연구(Insikt)

이란-넥서스 TAG-56으로 의심되는 조직, 미국 싱크탱크에 대한 자격 증명 도용을 위해 UAE 포럼 미끼 사용

게시일: 2022년 11월 29일
작성자: Insikt Group®

insikt-group-logo-updated-3-300x48.png

편집자 주: 보고서를 PDF로 다운로드하려면 여기를 클릭하세요.

이 보고서는 이란과 연계된 것으로 의심되는 위협 활동 그룹인 TAG-56이 주도하는 광범위한 캠페인과 관련이 있을 가능성이 높은 위협 활동을 다룹니다. 인식트 그룹은 위협 헌팅 기법을 통해 이 위협 활동을 발견했습니다. 이 연구는 이란의 사이버 작전을 다루는 개인 및 조직, IT 보안 직원, 싱크탱크, 비정부기구, 언론인, 정부에 관련되어 있습니다.

Executive Summary

인식트 그룹은 2022년 11월 초, 미국에 본사를 둔 워싱턴 연구소 싱크탱크를 겨냥한 이란 연계 위협 활동 그룹이 주도했을 가능성이 높은 피싱 및 후속 인증정보 도용 공격을 확인했습니다. 이 자격 증명 도용 구성 요소는 아랍에미리트(UAE) 정부가 주최하는 2022년 경 바니 야스 포럼의 Microsoft 등록 양식으로 가장했습니다. 이 위협 활동은 URL 단축기를 사용하여 피해자를 자격 증명이 도용된 악성 페이지로 안내하는 광범위한 캠페인의 징후일 가능성이 높습니다. 이 수법은 이란과 연계된 APT42 및 Phosphorus와 같은 지능형 지속 위협(APT) 그룹에서 흔히 사용되는 수법입니다.

인식트 그룹은 인증정보 도용 페이지를 호스팅하는 데 사용될 가능성이 높은 5개의 도메인을 확인했습니다. 이 연구와 관련된 인증정보 도용 사례는 2022년 한 해 동안 URL스캔에 제출되었습니다. 가장 최근 제출된 것은 2022년 11월 3일에 아랍에미리트에서 제출한 것입니다. 이 글을 쓰는 시점에서 이 위협 활동은 현재 진행 중인 캠페인과 관련이 있을 가능성이 높습니다. Insikt 그룹은 임시 그룹 지정자 TAG-56으로 이 활동을 추적합니다.

위협 분석

초기 발견

On November 3, 2022, Insikt Group identified a suspicious urlscan submission from a user in the UAE that returned a fake Microsoft registration form for the 2022 Sir Bani Yas Forum as noted in Figure 1. The intended target of the attack is a senior fellow of the Washington Institute, a US-based think tank focused on US foreign policy in the Near East. The submission data revealed that the victim likely received a spearphishing message that, when clicked, would redirect them to a URL with the apex domain name — mailer-daemon[.]net — where the spoofed registration page is hosted.

suspected_iran_nexus_tag_56_uses_uae_forum_lure_for_credential_theft_against_us_think_tank_figure_1.png

그림 1: 바니 야스 경 포럼에 연결되어 있다고 주장하는 등록 양식(출처: urlscan)

The domain “mailer-daemon[.]net” was registered on October 11, 2022, via Namecheap and uses WHOIS privacy protection. The domain has resolved to 162.0.232[.]252 since October 11, 2022. The reverse DNS for 162.0.232[.]252 is “web-hosting[.]com”, which is associated with Namecheap's shared hosting services.

Insikt Group identified 4 further domains, listed in Table 1 below, which use an identical domain naming convention as mailer-daemon[.]net. All but 1 domain, “mailer-daemon[.]org”, use Namecheap's shared hosting services. The domain “mailer-daemon[.]org” was registered using GoDaddy. Open-source reporting reveals similar domains, specifically “mailerdaemon[.]me” and “mailer-daemon-message[.]co”, were used by members of the Phosphorus APT group to lead attacks throughout 2020 and 2021.

도메인 IP 주소 처음 발견 등록 기관 WHOIS 등록
메일러-데몬[.]온라인 198.54.115[.]217 2022년 11월 23일 Namecheap 개인 정보 보호
mailer-daemon[.]org 92.205.13[.]202 2022년 11월 13일 GoDaddy 개인 정보 보호
mailer-daemon[.]net 162.0.232[.]252 2022년 10월 11일 Namecheap 개인 정보 보호
mailer-daemon[.]me 199.188.200[.]217 2022년 5월 31일 Namecheap 개인 정보 보호
메일러-데몬[.]라이브 199.188.200[.]217 2021년 11월 9일 Namecheap 개인 정보 보호

표 1: TAG-56 위협 활동과 연관된 도메인 이름(출처: Recorded Future)

가짜 URL 단축기

A fake URL shortener, “tinyurl[.]ink”, which spoofs the legitimate service TinyURL (tinyurl[.]com), was identified as part of our research. The fake URL shortener was used to deliver a lure document — “Iran nuke.docx” — titled "ANOTHER FLAWED IRAN DEAL AND THE NEXT PHASE OF US POLICY", which, as the title implies, concerns Iran's nuclear program. The document, shown in Figure 2, is benign and was likely used by the attackers to lower the precautionary behavior of the intended target. In a June 2022 report regarding an Iranian APT campaign that targeted US and Israeli government officials, Check Point Research noted that benign documents were sent to targets to initiate conversations.

suspected_iran_nexus_tag_56_uses_uae_forum_lure_for_credential_theft_against_us_think_tank_figure_2.png

Figure 2: Decoy document sent to intended targets (Source: Tria.ge)

As part of the delivery of “Iran nuke.docx”, TAG-56 operatives used the fake URL shortener in conjunction with the legitimate shortening service tinyurl[.]com as depicted in Figure 3. The attack chain started with the operatives delivering a message using the legitimate URL shortener (tinyurl[.]com) against a suspected target; if the target clicked on the link, they were redirected to the spoofed equivalent (tinyurl[.]ink). Another submission to urlscan from Israel revealed that TAG-56 used tinyurl[.]com to engage with a suspected target using the “mailer-daemon[.]live” domain. At the time of analysis, “mailer-daemon[.]live” resolved to another IP address owned by Namecheap: 198.54.116[.]118.

suspected_iran_nexus_tag_56_uses_uae_forum_lure_for_credential_theft_against_us_think_tank_figure_3.png

그림 3: 이란 핵 문서에 대한 리디렉션이 관찰됨(출처: Recorded Future)

TAG-56이 이 연구와 관련된 링크를 어떻게 유포했는지는 알 수 없지만, 스피어피싱 또는 암호화된 채팅 플랫폼이 전달에 사용되었을 가능성이 높습니다. APT42와 관련된 일부 이란 연계 공격자들은 피해자의 왓츠앱 또는 텔레그램 계정으로 직접 링크를 보내고 채팅에 참여하여 소셜 엔지니어링을 통해 피해자를 조작하는 것으로 알려져 있습니다.

파일 이름 SHA256 해시 URL 마지막 수정
이란 핵.docx 69eb4fca412201039105d86
2d5f2bf12085d41cb18a933
98afef0be8dfb9c229		 hxxps[:]//tinyurl[.]ink/8tio97cy/Iran%20nuke.docx 2022년 2월 28일

표 2: 이란 nuke.docx 파일과 관련된 정보(출처: 레코디드 퓨처 및 urlscan)

As noted in Table 3, the domain “tinyurl[.]ink” has resolved to IP address 199.188.200[.]217 since it was registered via Namecheap in mid-December 2021; WHOIS privacy protections were again employed by TAG-56 operators.

도메인 IP 주소 처음 발견 WHOIS 등록
tinyurl[.]ink 199.188.200[.]217 2021년 12월 12일 개인 정보 보호

표 3: URL 단축기는 2021년 12월 중순부터 운영되고 있습니다(기록된 미래).

서버 구성

The Namecheap server configuration of “tinyurl[.]ink” revealed another notable overlap to threat activity reported by Check Point Research: the attackers used a shared web host provided by Namecheap to establish their infrastructure, an aspect of TAG-56’s tactics, techniques, and procedures (TTPs) that was also observed in the campaign reported by Check Point Research. In that campaign, the attacker-controlled infrastructure also included a fake URL shortener, “litby[.]us”. This suggests that TAG-56 operators prefer to acquire purpose-built infrastructure as opposed to establishing their own.

Check Point Researchers also cited that the HTML of the URL shortener (litby[.]us) revealed direct links to a cluster of threat activity attributed to the Phosphorus APT in 2020. The domain “de-ma[.]online” underlined in Figure 4 has not had an active DNS “A” record since November 2020.

suspected_iran_nexus_tag_56_uses_uae_forum_lure_for_credential_theft_against_us_think_tank_figure_4.png

Figure 4: HTML code revealing links to de-ma[.]online domain (Source: Check Point Research)

인식트 그룹은 바니 야스 경 가짜 등록 페이지의 HTML에서 코드가 재사용되었을 가능성을 확인했습니다. 자바스크립트 함수는 구체적으로 변수를 나열합니다 "passwd.trim()=="SaudiG20", 이는 바니 야스 경 포럼과는 관련이 없으며 2020년에 사우디아라비아가 주최하는 G20 회의와 관련이 있을 가능성이 높습니다.

suspected_iran_nexus_tag_56_uses_uae_forum_lure_for_credential_theft_against_us_think_tank_figure_5.png

그림 5: HTML을 조사한 결과, 자바스크립트 함수의 "SaudiG20" 변수가 발견되었습니다(출처: urlscan).

The Sir Bani Yas forum spoofed login page also contained a redirect that included the string "continue-to-settings.php". The same string was identified in another submission made to urlscan on August 6, 2021. This submission revealed a malicious login page for Yahoo mail (another case of credential theft), but the apex domain used for the attack was “continuetogo[.]me”. This domain was referenced in a report by Google’s Threat Analysis Group in October 2021 and is associated with APT35. Threat researchers from multiple cybersecurity vendors have previously revealed strategic and technical overlaps between APT35, Charming Kitten, TA453, and APT42 (along with its forerunner UNC788).

hxxps[:]//continuetogo[.]me/Sec=Tab=settings/id=xxxxx=xxxxx/continue-to-settings.php
hxxps[:]//mailer-daemon[.]net/file=sharing=system/file.id.X=xxxxxx/continue-to-settings.php

그림 6: APT35(구글 어트리뷰션)와 TAG-56에 연결된 2개의 개별 캠페인이 겹치는 경우(출처: urlscan)

완화 조치

  • 강력한 정책을 수립하고 소셜 엔지니어링 및 피싱 방지 인식 교육을 실시하여 공격을 탐지하고 예방할 수 있도록 합니다.
  • 강력한 비밀번호를 사용하고 가능한 경우 다단계 인증(MFA)을 활성화하여 자격증명 도용으로 인한 잠재적 피해를 제한하세요.
  • 기록된 미래 브랜드 인텔리전스(BI) 모듈을 통해 조직을 스푸핑하는 타이포스쿼트 도메인과 같은 도메인 남용을 모니터링하세요. 보안 트레일 확장 기능은 위협 인텔리전스(TI) 또는 BI 모듈을 구독하는 모든 고객이 사용할 수 있습니다. 로고 유형 소스 및 알림은 BI 모듈 전용이지만, TI 모듈은 고급 쿼리 작성기를 통해 데이터에 액세스할 수 있습니다.
  • “Cold-calling” is a common method Iranian social engineering operators use to engage with victims. This includes direct messaging on social media platforms as well as on encrypted chats. Be on the lookout for signs of inauthentic or reused material and attempt to directly verify with the source when possible.
  • Recorded Future’s Fraudulent Domains and Typosquats playbook explains triaging typosquatting or similar domain alerts. If you have not yet set up your alerts, see activating certified alerts in the Intelligence Goals Library.

전망

TAG-56은 APT42 및 Phosphorus와 같은 그룹과 관련된 많은 알려진 TTP를 묘사합니다. 여기에는 공격자가 제어하는 인프라와 관련된 도메인 이름 지정 규칙, 재활용 코드 사용, 자격 증명 도용 작업의 의도된 피해자가 포함됩니다. 재활용된 HTML 코드의 사용은 아마도 TAG-56의 반복적인 수법 중 하나로, 위협 연구자들이 탐지할 가능성이 높아졌음에도 불구하고 공격자들에게 TTP의 변화를 보장하지 않을 만큼 충분한 투자 수익을 제공하고 있는 것으로 보입니다.

오픈 소스(1, 2, 3)에는 APT42 및 Phosphorus와 관련된 위협 활동의 피해 사례가 널리 보고되어 있으며, 싱크탱크는 정보 가치가 있는 전략적 수준의 정보를 처리자로 추정되는 담당자에게 제공하기 때문입니다. TAG-56에서 확인된 표적 중첩은 이 위협 클러스터가 앞서 언급한 APT 그룹과 강력하게 겹친다는 당사의 평가를 뒷받침합니다.

부록

도메인:

mailer-daemon[.]net mailer-daemon[.]online mailer-daemon[.]me mailer-daemon[.]org mailer-daemon[.]live de-ma[.]online tinyurl[.]ink litby[.]us

IP 주소:

92.205.13[.]202 162.0.232[.]252 198.54.116[.]118 198.54.115[.]217 199.188.200[.]217

URL:

hxxps[:]//mailer-daemon[.]net/file=sharing=system/file.id.x=xxxxxx/first.check.html hxxps[:]//continuetogo[.]me/Sec=Tab=settings/id=xxxxx=xxxxx/continue-to-settings.php hxxps[:]//mailer-daemon[.]net/file=sharing=system/file.id.X=xxxxxx/continue-to-settings.php hxxps[:]//mailer-daemon[.]live/sec=file=sharing/check.id=xxxxxxxx=xxxxxx/index.php hxxps[:]//tinyurl[.]ink/8tio97cy/Iran%20nuke.docx

SHA256 해시:

69eb4fca412201039105d862d5f2bf12085d41cb18a93398afef0be8dfb9c229

파일:

이란 핵.docx

관련 뉴스 & 연구