>
연구(Insikt)

Chinese State-Sponsored Group ‘RedDelta’ Targets the Vatican and Catholic Organizations

게시일: 2020년 7월 28일
작성자: Insikt Group®
중국

insikt-group-logo-updated-3.png

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

Insikt Group® 연구원들은 독점적인 기록된 미래 네트워크 트래픽 분석 및 RAT 컨트롤러 탐지 기능과 일반적인 분석 기술을 사용하여 중국의 국가 지원 위협 활동 그룹으로 의심되는 사이버 스파이 캠페인을 식별하고 프로파일링했으며, 이 그룹은 RedDelta로 추적하고 있습니다.

데이터 소스에는 Recorded Future® 플랫폼, 파사이트 보안의 DNSDB, 보안 트레일, 바이러스 토탈, 쇼단, 바이너리엣지, 일반적인 OSINT 기법 등이 있습니다.

이 보고서는 아시아에 진출한 민간 부문, 공공 부문 및 비정부기구의 네트워크 방어자들과 중국 지정학에 관심이 있는 사람들에게 가장 큰 관심을 끌 것입니다.

Executive Summary

2020년 5월 초부터 인식트 그룹이 추적한 중국 국가 후원 위협 활동 그룹인 레드델타의 표적이 된 여러 가톨릭 교회 관련 기관 중 바티칸과 홍콩 가톨릭 교구도 포함되어 있습니다. 이 일련의 네트워크 침입 의심 사건은 중국 주재 홍콩 연구 사절단과 이탈리아 교황청 해외 선교 연구소(PIME)도 표적으로 삼았습니다. 이러한 조직은 이 캠페인 이전에는 중국의 위협 활동 그룹의 표적으로 공개적으로 보고된 적이 없습니다.

이러한 네트워크 침입은 2020년 9월로 예정된 획기적인 2018년 중국-바티칸 잠정 합의의 갱신을 앞두고 발생했으며, 이 합의로 중국 공산당(CCP)이 역사적으로 박해를 받아온 중국의 '지하' 가톨릭 공동체에 대한 통제와 감독을 강화할 수 있게 되었다고 알려졌습니다. 교황청 외에도 2018년 합의에 중요한 역할을 한 것으로 여겨지는 현 주중 홍콩 연구단장도 캠페인의 타깃이 될 가능성이 높습니다.

바티칸 침입 혐의는 2020년 9월 계약 갱신을 앞두고 교황청의 협상 입장에 대한 레드델타의 통찰력을 제공할 수 있을 것으로 보입니다. 홍콩 연구 사절단과 가톨릭 교구를 표적으로 삼은 것은 최근 광범위한 시위와 홍콩 국가보안법 제정 움직임 속에서 교구와 바티칸의 관계, 홍콩 민주화 운동에 대한 교구의 입장을 모니터링하는 데 귀중한 정보원을 제공할 수 있습니다.

관찰된 레드델타의 TTP와 공개적으로 머스탱 팬더(BRONZE PRESIDENT 및 HoneyMyte라고도 함)로 알려진 위협 활동 그룹 사이에 상당한 중복이 있지만, 이 활동을 레드델타로 지정하게 된 몇 가지 주목할 만한 차이점이 있습니다:

  • 이 캠페인에서 RedDelta가 사용하는 플러그엑스 버전은 다른 C2 트래픽 암호화 방식을 사용하며 기존 플러그엑스와는 다른 구성 암호화 메커니즘을 가지고 있습니다.
  • 이 캠페인에 사용된 멀웨어 감염 체인은 머스탱 팬더가 사용한 것으로 공개적으로 보고된 바 없습니다.

인식트 그룹은 가톨릭 교회와 관련된 단체를 표적으로 삼은 것 외에도 인도의 법 집행 기관과 정부 기관, 인도네시아의 한 정부 기관을 표적으로 삼은 레드델타도 확인했습니다.

reddelta-targets-catholic-organizations-1-1.png

그림 1: 플러그엑스 변종과 레드델타 및 머스탱 판다에서 사용하는 감염 체인 간의 주요 차이점 선택.

주요 판단

  • 가톨릭 교회와 관련된 단체를 표적으로 삼는 것은 중국 공산당이 '지하' 가톨릭 교회에 대한 통제를 강화하고, 중국 내 '종교를 신성화'하며, 중국 가톨릭 공동체 내에서 바티칸의 영향력을 축소하려는 목표를 나타내는 것일 수 있습니다.
  • 인싯트 그룹은 레드델타가 중국의 전략적 이익에 크게 부합하는 조직을 표적으로 삼고, 중국에 기반을 둔 그룹이 전통적으로 사용하는 공유 툴을 사용하며, 중국 정부가 후원하는 위협 활동 그룹으로 의심되는 그룹과 겹치는 점으로 보아 이 그룹이 중국 정부를 대신하여 활동할 가능성이 있다고 판단하고 있습니다.
  • 확인된 레드델타 침입은 인프라, 툴링, 피해자 분석이 무스탕 팬더(Mustang Panda, 일명 BRONZE PRESIDENT 및 HoneyMyte)로 알려진 위협 활동 그룹과 겹치는 특징이 있습니다. 여기에는 이전에 공개 보고에서 이 그룹이 사용한 것으로 알려진 중복 네트워크 인프라 및 유사한 피해 기법의 사용과 플러그엑스, 포이즌 아이비, 코발트 스트라이크와 같이 머스탱 팬더가 일반적으로 사용하는 멀웨어의 사용이 포함됩니다.

배경

중국과 가톨릭 교회

수년 동안 중국 국가가 후원하는 단체들은 중국 내 소수 종교인, 특히 티베트, 파룬궁, 위구르 무슬림 공동체 등 이른바 '오독'에 속하는 종교인들을 표적으로 삼아왔습니다. 인식트 그룹은 티베트 중앙정부 , 기타 티베트 단체, 투르크스탄 이슬람당을 겨냥한 레드알파 , 익스4 백도어, 스캔박스 워터링홀 캠페인에 대한 발견 등 이러한 활동의 측면을 공개적으로 보고한 바 있습니다. 가장 최근에는 2020년 7월 미국의 기소장에 따르면 시안에 거주하는 한 목사와 청두의 지하교회 목사 등 중국 기독교 종교인의 이메일이 중국 국가안전부(MSS)를 대신해 활동하는 것으로 알려진 두 명의 계약자에 의해 표적이 된 것으로 밝혀졌으며, 후자는 나중에 중국 정부에 의해 체포되었습니다. 중국 공안부(MPS)의 각 지역 지부도 중국 내 소수 민족 및 종교에 대한 디지털 감시에 깊이 관여하고 있으며, 특히 위구르 무슬림의 경우 신장 공안국(XPSB)이 가장 많이 관여하고 있습니다.

역사적으로 중국은 바티칸 및 바티칸의 통치 기관인 교황청과 매우 격렬한 관계를 유지해 왔습니다. 특히 교황청은 역사적으로 박해를 받아온 중국의 '지하' 가톨릭 교회에서 전통적으로 바티칸에 충성하는 주교를 인정하지 않고 있으며, 대만과의 관계는 1950년대 이후 공식적인 관계가 단절된 상태입니다. 중국 공산당은 이러한 행동을 교황청이 중국 내 종교 문제에 간섭하는 것으로 인식했습니다. 2018년 9월, 중국과 교황청은 2년간의 획기적인 잠정 합의에 도달하여 외교 관계 재개를 향한 중요한 발걸음을 내디뎠습니다.

잠정 합의에 따라 중국은 지하 교회에 대한 통제권을 회복하고 바티칸은 국가가 지원하는 '공식' 가톨릭 교회 내 주교 임명에 더 많은 영향력을 행사할 수 있게 됩니다. 이 거래는 지하교회에 대한 배신이며 지하교회 신도들에 대한 박해를 강화할 것이라고 주장하는 비평가들과 함께 엇갈린 반응을 보였습니다. 가장 가혹한 비판의 대부분은 홍콩 내 성직자들로부터 나왔습니다. 합의 1년 후, 2019년 말부터 시작된 홍콩 시위에 대한 바티칸의 침묵에 대해 비판자들은 중국의 심기를 건드리지 않고 2018년 합의를 위태롭게 하지 않으려는 노력이라고 지적하는 보도가 다수 나왔 습니다.

위협 분석

가톨릭 교회 침입 개요

reddelta-targets-catholic-organizations-1-2.png

그림 2: 레드델타 플러그엑스 C2 서버 167.88.180[.]5용 인텔리전스 카드.

인식트 그룹은 레코디드 퓨처 RAT 컨트롤러 탐지 및 네트워크 트래픽 분석 기술을 사용하여 5월 중순부터 최소 2020년 7월 21일까지 바티칸 호스트와 통신하는 여러 개의 플러그엑스 C2 서버를 확인했습니다. 동시에 포이즌 아이비 및 코발트 스트라이크 비콘 C2 인프라가 바티칸 호스트와 통신하고, 바티칸 테마의 피싱 미끼인 플러그X를 전달하며, 가톨릭 교회와 관련된 다른 단체를 표적으로 삼는 것도 확인했습니다.

reddelta-targets-catholic-organizations-1-3.png

그림 3: 중국 주재 홍콩 연구 사절단 책임자를 겨냥한 바티칸의 유인 문서.

그림 3의 유인 문서는 이전에 홍콩 가톨릭 교회 표적 공격 링크와 관련하여 보고된 바 있으며, C2 도메인 systeminfor[.]com과 통신하는 맞춤형 플러그엑스 페이로드를 전달하는 데 사용되었습니다. 이 문서는 현 주중 홍콩 연구단장에게 보내는 바티칸의 공식 서한이라고 주장했습니다. 현재로서는 행위자들이 직접 문서를 작성했는지, 아니면 그들이 입수하여 무기화할 수 있었던 합법적인 문서인지는 불분명합니다. 이 편지가 이 개인에게 직접 발송된 것으로 보아 스피어피싱 시도의 표적이 되었을 가능성이 높습니다. 또한 이 샘플은 바티칸 네트워크 내 침입 징후가 포착된 후 수집된 것이므로, 피싱 미끼가 손상된 바티칸 계정을 통해 전송되었을 가능성도 있습니다. 이 가설은 샘플이 컴파일된 날과 공개 멀웨어 저장소에 처음 제출된 날을 전후해 플러그엑스 C2와 바티칸 메일 서버 간의 통신이 확인된 것으로 뒷받침됩니다.

홍콩 연구단장은 교황의 사실상 중국 대표이자 베이징과 바티칸을 잇는 핵심 연결고리로 간주됩니다. 이 직책의 전임자는 2018년 중국과 바티칸의 잠정 합의가 마무리되는 데 핵심적인 역할을 했기 때문에 2020년 9월 합의 만료 및 갱신 가능성을 앞두고 후임자는 정보 수집의 중요한 대상이 되었습니다.

2020년 6월과 7월에 이탈리아에 위치한 국제 선교 센터와 홍콩 가톨릭 교구의 메일 서버를 포함해 가톨릭 교회와 관련된 다른 기관들도 플러그엑스의 표적이 되었습니다.

reddelta-targets-catholic-organizations-1-4.png

그림 4: 가톨릭 아시아 뉴스 연합 기사 유인 문서(왼쪽)와 이슬람교 바티칸 쿰 유인 문서(오른쪽).

인식트 그룹은 동일한 맞춤형 플러그엑스 변종을 로딩하는 두 개의 피싱 미끼를 추가로 발견했으며, 이 미끼는 모두 바티칸 미끼와 동일한 C2 인프라와 통신했습니다. 첫 번째 샘플에는 새로운 홍콩 국가보안법 도입이 임박했다는 가톨릭 아시아 뉴스 연합의 뉴스 공지를 사칭한 유인 문서가 포함되어 있었습니다. '중국의 홍콩 보안법 계획에 대하여.doc'라는 제목의 유인 파일 내용은 합법적인 연합 가톨릭 아시아 뉴스 기사에서 발췌한 것입니다. 다른 샘플은 미끼 문서로 "QUM, IL VATICANO DELL'ISLAM.doc"이라는 제목의 문서를 사용하여 바티칸을 언급하기도 합니다. 이 특정 미끼 문서는 "이슬람의 바티칸 쿰"으로 번역되며, 시아파의 중요한 정치 및 종교 중심지인 이란의 도시 쿰(쿰)을 가리킵니다. 이란에 거주하는 이탈리아 가톨릭 학자 프랑코 오메토의 저서에서 따온 말입니다. 이 두 가지 미끼의 직접적인 표적은 불분명하지만, 둘 다 가톨릭 교회와 관련이 있습니다.

이러한 표적 공격은 중국 내 지하 가톨릭 교회에 대한 통제력을 강화하려는 중국의 목표와 중국 가톨릭 신자들에 대한 바티칸의 영향력을 약화시키려는 의도가 모두 담겨 있다고 생각합니다. 마찬가지로, 민주화 시위와 최근 국가보안법이 전면 시행되는 가운데 홍콩 가톨릭에 대한 관심은 특히 전 홍콩 주교 조셉 젠제쿤 추기경을 비롯한 많은 회원들의 반중 입장을 고려할 때 중국의 전략적 이익에 부합합니다.

전망

저희의 조사 결과, 2020년 9월 중국과 바티칸의 잠정적인 협정 갱신을 앞두고 가톨릭 교회와 관련된 여러 유명 단체를 대상으로 한 중국의 국가 후원 캠페인이 의심되는 정황이 발견되었습니다. 중국 공산당이 교황청과 외교 관계를 개선하는 것은 비공식 가톨릭 교회에 대한 감독과 통제를 강화하기 위한 수단으로 해석되는 것이 일반적입니다. 이는 또한 중국 공산당이 중국에서 '종교의 세속화'라는 보다 광범위한 목표를 달성하려는 의도를 뒷받침합니다. 또한, 지하교회 신자들에 대한 지속적인 박해와 구금, 공식 가톨릭 교회와 개신교 교회에 대한 물리적 감시 의혹은 종교 소수자에 대한 통제와 감시에 대한 중국의 관심이 '5대 독'에 속한 사람들에게만 국한되지 않음을 보여줍니다.

미국 국제종교자유 담당 대사는 최근 홍콩의 새로운 국가보안법이 "종교의 자유를 크게 훼손할 가능성이 있다"며 홍콩 내 영향에 대해 우려를 표명했습니다. 가톨릭 홍콩 교구가 표적이 된 것은 홍콩의 민주화 운동에 대한 교구의 입장과 바티칸과의 관계를 모니터링하는 데 중요한 정보원이 될 수 있습니다. 이는 특별행정구 내에서 특히 민주화 또는 반중 입장과 일치하는 경우 종교의 자유에 대한 제한이 늘어날 수 있는 전조일 수 있습니다.

레드델타는 중국의 전략적 이해관계와 관련된 단체를 대상으로 매우 활발한 위협 활동을 하는 그룹입니다. 이 그룹이 플러그엑스와 코발트 스트라이크와 같은 잘 알려진 도구를 지속적으로 사용하고 인프라 재사용, 운영 보안 실패에도 불구하고 이러한 침입은 레드델타가 여전히 인텔리전스 요구 사항을 충족해야 하는 과제를 안고 있음을 나타냅니다. 특히, 이 캠페인은 종교 단체를 표적으로 삼는 분명한 목적을 가지고 있으므로 종교 및 비정부기구(NGO)는 레드델타와 같은 중국 국가 후원 위협 활동 그룹의 위협에 대응하기 위해 네트워크 방어에 주목하고 투자해야 한다고 생각합니다. 많은 NGO와 종교 단체가 보안 및 탐지 조치에 투자할 능력이 부족하기 때문에 잘 문서화된 도구, TTP 및 인프라를 사용하더라도 자원이 풍부하고 끈질긴 그룹이 성공할 가능성이 크게 높아집니다.

네트워크 방어 권장 사항

레코디드 퓨처는 사용자가 레드델타 활동과 관련된 활동을 감지하고 완화하기 위해 다음과 같은 조치를 취할 것을 권장합니다:

  • 부록에 나열된 외부 IP 주소 및 도메인에 대해 경고하도록 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 또는 네트워크 방어 메커니즘을 구성하고, 검토 후 불법적인 연결 시도를 차단하는 것을 고려하세요.

또한 다음과 같은 일반적인 정보 보안 모범 사례 가이드라인을 따를 것을 권장합니다:

  • 모든 소프트웨어와 애플리케이션, 특히 운영 체제, 바이러스 백신 소프트웨어, 핵심 시스템 유틸리티를 최신 상태로 유지하세요.
  • 이메일 서신을 필터링하고 첨부 파일에 멀웨어가 있는지 면밀히 조사하세요.
  • 시스템을 정기적으로 백업하고 네트워크를 통해 데이터에 액세스할 수 없도록 가급적 오프라인, 즉 외부에 백업을 저장하세요.
  • 면밀한 사고 대응 및 커뮤니케이션 계획을 세우세요.
  • 회사에 민감한 데이터의 엄격한 구분을 준수하세요. 특히 직원 계정이나 디바이스에 액세스할 수 있는 사람이 피싱을 통해 디바이스나 계정을 탈취하는 등의 방법으로 어떤 데이터에 액세스할 수 있는지 살펴보세요.
  • 역할 기반 액세스, 회사 전체의 데이터 액세스 제한, 민감한 데이터에 대한 액세스 제한을 강력히 고려하세요.
  • 호스트 기반 제어 사용: 공격을 차단하는 가장 좋은 방어 및 경고 신호 중 하나는 클라이언트 기반 호스트 로깅 및 침입 탐지 기능을 수행하는 것입니다.
  • 네트워크 IDS, 넷플로우 수집, 호스트 로깅, 웹 프록시와 같은 기본적인 사고 대응 및 탐지 배포와 제어를 구현하고 탐지 소스에 대한 인적 모니터링도 함께 수행하세요.
  • 파트너 또는 공급망 보안 표준을 숙지하세요. 에코시스템 파트너를 위한 보안 표준을 모니터링하고 시행하는 것은 모든 조직의 보안 태세에서 중요한 부분입니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

관련