러시아와 연계된 TAG-70, 새로운 스파이 캠페인에서 유럽 정부 및 군용 메일 서버를 표적으로 삼다
Recorded Future의 Insikt Group은 벨라루스와 러시아를 대신하여 활동하며 최소 2020년 12월부터 유럽과 중앙아시아의 정부, 군 및 국가 인프라 기관을 대상으로 사이버 스파이 활동을 수행하고 있는 위협 행위자인 TAG-70을 식별했습니다. TAG-70은 Winter Vivern, TA473 및 UAC-0114라는 별칭으로 다른 보안 공급업체가 보고한 활동과 겹칩니다.
TAG-70은 2023년 10월부터 12월까지 진행된 최신 캠페인에서 주로 조지아, 폴란드, 우크라이나에 있는 80개 이상의 조직을 대상으로 Roundcube 웹메일 서버의 크로스 사이트 스크립팅(XSS) 취약점을 악용했습니다. 이 캠페인은 우즈베키스탄 정부 메일 서버에 대해 실행된 추가적인 TAG-70 활동과 연관되어 있으며, 여기에는 2023년 2월 Insikt Group이 보고한 인프라가 관련이 있습니다.
Roundcube 웹메일 서버에 대한 TAG-70의 표적 공격은 러시아와 연계된 위협 행위자 단체가 이메일 소프트웨어를 표적으로 삼은 가장 최근 사례일 뿐입니다. 2023년 6월, Insikt Group은 러시아 정부가 후원하는 사이버 스파이 단체인 BlueDelta(APT28, Fancy Bear) 가 우크라이나 전역에서 취약한 Roundcube 설치를 표적으로 활동했으며, 그 이전인 2022년에 Microsoft Outlook의 치명적인 제로데이 취약점인 CVE-2023-23397을 악용했음을 발견했습니다. Sandworm 및 BlueBravo(APT29, Midnight Blizzard)와 같은 러시아의 다른 유명한 위협 행위자 단체도 이전에 다양한 캠페인에서 이메일 솔루션을 표적으로 삼았습니다.
2023년 10월 TAG-70년대 라운드큐브 익스플로잇 피해자의 지리적 확산 (출처: Recorded Future)
2023년 3월 16일 시작한 이 캠페인에서 Insikt Group은 Recorded Future Network Intelligence를 사용해 우즈베키스탄 경제연구개혁센터에 속한 피해자 IP 주소에서 의심스러운 활동을 탐지했습니다. 피해자 IP 주소는 TCP 포트 443을 통해 bugiplaysec[.]com 도메인과 통신하는 것이 관찰되었으며 이 도메인은 당시 IP 주소 176.97.66[.]57로 해석되었습니다. 이 데이터는 TCP 포트 7662를 통해 명령 및 제어(C2) IP 주소 198.50.170[.]72에 전달되었을 것입니다. TAG-70은 Tor를 통해 198.50.170[.]72를 관리한 것으로 의심됩니다. CERT-UA는 2023년 2월에 도메인 bugiplaysec[.]com이 TAG-70과 연관이 있다고 밝혔습니다.
Insikt Group은 우크라이나 주재 우즈베키스탄 공화국 대사관에 등록된 IP 주소와 이전에 보고된 C2 도메인인 ocsp-reloads[.]com 사이에서 유사한 활동을 관찰했으며, 이 도메인은 IP 주소 38.180.2[.]23으로 해석되었습니다. 이 추가 C2는 수신한 데이터를 TCP 포트 1194를 통해 IP 주소 86.105.18[.]113에 전달하고 TAG-70은 아래와 같이 Tor를 통해 C2에 연결되었을 수 있습니다.
2023년 3월 TAG-70 운영 인프라(출처: Recorded Future)
2023년 7월 27일, 새로운 TAG-70 도메인 hitsbitsx[.]com이 IP 주소 176.97.66[.]57로 해석되었습니다. Insikt Group은 멀웨어 리포지토리에 업로드된 JavaScript 기반 멀웨어 샘플에서도 이 도메인을 탐지했습니다(SHA256: ea22b3e9ecdfd06fae74483deb9ef9efdc72f99120ae6525c0eaf37de32e). 발견된 JavaScript 멀웨어는 ESET이 설명한 TAG-70의 이전 Roundcube 악용에 사용된 2단계 로더와 일치합니다. 이 JavaScript는 악성 이메일에서 XSS를 통해 로드되고 Base64로 인코딩된 JavaScript 페이로드(JSBodyBase64)를 디코딩하는 데 사용됩니다. 그런 다음 페이로드는 새로 생성된 스크립트 태그 내에서 Roundcube 웹페이지의 DOM(문서 개체 모델)에 삽입됩니다.
그림 3에 표시된 JavaScript 페이로드인 jsBodyBase64의 내용을 보면 행위자들이 조지아 국방부 도메인 mail[.]mod[.]gov[.]ge를 표적으로 삼았음을 알 수 있습니다. 이 페이로드의 구조는 ESET의 보고서에 설명된 것과 같지만 기능은 다릅니다. 즉, 피해자의 메일함에서 내용을 유출하는 것이 아니라 사용자를 Roundcube에서 로그아웃시키고 새 로그인 창을 표시합니다. 피해자가 자격 증명을 제출하면 계정 이름, 사용자 이름 및 암호가 C2 서버로 전송되고 Roundcube에 로그인됩니다.
Insikt Group은 또한 2022년 11월의 관련 JavaScript 샘플을 식별했습니다(SHA256: 6800357ec3092c56aab17720897c29bb389f70cb49223b289ea5365314199a26). 이 이전 샘플은 bugiplaysec[.]com 도메인에서 호스팅되고 동일한 JavaScript 로더 기술을 사용했으며 유사한 자격 증명 유출 페이로드가 있었습니다. 페이로드에 포함된 내용을 보면 우크라이나 국방부를 공격하는 데 사용된 것으로 보입니다.
특히 우크라이나에서 분쟁이 계속되고 있는 상황에서 이메일 서버가 손상된 것은 심각한 위험을 초래할 수 있습니다. 우크라이나의 전쟁 노력, 외교 관계, 연합 파트너에 대한 민감한 정보가 노출될 수 있습니다. 또한 러시아와 네덜란드 주재 이란 대사관이 표적이 된 것은 이란의 외교 활동, 특히 우크라이나에서 러시아를 지원하는 것과 관련하여 이란의 외교 활동을 평가하는 데 더 광범위한 지정학적 이해관계가 있음을 시사합니다. 마찬가지로 그루지야 정부 기관에 대한 스파이 활동은 유럽연합(EU)과 나토 가입에 대한 그루지야의 열망을 감시하려는 이해관계를 반영합니다.
완화 전략
조직은 TAG-70 캠페인으로 인한 위험을 방어하기 위해 Roundcube 설치가 패치되고 최신 상태로 유지되도록 하는 동시에, 조직의 환경에서 침해 지표(IoC)를 적극적으로 추적해야 합니다. TAG-70의 공격 방법의 정교함과 정부 및 군사 기관을 표적으로 삼는다는 점으로 인해 강력한 사이버 보안 조치와 선제적 위협 인텔리전스 노력의 필요성이 강조됩니다. TAG-70의 광범위한 활동 특성과 국가 안보에 미치는 잠재적 영향은 영향을 받는 조직과 정부 기관의 경계와 대비가 시급함을 나타냅니다.
참고: 이 보고서 요약은 2024년 2월 16일에 처음 발행되었으며 2024년 10월 29일에 업데이트되었습니다. 초기 분석 및 결과는 변경되지 않았습니다.
전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.
부록 A — 침해 지표
| 도메인: 버그플레이섹[.]닷컴 hitsbitsx[.]com ocsp-reloads[.]com recsecas[.]com IP 주소 38.180.2[.]23 38.180.3[.]57 38.180.76[.]31 86.105.18[.]113 176.97.66[.]57 176.97.76[.]118 176.97.76[.]129 198.50.170[.]72 멀웨어 샘플(SHA256): 6800357ec3092c56aab17720897c29bb389f70cb49223b289ea5365314199a26 ea22b3e9ecdfd06fae74483deb9ef0245aefdc72f99120ae6525c0eaf37de32e |
부록 B — Mitre ATT&CK 기법
| 전술: 기법 | ATT&CK 코드 |
| 초기 액세스: 피싱 | T1583.001 |
| 실행: 클라이언트 실행을 위한 익스플로잇 | T1583.003 |
| 지속성: 유효한 계정 | T1583.004 |
| 자격증명 액세스: 자격 증명 액세스를 위한 익스플로잇 | T1566.002 |
| 자격 증명 액세스: 입력 캡처 | T1203 |
| 검색: 검색: 파일 및 디렉터리 검색 | T1203 |
| 수집: 이메일 수집 | T1203 |
| 명령 및 제어: 비표준 포트 | T1203 |
관련