황청 간 협정이 "성공적으로 이행되었다"고 발표했으며, 향후 몇 주 내에 협정 갱신이 발표될 것으로 예상됩니다. 이 발표 시기는 바티칸 네트워크를 겨냥한 레드델타의 활동이 일주일 전에 중단되고, 8월 말 왕이 중국 외교부장의 로마 방문 이후여서, 이 그룹의 정보 임무가 달성되었거나 더 이상 필요하지 않은 것으로 보입니다. 이전 보고서 이후 중간 기간 동안 이 그룹이 바티칸 네트워크에 성공적으로 다시 접속할 수 있었는지는 확실하지 않습니다. 그러나 이러한 시도에 이어 새로운 레드델타 가톨릭 교회를 주제로 한 유인 문서가 등장하면서 중국 공산당이 중국 내 가톨릭 공동체에 대한 감독을 강화하는 데 주력하고 있음을 다시 한 번 강조하고 있습니다.

그림 2: 최근 RedDelta 활동의 타임라인. (출처: 레코딩된 미래)

중국의 전략적 이해관계에 따른 추가 타겟팅

레드델타는 중국의 전략적, 지정학적 이해관계에 부합하는 조직을 지속적으로 표적으로 삼고 있습니다. 이전 보고서에서는 2018년 중국과 교황청의 협정 갱신을 앞두고 두 국가 간의 회담을 앞두고 여러 가톨릭 교회 조직을 대상으로 한 일련의 네트워크 침입 및 피싱 시도를 이 그룹과 연관시켰습니다. 그 사이 이 그룹은 중국 내 가톨릭, 티베트-라다크 관계, 유엔 총회 안전보장이사회를 언급하는 추가 미끼를 사용해 공격 대상 컴퓨터에 플러그엑스를 로드하려고 시도했습니다.

그림 3: "티베트-라다크 관계의 역사와 현대적 함의" 플러그엑스 미끼 문서.

첫 번째 샘플은 이전 레드델타 보고서에서 설명한 샘플과 유사한 방식으로 로드됩니다. 1단계 DLL 사이드 로딩 단계에서는 다시 합법적인 Microsoft Word 실행 파일을 사용하여 1단계 DLL 로더를 사이드 로딩하며, 두 파일은 처음에 zip 파일 안에 저장됩니다. 이 경우, 해당 zip 파일은 구글 드라이브에 저장된 것으로 보이며 스피어피싱 링크를 통해 사용자가 다운로드하도록 유도합니다. 첫 번째 DLL 사이드 로딩 단계가 끝나면 http://103.85.24[.]161/8.dat에서 암호화된 PlugX DAT 페이로드가 검색됩니다.

표 2: "티베트-라다크 관계의 역사와 현대적 함의.zip"의 내용 를 사용하여 1단계 DLL 사이드 로딩을 수행합니다.

이전에 식별된 RedDelta PlugX 샘플과 달리, 이 샘플은 이전에 분석된 샘플에서 사용된 합법적인 Adobe 실행 파일이 아닌 두 번째 DLL 사이드 로딩 단계에 합법적인 Avast Proxy 실행 파일을 사용합니다. 메모리에 로드된 플러그X 페이로드는 명령 및 제어를 위해 가톨릭 교회 테마의 플러그X 샘플에서 사용된 것과 동일한 도메인인 www.systeminfor[.]com을 사용합니다. 새로 분석된 4개의 샘플 모두에서 1단계 DLL 로더 파일은 이전에 관찰된 1단계 RedDelta PlugX DLL과 동일하고 흔하지 않은 가져오기 해시와 리치 헤더를 공유합니다. 또한 로드된 PlugX 페이로드는 앞서 설명한 맞춤형 RedDelta PlugX 변형과 일치하며, 동일한 하드코딩된 RC4 암호 구문 및 구성 블록 디코딩 기능과 함께 C2 통신에 RC4 암호화를 사용합니다.

이 샘플에서는 그림 3과 같이 '티베트-라다크 관계의 역사와 현대적 함의'라는 제목의 미끼 문서가 사용자에게 표시됩니다. 이 샘플의 구체적인 표적은 불분명하지만, 최근 이 지역에서 중국과 인도 간의 국경 긴장이 고조되고 티베트가 중국 국가가 후원하는 사이버 스파이 활동의 빈번한 표적이 되고 있는 상황에서 라다크에 대한 언급이 포함된 것은 특히 흥미롭습니다. 다른 여러 레드델타 샘플과 마찬가지로 미끼 문서의 내용은 합법적인 출처에서 가져온 것으로, 이 경우에는 아시아 태평양 시사 뉴스 사이트인 더 디플로맷의 2020년 7월 기사에서 가져온 것입니다.

그림 4: "평화 구축 및 평화 유지에 관한 2020년 사무총장 보고서의 고급 버전" 플러그인 미끼 문서 스니펫.

두 번째 PlugX 샘플은 위의 티베트-라다크 샘플과 거의 동일한 방식으로 로드되며, 이 경우 http://103.85.24[.]158/eeas.dat에서 암호화된 PlugX DAT 페이로드를 검색합니다. 이 샘플은 가톨릭 교회 PlugX 샘플 중 하나에서 볼 수 있는 DLL 사이드 로딩에 취약한 동일한 Adobe 실행 파일을 사용하며, 2단계 사이드 로딩에는 위의 티벳-라다크 샘플에서 볼 수 있는 Avast Proxy 실행 파일을 사용합니다. 이번에도 악성 링크가 포함된 스피어피싱을 통해 전송된 것으로 보이는 이 zip 파일은 Dropbox에 저장된 것으로 보입니다. 이 PlugX 샘플은 명령 및 제어를 위해 다시 www.systeminfor[.]com을 사용합니다.

표 3: 1단계 DLL 사이드 로딩용 '평화 구축 및 평화 유지에 관한 2020 사무총장 보고서 사전 버전.zip' 내용.

이 샘플에 사용된 18페이지 분량의 미끼 문서(그림 4 참조)는 유엔 총회 사무총장이 작성한 '2020 평화 구축 및 평화 유지에 관한 사무총장 보고서'의 편집되지 않은 고급 사본이라고 주장합니다. 그러나 합법적인 보고서는 유엔 웹사이트에서 입수한 후 '고급 미편집본' 분류를 추가하고 날짜를 변경하기 위해 조작했을 가능성이 높습니다. 이 합법적인 보고서는 10월에 열릴 예정인 제75차 총회를 앞두고 2020년 8월 4일에 발표되었습니다. 유엔은 웹사이트를 통해 이 보고서가 2020년 유엔 평화 구축 아키텍처 검토에 대한 주요 의견이 될 것이며, 유엔의 핵심 단체가 보고서를 준비 중이라고 밝혔습니다.

이 특정 샘플의 구체적인 표적은 불분명하지만, 지정학적 이슈를 기반으로 한 공개 문서를 미끼로 사용하는 것은 이전에 여러 레드델타 미끼에서 볼 수 있었던 방식입니다. 또한, 이 샘플에 표시된 DAT 페이로드 파일명 eeas.dat은 유럽연합의 외교 서비스이자 외교 및 국방부 통합 기관인 유럽 대외 행동 서비스(EEAS)와 관련이 있을 수 있습니다. 위협 활동 그룹인 무스탕 팬더는 과거에도 유엔 안보리를 테마로 한 미끼를 사용한 적이 있습니다.

그림 5: "가톨릭 신자들이 중국의 변화에 적응하는 방법: 선교학적 관점"(왼쪽) 및 "가톨릭 주교들, 카메룬 평화 회담 긴급 촉구"(오른쪽) 플러그엑스 미끼 문서 스니펫.

마지막 두 개의 RedDelta PlugX 샘플은 http://103.85.24[.]158/hk097.dat에서 DAT 페이로드를 검색하는 등 다른 샘플과 매우 유사합니다, 궁극적으로 quochoice[.]com을 사용하기 전에 명령 및 제어를 위해. 이 도메인은 현재 2EZ 네트워크 IP 167.88.177[.]179에서 호스팅되고 있습니다, 새로 확인된 모든 인프라는 이전에 언급된 선호 호스팅 제공업체의 추세를 따르고 있습니다. 샘플 중 하나는 '가톨릭 신자들이 중국의 변화에 적응하는 방법'이라는 제목의 글입니다: 선교학적 관점"이라는 제목의 샘플은 중국 가톨릭 학자의 저서에서 발췌한 것으로 중국 내 기독교에 초점을 맞추고 있으며, 다른 샘플은 2020년 2월 독립 가톨릭 뉴스의 기사에서 발췌한 것입니다. 이는 가톨릭 교회와 관련된 조직 및 개인에 대한 정보를 수집하는 레드델타의 임무를 다시 한 번 강조합니다.

표 4: "가톨릭 신자들이 중국의 변화에 적응하는 방법 선교학적 관점.zip"의 내용 를 사용하여 1단계 DLL 사이드 로딩을 수행합니다.

표 5: "가톨릭 주교들, 카메룬 평화 회담 긴급 촉구.zip" 내용 를 사용하여 1단계 DLL 사이드 로딩을 수행합니다.

미얀마 및 홍콩의 레드델타

이전 RedDelta 보고서에서 미얀마 및 홍콩 통신 제공업체에 할당된 IP 주소와 RedDelta C2 인프라 간의 광범위한 네트워크 통신을 관찰했습니다. 홍콩과 미얀마는 역사적으로 무스탕 팬더(1 ,2)의 표적이 되었던 지역입니다. 중간 기간 동안 플러그엑스(C2 103.85.24[.]149)를 확인했습니다. 미얀마의 정부 시스템을 표적으로 삼은 네트워크 침입이 RedDelta의 소행일 가능성이 높습니다. 여기에는 미얀마 정부 전자 문서 관리 시스템을 위한 VPN 로그인 포털이 포함되었습니다. 레드델타는 2020년 8월 4일부터 최소 9월 2일까지 이 활동을 수행한 것으로 추정됩니다(그 이전일 수도 있음). 이러한 시스템에 대한 액세스는 시스템에 저장된 전자 문서에 액세스할 수 있는 귀중한 정보원이 될 수 있습니다.

미얀마 내에서 이 새로운 피해자 외에도 추가적으로 플러그엑스(C2 85.209.43[.]21)를 확인했습니다. 홍콩의 두 대학을 노린 것으로 보이는 네트워크 침입이 발생했습니다. 이 IP 주소는 현재 ipsoftwarelabs[.]com 도메인을 호스팅하고 있습니다, 이전 버전의 PlugX 변형을 사용하여 홍콩을 대상으로 한 활동에 대한 보고에서 언급된 바 있습니다. 메타데이터만으로는 침입을 확인할 수 없지만, 표적이 된 조직 내의 호스트와 이러한 C2 간의 대량의 반복적인 통신은 침입 가능성을 나타내는 데 충분하다고 생각합니다.

완화 조치

침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 또는 네트워크 방어 메커니즘을 구성하여 부록 A에 나열된 외부 IP 주소 및 도메인의 불법 연결 시도를 경고하도록 하고 검토 후 차단하는 것을 고려하세요.
내부 및 외부에서 액세스할 수 있는 시스템의 시스템 구성(액세스 제어 포함)을 적절히 평가하고 모든 시스템에서 강력한 비밀번호를 사용해야 합니다.
네트워크 세분화를 실천하고 다단계 인증, 내부 네트워크를 통해서만 액세스할 수 있어 극도로 제한된 시스템 액세스 및 저장 등 민감한 정보에 대한 특별한 보호 조치를 취합니다.
기본 인증과 레거시 인증은 공격자가 사내 보안 조치를 우회할 수 있으므로 가능한 경우 비활성화하세요.
특히 운영 체제, 바이러스 백신 소프트웨어, 핵심 시스템 유틸리티 등 모든 소프트웨어와 애플리케이션을 최신 상태로 유지하세요.
이메일 서신을 필터링하고 첨부 파일에 멀웨어가 있는지 면밀히 조사하세요.
호스트 기반 제어 사용: 공격을 차단하는 가장 좋은 방어 및 경고 신호 중 하나는 클라이언트 기반 호스트 로깅 및 침입 탐지 기능을 수행하는 것입니다.
네트워크 IDS, 넷플로우 수집, 호스트 로깅, 웹 프록시와 같은 기본적인 사고 대응 및 탐지 배포와 제어를 구현하고 탐지 소스에 대한 인적 모니터링도 함께 수행하세요.

전망

레드델타가 공개적으로 보고된 인프라와 TTP를 재사용한 것은 중국 국가가 후원하는 위협 활동 그룹 전반의 위험 성향이 대조적이라는 것을 보여줍니다. 일부 그룹은 광범위한 공개 보고에도 불구하고 여전히 활발하게 활동하는 반면(예: APT41 및 레드델타), 다른 그룹은 공개 보고에 대응하여 행동을 크게 바꾸거나 활동을 줄입니다(예: APT3). 모든 경우에 컴퓨터 네트워크 익스플로잇(CNE) 작전이 제공하는 그럴듯한 부인 가능성으로 인해 중국은 레드델타 사건을 포함하여 이러한 활동(1 ,2)에 대한 개입을 정기적으로 부인하고 있으며, 이는 역사적 증거에도 불구하고 마찬가지입니다.

광범위한 공개 보고에도 불구하고 레드델타의 활동이 계속되고 있는 점을 감안할 때, 그룹은 TTP를 약간 조정하면서 높은 운영 템포로 계속 운영할 것으로 예상합니다. 이전 보고서에서는 보안 및 탐지 조치에 적절히 투자할 능력이나 의지가 부족한 종교 단체 및 비정부기구(NGO)와 같은 단체를 표적으로 삼는다는 점을 강조한 바 있습니다. 이는 공개적으로 알려진 인프라와 TTP를 재사용하려는 그룹의 의지를 더욱 촉진할 것으로 보입니다.