레드델타, 유럽 정부 기관을 타깃으로 맞춤형 플러그엑스 변형을 계속 개발 중

편집자 주: 이 내용은 보고서 전문에서 발췌한 것입니다. 각주가 포함된 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

이 보고서는 중국 국가가 후원하는 것으로 추정되는 위협 활동 그룹 RedDelta가 최근 수행한 활동을 자세히 설명합니다. 이 활동은 대규모 자동 네트워크 트래픽 분석과 전문가 분석의 조합을 통해 식별되었습니다. 이 보고서는 중국의 사이버 위협 활동과 관련된 전략 및 운영 인텔리전스 요구 사항이 있는 개인과 조직, 동남아시아 및 유럽 내 정부 기관의 네트워크 방어자들이 가장 관심을 가질 만한 보고서입니다.

Executive Summary

레코디드 퓨처의 인식트 그룹은 플러그엑스 백도어의 맞춤형 변종을 사용하여 유럽과 동남아시아 내 조직을 노리는 중국 국가 지원 위협 활동 그룹 레드델타로 추정되는 활동을 지속적으로 추적하고 있습니다. 레드델타는 적어도 2019년부터 동남아시아, 특히 미얀마와 베트남에서 꾸준히 활동해 왔으며, 글로벌 지정학적 사건에 대응하여 타겟팅을 정기적으로 조정하고 있습니다. 이는 2021년 중국 공산당과 바티칸 관리들 간의 회담을 앞두고 바티칸과 기타 가톨릭 단체를 표적으로 삼은 그룹[1,2]과 러시아의 우크라이나 침공 이후 유럽 정부 및 외교 기관을 표적으로 삼는 그룹으로 전환한 2022년을 통해 역사적으로 분명해졌습니다.

레드델타는 2022년 9월부터 11월까지 3개월 동안 악성 바로 가기(LNK) 파일을 사용하는 감염 체인을 정기적으로 사용했으며, 이는 동적 링크 라이브러리(DLL) 검색 주문 탈취 실행 체인을 트리거하여 지속적으로 업데이트되는 플러그엑스 버전을 로드합니다. 이 기간 동안 이 그룹은 유럽 내 정부 및 이민 정책과 관련된 미끼 문서를 반복적으로 사용했습니다. 주목할 만한 점은 2022년 8월 초에 레드델타 지휘통제(C2) 인프라와의 무역 통신에 중점을 둔 유럽 정부 부처를 확인했다는 점입니다. 이 활동은 이 C2 인프라를 사용하고 EU 무역을 주제로 한 미끼 문서를 특징으로 하는 RedDelta PlugX 샘플이 공개 멀웨어 저장소에 나타난 날에 시작되었습니다. 또한 미얀마와 베트남 내에서 RedDelta C2 인프라와 정기적으로 통신하는 추가 피해 가능성이 있는 단체를 확인했습니다.

레드델타는 브론즈 프레지던트, 머스탱 팬더, TA416, 레드 리치, 허니마이트라는 가명으로 공개 업계 보고와 밀접하게 겹칩니다.

주요 판단

• 레드델타는 중국 정부의 전략적 이익에 따라 아시아 및 유럽 전역의 정부 및 공공 부문 조직은 물론 티베트 및 가톨릭 교회 관련 단체와 같은 중국 본토 내 소수 집단과 관련된 해외 조직을 대상으로 장기간 사이버 스파이 캠페인을 지속적으로 수행해 왔습니다.
• 레드델타의 활동에 대한 공개적인 보고가 많음에도 불구하고 레드델타는 다른 국가 지원 단체에 비해 운영 속도가 빠릅니다. 이 그룹은 또한 탐지 회피를 위한 안티 분석을 위해 고도로 맞춤화된 장기 실행 백도어 PlugX의 변종인 주력 백도어(원격 액세스 트로이목마[RAT])의 개발 속도를 빠르게 유지하고 있습니다.
• 2022년 11월, 레드델타 공격자들은 업데이트된 플러그엑스 페이로드를 전달하기 위해 아카이브 파일 사용에서 단순화된 바로가기(LNK) 파일이 포함된 악성 광디스크 이미지(ISO) 파일 사용으로 전환했습니다.

그림 1: 높은 수준의 레드델타 TTP 및 레코디드 퓨처 데이터 소싱 그래픽, 과거에 보고된 TTP는 회색으로 표시[1,2] (출처: 레코디드 퓨처)_ (자료 출처: 레코디드 퓨처)