파키스탄 및 티베트 정부 웹사이트 방문자를 대상으로 한 스캔박스 워터링홀
전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.
이 보고서는 2019년 3월 초 파키스탄 정부 부처와 티베트 중앙정부를 대상으로 한 최근 스캔박스 캠페인에 대해 설명합니다. 인식트 그룹 연구원들은 Recorded FutureⓇ 플랫폼, 쇼단, 파사이트 보안 DNS, 타사 네트워크 메타데이터, 일반적인 OSINT 기법에서 얻은 데이터를 활용했습니다.
이 보고서는 네트워크에 대한 접근 권한을 얻기 위한 보다 적극적인 노력에 앞서 전략적 웹 침해를 활용하여 네트워크 정찰을 수행하는 사이버 스파이 행위자들의 위협을 이해하고자 하는 네트워크 방어자들이 가장 관심을 가질 만한 보고서입니다.
Executive Summary
2019년 3월 초, 레코디드 퓨처의 인식트 그룹은 파키스탄 출입국관리청(DGIP) 웹사이트 방문자를 대상으로 전략적 웹 감염을 이용한 두 개의 스캔박스 캠페인과 공식 티베트 중앙정부(CTA) 웹사이트 스푸핑을 확인했습니다. 두 경우 모두 공격자는 후속 침입을 수행하기 위해 웹사이트 방문자의 디바이스를 프로파일링하려는 의도를 가지고 있었을 가능성이 높습니다.
인식트 그룹은 이러한 활동을 통해 표적이 된 커뮤니티를 보호하고, 의심하지 않는 웹사이트 방문자에게 키 로깅 및 추가 멀웨어 배포를 가능하게 하는 기능을 사용하는 중국 국가 지원 위협 행위자들이 널리 사용하는 스캔박스와 같은 인메모리 정찰 프레임워크의 위험에 대한 인식을 제고할 수 있다고 강조합니다.
주요 판단
티베트 스캔박스 배포를 분석한 결과, 여러 관련 도메인과 IP를 통해 티베트인의 관심사에 대한 광범위한 표적 공격이 이루어지고 있음을 알 수 있었습니다.
스캔박스는 이전에 중국의 위구르족과 티베트인 등 박해받는 소수 집단을 표적으로 삼는 데 사용되었습니다.
배경
2014년 초에 처음 주목받은 스캔박스는 앤섬 침해 및 포브스 워터링홀 공격 등 여러 유명 침해 사건에 사용되었으며, 리바이어던(APT40, Temp.Periscope), 럭키마우스 (TG-3390, Emissary Panda, Bronze Union), APT10 (메뉴패스, Stone Panda), APT3 (Pirpi, 고딕 팬더) 등 중국 기반 위협 공격자들이 널리 채택하고 있습니다.
Scanbox는 공격자가 침해된 웹사이트 방문자를 추적하고 키 로깅을 수행하며 후속 침해에 사용할 수 있는 데이터를 수집할 수 있는 정찰 프레임워크입니다. 또한 표적 호스트에 2차 멀웨어를 전달하기 위해 수정된 것으로 보고되었습니다. 자바스크립트 및 PHP로 작성된 Scanbox 배포는 호스트 디바이스에 멀웨어를 다운로드할 필요가 없습니다.
2014년 이후 Scanbox 사용 요약. (출처: 레코딩된 미래)
위협 분석
파키스탄 DGIP 스캔박스 인스턴스
2019년 3월 4일, 인식트 그룹은 파키스탄 DGIP 웹사이트의 온라인 여권 신청 추적 시스템(tracking.dgip.gov[.]pk)을 확인했습니다. 페이지에 스캔박스 코드를 배포한 공격자에 의해 손상되었습니다. 워터링홀이라고도 하는 전략적 웹 침해(SWC)의 결과로 웹사이트 방문자는 네덜란드 IP 185.236.76[.]35에서 호스팅되는 공격자가 제어하는 Scanbox 서버로 리디렉션되었습니다, 공격자는 Scanbox의 다양한 기능을 배포할 수 있습니다.
이 Scanbox 배포에 대한 자세한 내용은 Trustwave에서 최근 게시한 블로그에서 확인할 수 있습니다.
파키스탄 DGIP의 추적 시스템용 스캔박스에 감염된 웹 포털.
중앙 티베트 관리 스캔박스 인스턴스
인식트 그룹 연구원들은 tibct[.]net에 대한 오타 스쿼팅 규칙이 트리거되는 Recorded Future 플랫폼 내 새로운 도메인 등록에 대한 경고를 받았습니다. 이 도메인은 2019년 3월 6일에 처음 등록되었습니다.
기록된 미래 포털에 새로운 도메인 등록 이벤트가 표시되고 타이포스쿼트 위험 규칙이 트리거됩니다.
분석 결과, 이 사이트는 아래와 같이 CTA의 합법적인 웹사이트와 콘텐츠 유사성을 보였습니다:
스푸핑 CTA 웹사이트 tibct[.]net의 나란한 비교 (왼쪽)과 합법적인 CTA 웹사이트 tibet[.]net (오른쪽).
그 후 2019년 3월 7일, 저희는 tibct[.] 웹 페이지가 공격자에 의해 악성 자바스크립트를 포함하도록 수정되어 방문자를 oppo[.]ml에서 호스팅되는 Scanbox 서버로 리디렉션했습니다. (Cloudflare IP 104.18.36[.]192에서 로드 밸런싱됨, 104.18.37[.]192, 2606:4700:30::6812[:]24c0).
스푸핑 도메인 tibct[.]net에 포함된 악성 자바스크립트.
공식 CTA 웹사이트인 tibet[.]net을 방문할 의향이 있는 방문자, tibct[.]net으로 이동하도록 속이고 있었습니다, 스피어피쉬 이메일에 포함된 링크를 통해 Scanbox C2 도메인 oppo[.]ml로 리디렉션될 수 있습니다.
WHOIS 데이터에서 스푸핑된 도메인인 tibct[.]net을 살펴보면 공격자가 동일한 이메일 주소를 사용하여 tibct[.]org(2019년 3월 5일 등록) 및 monlamlt[...]com 도메인을 등록한 것으로 나타났습니다. (2019년 3월 11일 등록)는 티베트와 관련된 리소스를 호스팅하거나 공식 CTA 도메인의 오타스쿼트인 것으로 보입니다. 파사이트 시큐리티의 DNSDB에서 이러한 도메인을 분석하면 더 밀접하게 연관된 인프라를 확인할 수 있습니다.
| 도메인 | IP 해상도 | 설명 |
|---|---|---|
| tibct[.]net | 139.59.90[.]169 (2019년 3월 7일 - 8일), 103.255.179[.]142 (2019년 3월 9일) | 중국 광둥성에 위치한 주소를 사용하여 등록된 도메인; 타이포스쿼트 오브 티벳[.]넷 |
| tibct[.]org | - | CTA 사이트 tibet[.]net의 타이포스쿼트 |
| monlamlt[.]com | 23.225.161[.]105 | monlamit[.]com의 타이포스쿼트, 티베트어 IT 리소스 및 지원 사이트 |
| mailshield[.]ga | 23.225.161[.]105 | AV 제품의 스푸핑 가능성 |
| photogram[.]ga | 23.225.161[.]105 | 이미지 공유 스푸핑 가능성(예: 인스타그램) |
| mail.mailshield[.]ga | 23.225.161[.]105 | AV 제품의 스푸핑 가능성 |
전망
인식트 그룹이 며칠 내에 탐지한 이 스캔박스 침입은 이 툴이 여전히 공격자들에게 인기가 있으며 중국 국가의 지정학적 이해관계에 광범위하게 부합하는 조직을 대상으로 사용되고 있음을 보여줍니다. 표적이 된 두 조직의 신원과 다양한 중국 APT에서 Scanbox를 사용한 기록이 잘 문서화되어 있는 점을 고려할 때, 이러한 Scanbox 배포는 중국 국가 지원 위협 행위자에 의해 수행되었을 가능성이 높다고 평가합니다.
네트워크 방어 권장 사항
레코디드 퓨처는 조직이 스캔박스 타깃팅을 방어할 때 이 연구에 설명된 대로 다음과 같은 조치를 취할 것을 권장합니다:
침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 또는 네트워크 방어 메커니즘을 구성하여 부록 A에 나열된 외부 IP 주소 및 도메인의 불법 연결 시도를 경고하도록 하고 검토 후 차단하는 것을 고려하세요.
부록 B에 첨부된 위협 헌팅 패키지의 제공된 Snort 규칙을 IDS 및 IPS 어플라이언스에 구현하고 이 보고서에 설명된 TTP와 유사한 활동에 대해 생성되는 경고를 조사하세요.
부록 B의 위협 헌팅 패키지에 나열된 Scanbox 규칙에 대해 기업 전체에서 정기적으로 YARA 스캔을 수행하세요.
레코디드 퓨처 고객들은 현재 인식트 그룹 연구진이 레코디드 퓨처 플랫폼 내에서 배포한 YARA 규칙과 일치하는 새로운 샘플에 대해 알림을 받을 수 있습니다.
관련 보안 침해 지표의 전체 목록을 보려면 부록을 다운로드하세요.
관련