중국 국가 지원 레드줄리엣, 네트워크 경계 악용을 통한 대만 사이버 스파이 활동 강화
인식트 그룹은 2023년 11월부터 2024년 4월까지 대만의 정부, 학술, 기술, 외교 기관을 주요 대상으로 중국 국가 지원 단체로 추정되는 레드줄리엣이 사이버 스파이 활동을 수행한 것을 확인했습니다. 레드줄리엣은 방화벽, 가상 사설망(VPN), 부하 분산 장치와 같은 네트워크 엣지 디바이스의 알려진 취약점을 악용하여 초기 접속을 시도했습니다. 이 그룹은 중국 푸저우에서 활동하는 것으로 보이며, 이는 대만을 지속적으로 표적으로 삼고 있는 것과 일치합니다. 레드줄리엣의 활동은 대만의 경제 및 외교 관계에 대한 중국의 정보 수집과 핵심 기술 개발을 지원하는 데 목적이 있는 것으로 보입니다.
중국 국가가 후원하는 레드줄리엣, 대만 정부, 학술 및 기술 부문에 대한 사이버 스파이 활동 강화
레드줄리엣이 대만 기업을 집중적으로 공략하는 것은 그룹의 과거 활동과 궤를 같이 합니다. 인식트 그룹은 또한 레드줄리엣이 홍콩, 말레이시아, 라오스, 한국, 미국, 지부티, 케냐, 르완다의 조직을 침해하는 활동으로 확장하는 것을 목격했습니다.
레드줄리엣은 인터넷 연결 디바이스의 취약점을 노리는 것 외에도 웹 및 SQL 애플리케이션에 대한 구조화된 쿼리 언어(SQL) 인젝션 및 디렉터리 탐색 익스플로잇을 사용했습니다. 조직은 이러한 위협에 대응하기 위해 익스플로잇 후 지속성, 발견, 측면 이동 활동을 탐지하는 데 중점을 둔 심층 방어 전략으로 일상적인 패칭을 보완해야 합니다. 또한 조직은 인터넷에 연결된 디바이스를 정기적으로 감사하고 가능한 경우 공격 표면을 줄여야 합니다. 레드줄리엣은 플랙스 타이푼과 에얼리 팬더라는 가명으로 공개 보고를 하는 것과 거의 겹칩니다.
주요 연구 결과
- 피해자 조직: 레드줄리엣은 대만, 라오스, 케냐, 르완다의 정부 기관을 포함한 24개 조직을 침해했습니다. 이 그룹은 또한 대만의 70개 이상의 학계, 정부, 싱크탱크 및 기술 기관과 대만에서 운영 중인 여러 사실상의 대사관을 대상으로 네트워크 정찰을 수행하거나 악용을 시도했습니다.
- 익스플로잇 기법: 레드줄리엣은 피해자 네트워크에 소프트이더 VPN 브리지 또는 클라이언트를 생성했습니다. 또한 이 그룹은 Acunetix 웹 애플리케이션 보안 스캐너를 사용하여 정찰을 수행하고 익스플로잇 활동을 시도했습니다. 레드줄리엣은 또한 웹 및 SQL 애플리케이션을 대상으로 SQL 인젝션과 디렉터리 트래버스 익스플로잇을 시도했습니다. 익스플로잇 이후, 이 그룹은 오픈 소스 웹 셸을 사용하고 Linux 운영 체제의 권한 취약점 상승을 악용했습니다.
- 인프라: 레드줄리엣은 위협 행위자가 제어하는 임대 서버와 대만 대학에 속한 손상된 인프라를 모두 활용하여 SoftEther VPN을 사용하여 운영 인프라를 관리합니다.
- 대만에 대한 시사점 레드줄리엣의 활동은 대만의 경제 정책, 무역, 외교 관계에 대한 정보를 수집하려는 중국의 목표와 일치합니다. 이 그룹은 또한 여러 중요 기술 기업을 표적으로 삼아 중국 국가가 후원하는 위협 행위자들에게 이 부문의 전략적 중요성을 강조했습니다.
조직을 위한 권장 사항
레드줄리엣의 표적이 될 가능성이 있는 조직은 다음과 같은 조치를 취해야 합니다:
- 네트워크 세분화: 비무장 지대(DMZ)에서 인터넷 연결 서비스를 격리하여 네트워크 세분화를 연습하세요.
- 보안 모니터링: 모든 외부 서비스 및 디바이스에 대한 보안 모니터링 및 탐지 기능을 보장합니다. 웹 셸, 백도어 또는 리버스 셸 사용과 같은 후속 활동과 내부 네트워크 내 측면 이동을 모니터링합니다.
- 공개 지침을 검토하세요: 중국 국가 후원 그룹이 사용하는 일반적인 TTP를 완화하기 위한 공개 지침과 중국 APT 활동을 보다 광범위하게 완화하기 위한 트렌드 및 권장 사항에 대한 Insikt Group의 보고서를 검토하세요.
- 위험 기반 패치: 기록된 미래 취약점 인텔리전스에서 식별한 대로 고위험 취약점과 야생에서 악용되는 취약점의 우선순위를 지정하여 취약점 패치를 위한 위험 기반 접근 방식을 보장합니다.
- RCE 취약점 우선순위 지정: 널리 사용되는 VPN, 메일 서버, 방화벽, 부하 분산 어플라이언스, 특히 F5 BIG-IP, Fortinet FortiGate, ZyXEL ZyWALL 디바이스의 원격 코드 실행(RCE) 취약점 해결에 집중합니다.
- 악성 트래픽 분석: 악성 트래픽 분석(MTA)을 모니터링하여 알려진 레드줄리엣 명령 및 제어(C2) IP 주소와 통신하는 인프라를 선제적으로 탐지하고 경고합니다.
- 공급망 모니터링: 기록된 향후 타사 인텔리전스를 사용하여 실시간 출력을 모니터링하고 주요 공급업체 및 파트너와 관련된 의심스러운 침입 활동을 식별하세요.
- 위협 인텔리전스 확장: 기록된 미래 위협 인텔리전스 브라우저 확장 프로그램을 설치하면 모든 웹 기반 리소스에서 위협 인텔리전스에 즉시 액세스하여 보안 정보 및 이벤트 관리(SIEM) 내에서 더 빠르게 경고를 처리하고 취약점 패치 우선 순위를 지정할 수 있습니다.
인싯트 그룹은 레드줄리엣과 다른 중국 국가 지원 위협 행위자들이 대학, 정부 기관, 싱크탱크, 기술 기업을 중심으로 대만을 계속해서 정보 수집 대상으로 삼을 것으로 예상하고 있습니다. 중국 국가 지원 그룹은 광범위한 글로벌 표적에 대한 초기 접근 권한을 확보하기 위해 작전을 확장하는 데 효과적인 것으로 입증된 전술인 공용 디바이스에 대한 정찰과 악용을 계속할 것으로 예상됩니다.
전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.
부록 A — 침해 지표
2024년 5월 21일 기준 활성 RedJuliett 서버: 38.147.190[.]192 (2024-04-07 이후) 61.238.103[.]155 (2024-02-23 이후) 122.10.89[.]230 (2024-01-24 이후) 137.220.36[.]87 (2024-05-09 이후) 140.120.98[.]115 (2023-11-14 이후) 154.197.98[.]3 (이후 2023-11-14) 154.197.99[.]202 (2023-12-16 이후) 176.119.150[.]92 (2024-04-01 이후) 알려진 레드줄리엣 소프트에테르 TLS 인증서(SHA-1 핑거프린트) 7992c0a816246b287d991c4ecf68f2d32e4bca18 5437d0195c31bf7cedc9d90b8cb0074272bc55df cc1f0cdc131dfafd43f60ff0e6a6089cd03e92f1 2c95b971aa47dc4d94a3c52db74a3de11d9ba658 0cc0ba859981e0c8142a4877f3af99d98dc0b707 9f01fc7cad8cdd8d934e2d2f033d7199a5e96e4a 도메인 cktime.ooguy[.]com www.sofeter[.]ml www.dns361[.]tk |
부록 B — Mitre ATT&CK 기법
전술: 기법 | ATT&CK 코드 |
자원 개발: 인프라 확보: 가상 사설 서버 | T1583.003 |
자원 개발: 인프라 손상: 서버 | T1584 |
정찰: 활성 스캐닝: 취약점 스캔 | T1595.002 |
초기 액세스: 퍼블릭 대면 애플리케이션 익스플로잇 | T1190 |
지속성: 외부 원격 서비스 | T1133 |
지속성: 서버 소프트웨어 구성 요소: 웹 셸 | T1505.003 |
권한 에스컬레이션: 권한 에스컬레이션을 위한 익스플로잇 | T1068 |
관련