>
연구(Insikt)

러시아-우크라이나의 통신 제공업체 에뮬레이팅 러시아 넥서스 UAC-0113

게시일: 2022년 9월 19일
작성자: Insikt Group®

insikt-group-logo-updated-3-300x48.png

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 내용입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

이 보고서는 위협 활동 그룹 UAC-0113이 사용하는 고유한 인프라를 프로파일링하며, CERT-UA가 보통 수준의 신뢰도를 가지고 샌드웜과 연결합니다. 이 활동은 대규모 자동화된 네트워크 트래픽 분석과 오픈 소스 보고에서 파생된 분석을 결합하여 식별되었습니다. 이 보고서는 사이버 공간에서 러시아 정부의 활동과 관련된 전략 및 작전 정보에 종사하는 개인과 네트워크 방어자에게 가장 흥미로울 것입니다.

Executive Summary

레코디드 퓨처는 우크라이나를 포함한 여러 지역의 정부 및 민간 부문 조직을 대상으로 하는 사이버 스파이 활동을 지속적으로 모니터링하고 있습니다. 레코디드 퓨처는 2022년 8월부터 우크라이나 컴퓨터 긴급 대응팀(CERT-UA)이 추적한 위협 활동 그룹이 사용하는 명령 및 제어(C2) 인프라가 UAC-0113으로 꾸준히 증가하는 것을 관찰했습니다.

UAC-0113은 러시아 지능형 지속 위협(APT) 그룹인 샌드웜과 연관되어 있다고 CERT-UA는 밝혔습니다. 이 보고서는 우크라이나에서 운영되는 통신 제공업체를 가장한 동적 DNS 도메인의 반복적인 사용을 포함하여 Insikt Group이 UAC-0113 인프라를 모니터링하면서 관찰한 동향을 강조하며, 이는 우크라이나의 법인을 표적으로 삼는 그룹의 노력이 여전히 진행 중임을 보여줍니다. 도메인을 가장하면 스피어피싱 캠페인이나 리디렉션을 통해 피해 네트워크에 위협을 가할 수 있습니다.

선제적 공격 인프라 탐지와 도메인 분석 기법을 조합하여 Insikt Group은 새로 발견된 UAC-0113의 인프라 사용이 이전에 CERT-UA가 발견한 다른 인프라 전술, 기법 및 절차(TTP)와 겹친다는 사실을 확인했습니다. 이 보고서에서 제공하는 정보와 TTP를 통해 방어자는 UAC-0113의 활동을 더 잘 검색하고 방어할 수 있습니다.

주요 판단

  • 인식트 그룹은 CERT-UA에서 샌드웜과 중간 신뢰도로 연결된 그룹인 UAC-0113이 사용하는 새로운 인프라를 확인했습니다. 샌드웜은 러시아 연방군 총참모부 중앙정보국/중앙정보국(GRU/GU)에 소속된 러시아의 지능형 지속 위협(APT) 그룹입니다.
  • 확인된 스테이징 인프라는 우크라이나 내에서 운영되는 통신 제공업체로 가장하는 추세를 이어가고 있으며, 콜리브리 로더 및 워존 RAT 멀웨어를 배포하는 HTML 밀수 기법을 통해 악성 페이로드를 전달합니다.
  • 이 활동과 관련하여 발견된 미끼 문서의 의도는 완전히 알려지지 않았지만, 이전의 UAC-0113 미끼 문서와 유사하게 우크라이나에 기반을 둔 표적에 대한 군사 행동을 지원하기 위해 배포되었을 가능성이 높습니다.
  • 다크크리스탈 RAT에서 콜리브리 로더와 워존 RAT로의 전환은 UAC-0113이 공개적으로 사용 가능한 상용 멀웨어를 광범위하게, 그러나 지속적으로 사용하고 있음을 보여줍니다.

배경

2022년 6월 24일, CERT-UA의 보고서에서는 러시아 중앙정보국/중앙정보부(GRU/GU) 관련 위협 그룹인 샌드웜과 연관된 것으로 알려진 UAC-0113이 다크 크리스탈 원격 액세스 트로이목마(RAT)를 사용했다고 자세히 설명했습니다. CERT-UA 보고서에 따르면 UAC-0113은 다크크리스탈 RAT를 배포하는 악성 유인 문서를 사용하고 있었습니다. 이 활동은 우크라이나의 단체, 특히 법률 지원 문제와 관련하여 우크라이나 군 복무자에 대한 정보를 찾는 개인 또는 단체를 표적으로 삼았을 가능성이 높습니다. 이 유인 문서의 주제는 군인의 법적 문제에 초점이 맞춰져 있지만, CERT-UA는 이 공격이 우크라이나의 통신 제공업체를 겨냥한 것일 수도 있다고 지적했습니다.

DarkCrystal RAT는 적어도 2018년에 발견된 상용 멀웨어로, 같은 해 11월에 Hybrid Analysis에 샘플이 게시되었습니다. 처음 발견된 이후 지하 포럼에서 판매되고 있다는 보고에 따르면, 정부나 보안 전문가의 어트리뷰션 노력을 방해할 수 있는 인포스틸러를 찾는 단체를 포함하여 광범위한 위협 행위자 그룹이 관심을 갖는 도구가 될 가능성이 높습니다. UAC-0113에 연결된 인프라를 분석한 결과 HTML 밀수 기법의 일부로 새로 확인된 악성 ISO 파일(SHA256: 1c6643b479614340097a8071c9f880688af5a82db7b6e755beafe7301eea1abf)을 발견했습니다. 이 ISO 파일에는 도네츠크의 한 지역인 올렉산드리브카 라이온(지역)의 시민들에게 연료 할인을 요청하는 것처럼 가장한 우크라이나어로 작성된 미끼 문서가 포함되어 있었습니다. 또한 ISO 파일은 대상 머신에 콜리브리 로더와 워존 RAT를 모두 배포하는 실행 파일을 제공합니다.

2021년 8월 인식트 그룹이 처음 보고한 콜리브리 로더는 사용자 "c0d3r_0f_shr0d13ng3r"이 XSS 포럼에서 임대하는 상용 멀웨어입니다. 종속성 없이 Windows 운영 체제를 대상으로 어셈블리 및 C로 작성되었습니다. 클라우드섹 연구원들은 콜리브리 로더를 "감염된 시스템에 더 많은 유형의 멀웨어를 로드하는 데 사용되는 멀웨어의 일종"으로 "탐지를 피하는 데 도움이 되는 여러 가지 기술"이 있다고 설명했습니다. 2022년 4월 5일, 멀웨어바이츠 연구원들은 콜리브리 로더의 작동에 대해 보고했으며 "감염된 컴퓨터에 페이로드를 전달하고 관리하는 기능"을 포함하여 콜리브리 로더의 기능을 더욱 자세히 설명했습니다.

워존 RAT(일명 아베 마리아 스틸러)는 2018년부터 활발히 개발 중인 인기 상품 원격 액세스 도구(RAT)입니다. 언더그라운드 포럼과 개발자 웹사이트인 warzone[.]ws에서 판매됩니다. 이 멀웨어는 "사용하기 쉽고 안정성이 높다"고 주장하는 C/C++로 개발된 모든 기능을 갖춘 RAT라고 광고합니다.

위협 및 기술적 분석

인식트 그룹은 CERT-UA가 제공한 인텔리전스를 사용하여 UAC-0113과 연결된 추가 인프라를 발견했습니다. 이번에 발견된 정보에 따르면 이 위협 그룹이 우크라이나 내에서 통신 제공업체로 가장하여 활동하고 있을 가능성이 높습니다. 인식트 그룹은 인프라를 모니터링하는 동안 HTML 코드에 포함된 악성 ISO 파일을 발견했으며, 이는 도메인 및 관련 IP 주소가 이미 운영되고 있거나 곧 운영될 가능성이 있음을 시사합니다.

인프라

러시아_넥서스_UAC_0113_에뮬레이팅_UA_텔레콤_fig_1b.png 그림 1: 이전에 보고된 인프라와 이 보고에서 새로 설명한 인프라와 활동 간의 연관성을 보여주는 말테고 차트입니다. 부록 B(출처: 기록된 미래)를 참조하세요.

CERT-UA의 6월 UAC-0113에 대한 보고서에서 언급된 도메인인 datagroup[.]ddns[.]net은 우크라이나 통신 회사 Datagroup을 가장한 것일 가능성이 높습니다. 이 도메인은 IP 주소 31[.]7[.]58[.]82로 확인되었습니다, 또 다른 도메인인 kyiv-star[.]ddns[.]net도 호스팅했습니다, 우크라이나 통신사 키예프스타를 가장한 것으로 추정됩니다.

이러한 도메인과 관련 공유 IP 주소를 분석한 결과 포트 443에서 주체 일반 이름 datagroup[.]ddns[.]net으로 호스팅되는 ZeroSSL TLS 인증서가 발견되었습니다. kyiv-star[.]ddns[.]net에 대한 인증서를 찾을 수 없습니다. IP 주소 31[.]7[.]58[.]82에 대한 서버 배너는 아래 그림 2에 자세히 나와 있습니다.

러시아_넥서스_UAC_0113_에뮬레이팅_UA_텔레콤_그림_2.png 그림 2: IP 주소 31[.]7[.]58[.]82의 서버 배너 (출처: Shodan.io)

ett[.]ddns[.]net

인식트 그룹은 UAC-0113, ett[.]ddns[.]net에 연결된 것으로 보이는 추가 도메인을 확인했습니다, 2022년 7월 7일부터 15일까지 IP 주소 103[.]150[.]187[.]121에서 호스팅됩니다. ett[.]ddns[.]net 도메인은 우크라이나 통신 사업자인 유로트랜스텔레콤 LLC, ett[.]ua의 합법적인 도메인을 스푸핑한 것일 가능성이 높습니다. 이 새로운 인프라는 우크라이나에서 운영되는 통신 제공업체로 가장한 도메인을 가진 동적 DNS 제공업체 NO-IP의 사용, 무료 TLS 인증서 제공업체의 TLS 인증서 사용, IP 주소 31[.]7[.]58[.]82에서 보이는 배너와 유사한 서버 배너 등 CERT-UA 보고서에서 언급한 인프라와 몇 가지 중복되는 점이 있습니다. 위 그림 2에 표시되어 있습니다.

러시아_넥서스_UAC_0113_에뮬레이팅_UA_텔레콤_그림_3.png 그림 3: ett[.]ddns[.]net 인증서 등록 이벤트 (출처: 레코디드 퓨처)

darkett[.]ddns[.]net

ett[.]ddns[.]net 외에도 도메인의 경우, SecurityTrails 배너 데이터는 유사한 이름의 도메인인 darkett[.]ddns[.]net을 식별합니다, 동일한 IP 주소인 103[.]150[.]187[.]121에서 호스팅됩니다, ett[.]ddns[.]net으로. 도메인 darkett.ddns[.]net 또한 앞서 관찰된 도메인 datagroup[.]ddns[.]net과 유사하게 ZeroSSL에서 제공하는 TLS 인증서를 사용합니다.

러시아_넥서스_UAC_0113_에뮬레이팅_UA_텔레콤_그림_4.png 그림 4: 2022년 7월 16일, IP 주소 103[.]150[.]187[.]121 스캔의 서버 배너 및 HTML 포트 4443에서 (출처: SecurityTrails)

도메인 darkett.ddns[.]net에 대한 추가 분석 2022년 7월 15일부터 16일 사이에 이 도메인은 IP 주소 94[.]153[.]171[.]42에서도 호스팅된 것으로 밝혀졌습니다. IP 주소 94[.]153[.]171[.]42에 대한 기록 DNS 도메인 kievstar[.]online에 대한 해결 방법도 나열합니다. 2022년 7월 12일에 출시됩니다.

러시아_넥서스_UAC_0113_에뮬레이팅_UA_텔레콤_그림_5.png 그림 5: darkett[.]ddns[.]net 인증서 등록 이벤트 (출처: 레코디드 퓨처)

키예프스타[.]온라인

2022년 7월 12일, 도메인 kievstar[.]online IP 주소 94[.]153[.]171[.]42에서 Cloudflare에서 호스팅하는 여러 CDN(콘텐츠 전송 네트워크) IP 주소로 이동했습니다. kievstar[.]online 도메인에 대한 추가 분석 2022년 7월 12일에 생성된 Let's Encrypt TLS 인증서에 대해 자세히 설명합니다.

103[.]150[.]187[.]121, ett[.]hopto[.]org 및 star-link[.]ddns[.]net

2022년 8월 1일, 시큐리티트레일은 IP 주소 103[.]150[.]187[.]121에 대한 추가 업데이트를 확인했습니다, 도메인 ett[.]hopto[.]org에 대한 새 TLS 인증서를 나열합니다. 이 TLS 인증서 역시 ZeroSSL에서 제공하며 2022년 7월 13일에 생성되었습니다. 2022년 7월 13일, ett[.]hopto[.]org 도메인 IP 주소 217[.]77[.]221[.]199로 확인되었습니다. 이 IP 주소에 대한 추가 분석 결과, 2022년 8월 15일에 스타링크[.]ddns[.]net이라는 도메인이 확인되었는데, 이는 러시아와의 분쟁에서 우크라이나를 지원하고 있는 것으로 알려진 통신 회사 스타링크(미국 제조업체 스페이스X가 운영)를 사칭한 것으로 보입니다.

러시아_넥서스_UAC_0113_에뮬레이팅_UA_텔레콤_그림_6.png 그림 6: 2022년 8월 1일, IP 주소 103[.]150[.]187[.]121 스캔의 JSON 발췌문 포트 443에서 (출처: SecurityTrails)

러시아_넥서스_UAC_0113_에뮬레이팅_UA_텔레콤_fig_7.png 그림 7: star-link[.]ddns[.]net의 인텔리전스 카드(출처: 레코디드 퓨처)

star-cz[.]ddns[.]net

star-cz.ddns[.]net 도메인 분석, 2022년 6월 10일에 CERT-UA가 보고한 IP 주소 103[.]27[.]202[.]127에 대한 해결 방법을 보여줍니다. 추가 도메인인 kyivstar[.]online, 도 동일한 IP 주소로 확인되었으며, 이 도메인은 우크라이나의 통신 제공업체를 에뮬레이션하는 테마로 계속 사용되고 있는 것으로 확인되었습니다. 앞서 언급한 유사 도메인 kievstar[.]online의 사용 는 우크라이나에서 일반적으로 사용되는 철자는 아니지만 국제 사회와 역사적으로 소비에트 시대에 사용되어 왔으며 현재 러시아 국내 구어체로 이어져 왔다는 점에서 주목할 만한 철자법입니다.

도메인에서 IP 주소로의 해결 타임라인

러시아_넥서스_UAC_0113_에뮬레이팅_UA_텔레콤_fig_8.jpg 그림 8: 2022년 5월부터 8월까지 UAC-0113 도메인 활동의 타임라인(출처: Recorded Future)

HTML 분석

ett[.]ddns[.]net 도메인, star-link[.]ddns[.]net, kievstar[.]online, 및 IP 주소 103[.]150[.]187[.]121 및 217[.]77[.]221[.]199 모두 다양한 시기에 동일한 웹 페이지를 호스팅했습니다. 이 웹 페이지에는 "ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ"라는 우크라이나 언어 텍스트가 "오데사 지역 군청"으로 번역되어 있습니다, 아래 그림 9와 같이 영어로 "파일이 자동으로 다운로드됩니다"라고 표시됩니다.

러시아_넥서스_UAC_0113_에뮬레이팅_UA_텔레콤_그림_9.png 그림 9: 103[.]150[.]187[.]121의 스크린샷 (출처: URLScan)

웹페이지의 HTML에는 HTML 스머핑 기법을 통해 배포되는 Base64로 인코딩된 ISO 파일이 포함되어 있습니다. 이 ISO 파일은 웹사이트 방문 시 자동 다운로드되도록 설정되어 있습니다. 아래 그림 10은 파일의 HTML 콘텐츠를 보여줍니다.

러시아_넥서스_UAC_0113_에뮬레이팅_UA_텔레콤_그림_10.png 그림 10: IP 주소 103[.]150[.]187[.]121에 대한 HTML 콘텐츠 (Base64로 인코딩된 데이터 제거), 2022년 8월 8일(출처: URLScan)

Insikt Group은 웹 페이지의 HTML을 검사하고 페이지의 악성 ISO 전송 동작을 지원하는 임베디드 JavaScript를 식별했습니다. 26~28줄에서 for 루프의 기능을 테스트해도 변수 'binary'에 저장된 Base64 인코딩 데이터는 변경되지 않습니다. for 루프는 Base64 문자열을 구성하는 문자에서 정수 값 11을 제거하려고 시도합니다. JavaScript는 문자에서 정수를 빼려고 할 때 오류가 발생하여 해당 값이 업데이트되지 않습니다. 변수 '바이너리'의 Base64 콘텐츠는 for 루프를 거친 후에도 정확히 동일하므로 중복되며, Base64 데이터는 여전히 ISO 파일로 올바르게 디코딩됩니다.

문자열은 자바스크립트에서 불변 객체이기 때문에 이 루틴의 기능은 아무런 용도가 없기 때문에 UAC-0113이 이 루틴을 포함시킨 목적은 연산자 오류 때문일 수 있습니다.

주목할 만한 점은 팔로알토의 Unit42가 작성한 보고서에서 APT29가 ISO 파일을 다운로드하기 위해 별도의 캠페인에서 사용한 유사한 HTML 스머핑 루틴을 자세히 설명하고 있다는 점입니다(아래 그림 11 참조). APT29는 원래 이 루틴을 바이너리 배열에 사용했는데, 이는 루프가 원래 목적에 맞게 UAC-0113의 중복성을 밝히는 데 도움이 됩니다. APT29의 HTML 및 JavaScript 코드는 위 그림 10에 표시된 UAC-0113 링크 샘플과 유사하게 겹칩니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

관련