RedHotel: 전 세계적으로 운영되며 다방면으로 활동하는 중국 국영 후원 그룹
Insikt Group의 새로운 연구에서는 지속성, 운영 강도 및 글로벌 범위 면에서 부각되고 있는 중국 국가 후원 위협 활동 단체인 RedHotel을 조사합니다. RedHotel은 2021년부터 2023년까지 아시아, 유럽 및 북미 17개국에서 운영되었습니다. 그 대상은 학계, 항공우주, 정부, 미디어, 통신 및 연구 분야를 포괄합니다. RedHotel의 멀웨어 명령 및 제어, 정찰 및 악용 인프라는 특히 특정 부문의 동남아시아 정부 및 민간 기업 에 초점을 맞추고 있으며 중국 청두에서 관리됩니다. 그 수법은 중국 국가안전부(MSS)와 연계된 다른 계약업체 단체와 유사하며, 이는 청두의 사이버 인력 및 작전과 연결고리가 있음을 나타냅니다.
레드호텔의 멀티 계층 C2 인프라 네트워크 개략도
적어도 2019년부터 RedHotel은 빠른 운영 속도를 유지하고 전 세계 공공 및 민간 부문 조직을 표적으로 삼으면서 중국 정부가 후원하는 광범위한 사이버 스파이 활동의 범위와 규모를 가차 없이 보여주었습니다. 이 단체는 정보 수집과 경제 스파이의 이중 임무를 가지고 있습니다. 전통적인 정보 수집을 위한 정부 기관과 코로나19 연구 및 기술 R&D와 관련된 조직 모두를 대상으로 활동합니다. 특히, 2022년에는 미국 주 의회를 상대로 한 활동으로 그 범위를 확대했음을 과시했습니다. 관측된 피해 기관은 대부분 총리실, 재무부, 입법부, 내무부 등 정부 기관이었으며, 이는 단체의 스파이 활동 목적과 일맥상통합니다. 그러나 2021년 7월에 보고된 대만 산업기술연구소(ITRI) 표적 활동이나 코로나19 연구 표적 활동과 같은 일부 사례에서는 산업 및 경제 스파이 행위가 동기가 되었을 가능성이 높습니다. 과거에 이 단체가 중국 시장에서 서비스하는 온라인 도박 산업을 표적으로 삼은 것은 Insikt Group이 관측한 중국 기반 사이버 스파이 행위자들의 광범위한 동향과도 일치하며, 부분적으로는 중국 정부가 대대적으로 실시한 온라인 도박 단속을 지원하기 위해 정보를 수집하려는 목적일 수 있습니다.
RedHotel 기술 스택
RedHotel은 명령 및 제어 서버를 통한 정찰과 장기 네트워크 액세스에 중점을 둔 다계층 인프라 를 사용합니다. 이 단체의 다계층 인프라 설정에서는 대량으로 프로비저닝된 가상 사설 서버(VPS)가 단체에서 사용하는 여러 멀웨어 제품군과 관련된 C2 트래픽에 대해 역방향 프록시 역할을 하도록 구성됩니다. 이러한 역방향 프록시 서버는 일반적으로 TCP 80, 443, 8080, 8443과 같은 표준 HTTP(s) 포트를 통해 수신하고 행위자가 제어하는 업스트림 서버로 트래픽을 리디렉션하도록 구성됩니다. 이 업스트림 서버는 오픈 소스 가상 사설망(VPN) 소프트웨어인 SoftEther를 사용하여 위협 행위자가 직접 관리할 가능성이 높습니다.
이 단체는 종종 Cobalt Strike, Brute Ratel C4, Winnti, ShadowPad, FunnySwitch 및 Spyder 백도어를 포함한 공격적인 보안 도구, 공유 기능 및 맞춤형 도구를 혼합하여 사용합니다. 2022년과 2023년에 걸쳐 Insikt Group은 RedHotel이 사용 중인 100개 이상의 C2 IP 주소를 추적했으며, 이 단체는 AS-CHOOPA(Vultr), G-Core Labs S.A., Kaopu Cloud HK Limited 등 특정 호스팅 제공업체를 크게 선호하는 것으로 나타났습니다. 특정 호스팅 제공업체에 대한 위협 행위자의 선호도는 비용, 안정성, 설정 용이성, 데이터 센터 위치, 정부 및 민간 부문 조직과의 협력 또는 수집 수준, 호스팅 제공업체가 악의적인 서비스 사용에 대처하는 속도와 의지 등의 요인에 의해 영향을 받을 수 있습니다.
Recorded Future의 Insikt Group은 중국 정부가 후원하는 다양한 사이버 위협을 관찰하고 있으며, 그중 RedHotel은 광범위한 활동 범위와 강도 면에서 두드러집니다. RedHotel의 캠페인에는 도난당한 코드 서명 인증서를 악용하고 베트남 정부 인프라를 탈취하는 등의 혁신적인 공격이 포함되어 있습니다. RedHotel은 대중에게 노출되었음에도 불구하고 대담한 접근 방식을 전개함으로써 활동을 지속할 것임을 시사하고 있습니다.
방어 전략
조직은 인터넷 접속 기기(특히 기업 VPN, 메일 서버, 네트워크 장치)의 보안 강화 및 취약점 패치, 이러한 장치의 로깅 및 모니터링, 내부 네트워크에 대한 노출 및 측면 이동 가능성을 제한하는 네트워크 세분화를 우선적으로 실행하여 RedHotel 활동을 방어할 수 있습니다.
참고: 이 보고서 요약본은 2023년 8월 8일에 처음 발행되었으며 2024년 10월 29일에 업데이트되었습니다. 초기 분석 및 결과는 변경되지 않았습니다.
각주가 포함된 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.
부록 A — 침해 지표
|
도메인: DGA[.]ASIA kb.dga[.]ASIA video.dga[.]ASIA sc.dga[.]asia dgti.dga[.]ASIA nhqdc[.]com msdn.microsoft.nhqdc[.]com icoreemail[.]com demo.icoreemail[.]com officesuport[.]com kiwi.officesuport[.]com cdn.officesuport[.]com test.officesuport[.]com mail.officesuport[.]com ntpc.officesuport[.]com main.officesuport[.]com excel.officesuport[.]com remote.officesuport[.]com ismtrsn[.]club lrm.ismtrsn[.]club tgoomh.ismtrsn[.]club news.ismtrsn[.]club icarln.ismtrsn[.]club liveonlin[.]com npgsql.liveonlin[.]com public.liveonlin[.]com tech.liveonlin[.]com main.liveonlin[.]com cctv.liveonlin[.]com alexa-api[.]com www.alexa-api[.]com ngndc[.]com air.ngndc[.]com spa.ngndc[.]com mkn.ngndc[.]com ekaldhfl[.]club ts.ekaldhfl[.]club ist.ekaldhfl[.]club downloads.ekaldhfl[.]club pps.ekaldhfl[.]club plt.ekaldhfl[.]club tlt.ekaldhfl[.]club thy.ekaldhfl[.]club us.ekaldhfl[.]club ASIA-CDN[.]ASIA report.asia-cdn[.]asia freehighways[.]com map.freehighways[.]com iredemail[.]com index.iredemail[.]com demo.iredemail[.]com open.iredemail[.]com api.iredemail[.]com full.iredemail[.]com bbs.iredemail[.]com 0nenote[.]com keep.0nenote[.]com ASIA-CDN[.]ASIA api.asia-cdn[.]asia speedtest.asia-cdn[.]asia 사이버암스[.]닷컴 checkip.cyberoams[.]com ekaldhfl[.]club pps.ekaldhfl[.]club usa.ekaldhfl[.]club mtlklabs[.]co 콘호스트사다[.]웹사이트 itcom666[.]live qbxlwr4nkq[.]itcom666[.]live 8kmobvy5o[.]itcom666[.]live itcom888[.]live bwlgrafana[.]itcom888[.]live itsm-uat-app[.]itcom888[.]live dkxvb0mf[.]itcom888[.]live nvw3tdetwx[.]itcom888[.]live 0j10u9wi[.]itcom888[.]live yt-sslvpn[.]itcom888[.]live vappvcsa[.]itcom888[.]live 94ceaugp[.]itcom888[.]live sibersystems[.]xyz fyalluw0[.]sibersystems[.]xyz sijqlfnbes.sibersystems[.]xyz jmz8xhxen3.sibersystems[.]xyz 2h3cvvhgtf.sibersystems[.]xyz 3tgdtyfpt9.sibersystems[.]xyz n71qtqemam.sibersystems[.]xyz 711zm77cwq.sibersystems[.]xyz R77wu4s847.sibersystems[.]xyz caamanitoba[.]us jw7uvtodx4.caamanitoba[.]us xdryqrbe.caamanitoba[.]us b1k10pk9.caamanitoba[.]us 6hi6m62bzp.caamanitoba[.]us livehost[.]live sci.livehost[.]live C2 IP 주소(2023년 5월~6월에 확인) 1.13.82[.]101 5.188.33[.]188 5.188.33[.]254 5.188.34[.]164 5.188.34[.]173 38.54.16[.]131 38.54.16[.]179 38.60.199[.]87 38.60.199[.]208 45.76.186[.]26 45.77.153[.]197 61.238.103[.]165 64.227.132[.]226 92.38.169[.]222 92.38.176[.]128 92.38.178[.]40 92.38.178[.]60 92.223.90[.]133 95.85.91[.]50 103.140.239[.]41 103.157.142[.]95 108.61.158[.]179 139.180.193[.]182 140.82.7[.]72 141.164.63[.]244 154.212.129[.]132 156.236.114[.]202 TLS 인증서(SHA256 지문): f8cd64625f8964239dad1b2ce7372d7a293196455db7c6b5467f7770fd664a61 294fb8f21034475198c3320d01513cc9917629c6fd090af76ea0ff8911e0caa3 9c8e5f6e5e843767f0969770478e3ad449f8a412dad246a17ea69694233884b9 29ed44228ed4a9883194f7e910b2aac8e433ba3edd89596353995ba9b9107093 b02aed9a615b6dff2d48b1dd5d15d898d537033b2f6a5e9737d27b0e0817b30e 코발트 스트라이크 로더 5cba27d29c89caf0c8a8d28b42a8f977f86c92c803d1e2c7386d60c0d8641285 48e81b1c5cc0005cc58b99cefe1b6087c841e952bb06db5a5a6441e92e40bed6 25da610be6acecfd71bbe3a4e88c09f31ad07bdd252eb30feeef9debd9667c51 233bb85dbeba69231533408501697695a66b7790e751925231d64bddf80bbf91 aeceaa7a806468766923a00e8c4eb48349f10d069464b53674eeb150e0a59123 브루트 라텔 로더 6e3c3045bb9d0db4817ad0441ee3c95b8fe3e087388d1ceefb9ebbd2608aef16 6f31a4656afb8d9245b5b2f5a634ddfbdb9db3ca565d2c52aee68554ede068d1 c00991cfeafc055447d7553a14be2303e105b6a97ab35ecf820b9dbd42826f9d Winnti 5861584bb7fa46373c1b1f83b1e066a3d82e9c10ce87539ee1633ef0f567e743 69ff2f88c1f9007b80d591e9655cc61eaa4709ccd8b3aa6ec15e3aa46b9098bd 2f1321c6cf0bc3cf955e86692bfc4ba836f5580c8b1469ce35aa250c97f0076e f1dcf623a8f8f4b26fe54fb17c8597d6cc3f7066789daf47a5f1179bd7f7001a Spyder 7a61708f391a667c8bb91fcfd7392a328986059563d972960f8237a69e375d50 5d3a6f5bd0a72ee653c6bdad68275df730b836d6f9325ee57ec7d32997d5dcef 1ded9878f8680e1d91354cbb5ad8a6960efd6ddca2da157eb4c1ef0f0430fd5f e053ca5888fb0d5099efed76e68a1af0020aaaa34ca610e7a1ac0ae9ffe36f6e 24d4089f74672bc00c897a74664287fe14d63a9b78a8fe2bdbbf9b870b40d85c FunnySwitch 7056e9b69cc2fbc79ba7a492906bcc84dabc6ea95383dff3844dfde5278d9c7a ede0c1f0d6c3d982f63abbdd5f10648948a44e5fa0d948a89244a06abaf2ecfe 9eb0124d822d6b0fab6572b2a4445546e8029ad6bd490725015d49755b5845a4 |
부록 B — Mitre ATT&CK 기법
| 전술: 기법 | ATT&CK 코드 | 관찰 가능 |
| 정찰: 활성 스캐닝: 취약점 스캔 | T1595.002 | RedHotel은 Acunetix와 같은 취약점 스캔 도구를 사용하여 외부 기기의 취약성을 스캔했습니다 |
| 자원 개발: 인프라 확보 도메인 | T1583.001 | RedHotel은 주로 Namecheap을 통해 도메인을 구매했습니다. |
| 자원 개발: 인프라 확보: 가상 사설 서버 | T1583.003 | RedHotel은 행위자 제어 VPS를 프로비저닝했으며, Choopa(Vultr), G-Core, Kaopu Cloud HK Limited 등의 공급업체를 선호합니다. |
| 자원 개발: 인프라 손상: 서버 | T1584.004 | RedHotel은 또한 손상된 GlassFish 서버를 Cobalt Strike C2로 사용하고 표적 네트워크를 스캔했습니다. |
| 초기 액세스: 퍼블릭 대면 애플리케이션 익스플로잇 | T1190 | 레드호텔은 초기 액세스를 위해 공개 애플리케이션을 악용했으며, 여기에는 짐브라 콜라보레이션 스위트(CVE-2022-24682, CVE-2022-27924, CVE-2022-37042 및 CVE-2022-30333과 체인화된 CVE-2022-27925), Microsoft Exchange(ProxyShell), Apache Log4J의 Log4Shell 취약점 등이 있습니다. |
| 초기 액세스: 스피어피싱: 스피어피싱 첨부 파일 | T1566.001 | RedHotel은 원격으로 호스팅되는 스크립트(HTA, VBScript)를 가져오는 바로가기(LNK) 파일이 포함된 아카이브 스피어 피싱 첨부 파일을 사용했습니다. 그런 다음 이 스크립트는 DLL 검색 순서 탈취 감염 체인을 트리거하고 사용자에게 유인 문서를 표시하는 데 사용됩니다. |
| 지속성: 서버 소프트웨어 구성 요소: 웹 셸 | T1505.003 | RedHotel은 피해 환경 내에서 웹 셸을 사용하고 손상된 GlassFish 서버와 상호 작용했습니다. |
| 지속성:: 예약된 작업/작업: 예약된 작업 | T1053.005 | RedHotel은 그룹의 Spyder 백도어에 지속성을 위해 예약된 작업을 사용했습니다.
|
| 지속성: 부팅 또는 로그온 자동 시작 실행: 레지스트리 실행 키/시작 폴더 | T1547.001 | ScatterBee ShadowPad 로더는 실행 레지스트리 키를 통해 지속되며, 암호화된 ShadowPad 페이로드도 레지스트리에 저장합니다. |
| 방어 회피: 난독화된 파일 또는 정보 | T1027 | RedHotel은 ScatterBee라는 도구를 사용하여 ShadowPad 페이로드를 난독화했습니다. 또한 이 그룹은 bin.config라는 파일 내에 암호화되거나 인코딩된 페이로드를 반복적으로 저장했습니다.
|
| 방어 회피: 파일 또는 정보 복호화/복호화 해제: 방어 회피 | T1140 | |
| 방어 회피: 신뢰 제어 무력화: 코드 서명 | T1553.002 | RedHotel은 도난당한 코드 서명 인증서(예: 참조된 WANIN International 인증서)를 사용하여 악성 바이너리에 서명했습니다. |
| 방어 회피: 하이재킹 실행 흐름: DLL 검색 순서 하이재킹 | T1574.001 | RedHotel은 vfhost.exe를 포함한 여러 합법적인 실행 파일을 DLL 검색 순서 탈취에 악용했습니다, mcods.exe, 및 BDReinit.exe.
|
| 방어 회피: 변장: 합법적인 이름 또는 위치 일치 | T1036.005 | RedHotel은 악성 DLL을 로드하기 위해 DLL 검색 순서 탈취와 함께 합법적인 파일 이름을 사용했습니다. |
| 명령 및 제어: 프록시: 외부 프록시 | T1090.002 | RedHotel은 VPS C2를 사용하여 행위자 제어 서버로 트래픽 업스트리밍을 프록시했습니다. |
| 명령 및 제어: 애플리케이션 계층 프로토콜: 웹 프로토콜 | T1071.001 | 이 보고서에서 참조된 RedHotel Brute Ratel 및 Cobalt Strike 샘플은 HTTPS를 통해 통신합니다. |
| 유출: 유출: C2 채널을 통한 유출 | T1041 | RedHotel은 맬웨어 C2 채널을 통해 데이터를 유출했습니다. |
관련