러시아와 연계된 TAG-70, 새로운 스파이 캠페인에서 유럽 정부 및 군용 메일 서버를 표적으로 삼다
Recorded Future의 Insikt Group은 벨라루스와 러시아를 대신하여 활동하며 최소 2020년 12월부터 유럽과 중앙아시아의 정부, 군 및 국가 인프라 기관을 대상으로 사이버 스파이 활동을 수행하고 있는 위협 행위자인 TAG-70을 식별했습니다. TAG-70은 Winter Vivern, TA473 및 UAC-0114라는 별칭으로 다른 보안 공급업체가 보고한 활동과 겹칩니다.
TAG-70은 2023년 10월부터 12월까지 진행된 최신 캠페인에서 주로 조지아, 폴란드, 우크라이나에 있는 80개 이상의 조직을 대상으로 Roundcube 웹메일 서버의 크로스 사이트 스크립팅(XSS) 취약점을 악용했습니다. 이 캠페인은 우즈베키스탄 정부 메일 서버에 대해 실행된 추가적인 TAG-70 활동과 연관되어 있으며, 여기에는 2023년 2월 Insikt Group이 보고한 인프라가 관련이 있습니다.
TAG-70’s targeting of Roundcube webmail servers is only the most recent instance of targeting email software attributed to Russia-aligned threat actor groups. In June 2023, Insikt Group discovered that the Russian state-sponsored cyber-espionage group BlueDelta (APT28, Fancy Bear) was targeting vulnerable Roundcube installations across Ukraine and had previously exploited CVE-2023-23397, a critical zero-day vulnerability in Microsoft Outlook in 2022. Other well-known Russian threat actor groups, such as Sandworm and BlueBravo (APT29, Midnight Blizzard), have also previously targeted email solutions in various campaigns.
2023년 10월 TAG-70년대 라운드큐브 익스플로잇 피해자의 지리적 확산 (출처: Recorded Future)
In this campaign, beginning on March 16, 2023, Insikt Group used Recorded Future Network Intelligence to detect suspicious activity from a victim IP address belonging to the Center for Economic Research and Reforms of Uzbekistan. The victim IP address was observed communicating with the domain bugiplaysec[.]com over TCP port 443, which at the time resolved to IP address 176.97.66[.]57. This data was then likely relayed to command and control (C2) IP address 198.50.170[.]72 on TCP port 7662. It is suspected that TAG-70 administered 198.50.170[.]72 via Tor. CERT-UA attributed the domain bugiplaysec[.]com to TAG-70 in February 2023.
Insikt Group observed similar activity between an IP address registered to the Embassy of the Republic of Uzbekistan in Ukraine and a previously reported C2 domain, ocsp-reloads[.]com, which resolved to IP address 38.180.2[.]23. This additional C2 likely forwarded the data it received to IP address 86.105.18[.]113 on TCP port 1194 and TAG-70 likely connected to the C2 via Tor, also below.
2023년 3월 TAG-70 운영 인프라(출처: Recorded Future)
On July 27, 2023, a new TAG-70 domain, hitsbitsx[.]com, resolved to IP address 176.97.66[.]57. Insikt Group also detected this domain in a JavaScript-based malware sample uploaded to a malware repository (SHA256: ea22b3e9ecdfd06fae74483deb9ef0245aefdc72f99120ae6525c0eaf37de32e). The discovered JavaScript malware matches the second-stage loader used in TAG-70’s previous Roundcube exploitation described by ESET. This JavaScript is loaded via XSS from a malicious email and is used to decode a Base64-encoded JavaScript payload (jsBodyBase64). The payload is then inserted into the Document Object Model (DOM) of the Roundcube webpage within a newly created script tag.
그림 3에 표시된 JavaScript 페이로드인 jsBodyBase64의 내용을 보면 행위자들이 조지아 국방부 도메인 mail[.]mod[.]gov[.]ge를 표적으로 삼았음을 알 수 있습니다. 이 페이로드의 구조는 ESET의 보고서에 설명된 것과 같지만 기능은 다릅니다. 즉, 피해자의 메일함에서 내용을 유출하는 것이 아니라 사용자를 Roundcube에서 로그아웃시키고 새 로그인 창을 표시합니다. 피해자가 자격 증명을 제출하면 계정 이름, 사용자 이름 및 암호가 C2 서버로 전송되고 Roundcube에 로그인됩니다.
Insikt Group also identified a related JavaScript sample from November 2022 (SHA256: 6800357ec3092c56aab17720897c29bb389f70cb49223b289ea5365314199a26). This older sample was hosted on the domain bugiplaysec[.]com, used the same JavaScript loader technique, and had a similar credential exfiltration payload. The content within the payload suggests that it was used to target the Ukrainian Ministry of Defence.
특히 우크라이나에서 분쟁이 계속되고 있는 상황에서 이메일 서버가 손상된 것은 심각한 위험을 초래할 수 있습니다. 우크라이나의 전쟁 노력, 외교 관계, 연합 파트너에 대한 민감한 정보가 노출될 수 있습니다. 또한 러시아와 네덜란드 주재 이란 대사관이 표적이 된 것은 이란의 외교 활동, 특히 우크라이나에서 러시아를 지원하는 것과 관련하여 이란의 외교 활동을 평가하는 데 더 광범위한 지정학적 이해관계가 있음을 시사합니다. 마찬가지로 그루지야 정부 기관에 대한 스파이 활동은 유럽연합(EU)과 나토 가입에 대한 그루지야의 열망을 감시하려는 이해관계를 반영합니다.
완화 전략
조직은 TAG-70 캠페인으로 인한 위험을 방어하기 위해 Roundcube 설치가 패치되고 최신 상태로 유지되도록 하는 동시에, 조직의 환경에서 침해 지표(IoC)를 적극적으로 추적해야 합니다. TAG-70의 공격 방법의 정교함과 정부 및 군사 기관을 표적으로 삼는다는 점으로 인해 강력한 사이버 보안 조치와 선제적 위협 인텔리전스 노력의 필요성이 강조됩니다. TAG-70의 광범위한 활동 특성과 국가 안보에 미치는 잠재적 영향은 영향을 받는 조직과 정부 기관의 경계와 대비가 시급함을 나타냅니다.
참고: 이 보고서 요약은 2024년 2월 16일에 처음 발행되었으며 2024년 10월 29일에 업데이트되었습니다. 초기 분석 및 결과는 변경되지 않았습니다.
전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.
부록 A — 침해 지표
| 도메인: bugiplaysec[.]com hitsbitsx[.]com ocsp-reloads[.]com recsecas[.]com IP Addresses: 38.180.2[.]23 38.180.3[.]57 38.180.76[.]31 86.105.18[.]113 176.97.66[.]57 176.97.76[.]118 176.97.76[.]129 198.50.170[.]72 Malware Samples (SHA256): 6800357ec3092c56aab17720897c29bb389f70cb49223b289ea5365314199a26 ea22b3e9ecdfd06fae74483deb9ef0245aefdc72f99120ae6525c0eaf37de32e |
부록 B — Mitre ATT&CK 기법
| 전술: 기법 | ATT&CK 코드 |
| Initial Access: 피싱(Phishing) | T1583.001 |
| Execution: Exploitation for Client Execution | T1583.003 |
| Persistence: Valid Accounts | T1583.004 |
| Credential Access: Exploitation for Credential Access | T1566.002 |
| Credential Access: Input Capture | T1203 |
| Discovery: File and Directory Discovery | T1203 |
| Collection: Email Collection | T1203 |
| Command and Control: Non-Standard Port | T1203 |
관련 뉴스 & 연구