러시아와 연계된 TAG-110, HATVIBE와 CHERRYSPY로 아시아와 유럽 겨냥
요약
Insikt Group은 러시아 연계 위협 단체 TAG-110이 중앙아시아, 동아시아, 유럽의 조직을 표적으로 삼아 진행하는 사이버 스파이 캠페인을 확인했습니다. TAG-110은 맞춤형 멀웨어 도구인 HATVIBE와 CHERRYSPY를 사용하여 주로 정부 기관, 인권 단체 및 교육 기관을 공격합니다. 이 캠페인의 전술은 러시아 APT 단체 BlueDelta(APT28)와 연결된 것으로 추정되는 UAC-0063의 과거 활동과 일치합니다. HATVIBE는 데이터 유출 및 첩보 활동에 사용되는 Python 백도어인 CHERRYSPY를 배포하는 로더 역할을 합니다. 초기 액세스는 피싱 이메일을 이용하거나 Rejetto HTTP 파일 서버와 같은 취약한 웹 기반 서비스를 악용하여 이루어지는 경우가 많습니다.
TAG-110의 활동은 지정학적 발전에 대한 정보를 수집하고 구소련 국가에서 영향력을 유지하려는 러시아의 광범위한 전략 중 일부일 가능성이 높습니다. Insikt Group은 조직에 도움이 되는 침해 지표와 Snort 및 YARA 규칙을 포함한 실행 가능한 인사이트를 제공합니다.
러시아와 연계된 TAG-110, HATVIBE와 CHERRYSPY로 아시아와 유럽 겨냥
국가와 연계된 지능형 지속 공격(APT) 단체는 전략적 목표를 달성하기 위해 정교한 캠페인을 계속해서 수행하고 있습니다. Insikt Group은 TAG-110이 최근 중앙아시아, 동아시아, 유럽의 조직을 대상으로 러시아와 연계하여 수행하는 사이버 첩보 캠페인을 확인했습니다. 이 단체는 HATVIBE 및 CHERRYSPY를 포함한 맞춤형 멀웨어를 배포하여 러시아의 지정학적 이익에 부합하는 작전을 수행합니다.
주요 연구 결과
- TAG-110 개요: UAC-0063과 겹치는 위협 단체인 TAG-110은 러시아 APT 단체 BlueDelta(APT28)와 연결되었다는 것이 어느 정도 확실합니다.
- 대상: 중앙아시아 및 인근 지역의 정부, 인권 단체, 교육 기관을 대상으로 합니다.
- 사용된 멀웨어: 맞춤형 HTML 애플리케이션 로더인 HATVIBE와 Python 기반 백도어인 CHERRYSPY가 캠페인의 중심입니다.
- 영향 범위: 2024년 7월 이후 11개국에서 62명의 피해자가 확인되었으며, 특히 카자흐스탄, 키르기스스탄, 우즈베키스탄에서 주목할 만한 사건이 발생했습니다.
HATVIBE
HATVIBE는 CHERRYSPY와 같은 추가 멀웨어를 배포하기 위한 로더로 작동합니다. 악성 이메일 첨부 파일을 통해 전달되거나 웹 취약점을 악용하여 mshta.exe 유틸리티가 실행하는 예약 작업을 통해 지속성을 유지합니다.
HATVIBE의 난독화 기술에는 VBScript 인코딩과 XOR 암호화가 있습니다. 배포 후, HTTP PUT 요청을 통해 명령 및 제어(C2) 서버와 통신하여 중요한 시스템 세부 정보를 제공합니다.
CHERRYSPY
Python 기반 백도어인 CHERRYSPY는 안전한 데이터 유출을 가능하게 하여 HATVIBE를 보완합니다. RSA 및 고급 암호화 표준(AES)을 포함한 강력한 암호화 방법을 사용하여 C2 서버와의 통신을 설정합니다. TAG-110은 CHERRYSPY를 사용하여 피해자의 시스템을 모니터링하고 민감한 정보를 추출하며 주로 정부 및 연구 기관을 표적으로 삼습니다.
캠페인 목표
TAG-110의 활동은 러시아의 지정학적 목표와 일치하며, 특히 중앙아시아에서 긴장된 관계 속에서도 영향력을 유지하려는 모스크바의 목표와 부합합니다. 이러한 캠페인을 통해 수집된 정보는 러시아의 군사적 노력을 강화하고 지역 역학을 이해하는 데 활용될 가능성이 높습니다.
완화 전략
TAG-110 및 유사한 위협에 대응하기 위해 조직은 다음을 수행해야 합니다:
- 침해 지표(IoC)를 모니터링: 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS), 네트워크 방어 도구를 사용하여 TAG-110과 관련된 악성 도메인 및 IP를 탐지합니다.
- 탐지 규칙 배포: Snort, Suricata 및 YARA 규칙을 활용하여 HATVIBE 및 CHERRYSPY 관련 활동을 식별합니다.
- 취약점 패치: CVE-2024-23692와 같은 알려진 취약점의 악용을 방지하기 위해 소프트웨어를 적시에 업데이트합니다.
- 위협 인식 강화: 피싱 시도를 인식하고 다단계 인증을 적용하도록 직원을 교육합니다.
- 인텔리전스 도구 활용: 디지털 위험 보호, 자격 증명 모니터링, 실시간 위협 인텔리전스를 위해 Recorded Future의 솔루션을 사용합니다.
전망
TAG-110은 구소련 중앙아시아 국가와 우크라이나 및 우크라이나의 동맹국을 대상으로 사이버 스파이 활동을 계속할 것으로 예상됩니다. 러시아의 우크라이나 침공 이후 긴장된 관계로 인해 이 지역들은 모스크바에 중요한 의미를 갖습니다. TAG-110과 BlueDelta의 관계는 아직 확인되지 않았지만, 그 활동은 국가 안보, 군사 작전, 지정학적 영향력에 대한 BlueDelta의 전략적 이익과 일치합니다.
전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.
부록 A — 침해 지표
|
C2 도메인: enrollmentdm[.]com errorreporting[.]net experience-improvement[.]com game-wins[.]com internalsecurity[.]us lanmangraphics[.]com retaildemo[.]info shared-rss[.]info telemetry-network[.]com tieringservice[.]com trust-certificate[.]net C2 IP 주소: 5.45.70[.]178 45.136.198[.]18 45.136.198[.]184 45.136.198[.]189 46.183.219[.]228 84.32.188[.]23 185.62.56[.]47 185.158.248[.]198 185.167.63[.]42 194.31.55[.]131 212.224.86[.]69 |
부록 B — Mitre ATT&CK 기법
| 전술: 기법 | ATT&CK 코드 |
| 자원 개발: 인프라 확보: 가상 사설 서버 | T1583.003 |
| 초기 액세스: 퍼블릭 대면 애플리케이션 익스플로잇 | T1190 |
| 초기 액세스: 스피어피싱 첨부 파일 | T1566.001 |
| 실행: Visual Basic | T1059.005 |
| 실행: 악성 파일 | T1204.002 |
| 지속성: 예약된 작업 | T1053.005 |
| 방어 회피: 암호화/인코딩된 파일 | T1027.013 |
| 방어 회피: 시스템 바이너리 프록시 실행: Mshta | T1218.005 |
| 명령 및 제어: 웹 프로토콜 | T1071.001 |
| 명령 및 제어: 대칭 암호화 | T1573.001 |
| 명령 및 제어: 비대칭 암호화 | T1573.002 |
관련