>
연구(Insikt)

이란-넥서스 TAG-56으로 의심되는 조직, 미국 싱크탱크에 대한 자격 증명 도용을 위해 UAE 포럼 미끼 사용

게시일: 2022년 11월 29일
작성자: Insikt Group®

insikt-group-logo-updated-3-300x48.png

편집자 주: 보고서를 PDF로 다운로드하려면 여기를 클릭하세요.

이 보고서는 이란과 연계된 것으로 의심되는 위협 활동 그룹인 TAG-56이 주도하는 광범위한 캠페인과 관련이 있을 가능성이 높은 위협 활동을 다룹니다. 인식트 그룹은 위협 헌팅 기법을 통해 이 위협 활동을 발견했습니다. 이 연구는 이란의 사이버 작전을 다루는 개인 및 조직, IT 보안 직원, 싱크탱크, 비정부기구, 언론인, 정부에 관련되어 있습니다.

Executive Summary

인식트 그룹은 2022년 11월 초, 미국에 본사를 둔 워싱턴 연구소 싱크탱크를 겨냥한 이란 연계 위협 활동 그룹이 주도했을 가능성이 높은 피싱 및 후속 인증정보 도용 공격을 확인했습니다. 이 자격 증명 도용 구성 요소는 아랍에미리트(UAE) 정부가 주최하는 2022년 경 바니 야스 포럼의 Microsoft 등록 양식으로 가장했습니다. 이 위협 활동은 URL 단축기를 사용하여 피해자를 자격 증명이 도용된 악성 페이지로 안내하는 광범위한 캠페인의 징후일 가능성이 높습니다. 이 수법은 이란과 연계된 APT42 및 Phosphorus와 같은 지능형 지속 위협(APT) 그룹에서 흔히 사용되는 수법입니다.

인식트 그룹은 인증정보 도용 페이지를 호스팅하는 데 사용될 가능성이 높은 5개의 도메인을 확인했습니다. 이 연구와 관련된 인증정보 도용 사례는 2022년 한 해 동안 URL스캔에 제출되었습니다. 가장 최근 제출된 것은 2022년 11월 3일에 아랍에미리트에서 제출한 것입니다. 이 글을 쓰는 시점에서 이 위협 활동은 현재 진행 중인 캠페인과 관련이 있을 가능성이 높습니다. Insikt 그룹은 임시 그룹 지정자 TAG-56으로 이 활동을 추적합니다.

위협 분석

초기 발견

인식트 그룹은 2022년 11월 3일, 아랍에미리트의 한 사용자로부터 그림 1에 표시된 것처럼 2022년 바니 야스 경 포럼의 가짜 Microsoft 등록 양식을 반환한 의심스러운 URL 스캔 제출을 확인했습니다. 공격의 표적은 미국의 근동 외교 정책을 연구하는 미국 싱크탱크인 워싱턴 연구소의 선임 연구원이었습니다. 제출된 데이터에 따르면 피해자는 스피어피싱 메시지를 받았으며, 이 메시지를 클릭하면 메일러-데몬[.]net이라는 도메인 이름을 가진 URL로 리디렉션되는 것으로 나타났습니다. - 스푸핑된 등록 페이지가 호스팅되는 곳입니다.

의심되는_이란_넥서스_태그_56_사용자_UAE_포럼_유인_자격증명_도용_대항_미국_씽크탱크_그림_1.png

그림 1: 바니 야스 경 포럼에 연결되어 있다고 주장하는 등록 양식(출처: urlscan)

"mailer-daemon[.]net" 도메인 는 Namecheap을 통해 2022년 10월 11일에 등록되었으며 WHOIS 개인 정보 보호를 사용합니다. 도메인이 162.0.232[.]252로 확인되었습니다. 2022년 10월 11일부터 162.0.232[.]252의 역방향 DNS는 "web-hosting[.]com"입니다, 의 공유 호스팅 서비스와 연결되어 있습니다.

Insikt 그룹은 아래 표 1에 나열된 4개의 도메인을 추가로 확인했으며, 이 도메인들은 mailer-daemon[.]net과 동일한 도메인 명명 규칙을 사용합니다. 1개 도메인인 "mailer-daemon[.]org"를 제외한 모든 도메인, Namecheap의 공유 호스팅 서비스를 사용하세요. "mailer-daemon[.]org" 도메인 는 GoDaddy를 사용하여 등록되었습니다. 오픈 소스 보고에 따르면 유사한 도메인, 특히 "mailerdaemon[.]me"가 발견되었습니다. 및 "mailer-daemon-message[.]co"는 2020년과 2021년 내내 Phosphorus APT 그룹의 구성원들이 공격을 주도하는 데 사용되었습니다.

도메인 IP 주소 처음 발견 등록 기관 WHOIS 등록
메일러-데몬[.]온라인 198.54.115[.]217 2022년 11월 23일 Namecheap 개인 정보 보호
mailer-daemon[.]org 92.205.13[.]202 2022년 11월 13일 GoDaddy 개인 정보 보호
mailer-daemon[.]net 162.0.232[.]252 2022년 10월 11일 Namecheap 개인 정보 보호
mailer-daemon[.]me 199.188.200[.]217 2022년 5월 31일 Namecheap 개인 정보 보호
메일러-데몬[.]라이브 199.188.200[.]217 2021년 11월 9일 Namecheap 개인 정보 보호

표 1: TAG-56 위협 활동과 연관된 도메인 이름(출처: Recorded Future)

가짜 URL 단축기

가짜 URL 단축기인 "tinyurl[.]ink", 합법적인 서비스인 TinyURL(tinyurl[.]com)을 스푸핑합니다, 의 일부로 확인되었습니다. 가짜 URL 단축기는 미끼 문서인 "이란 핵무기.docx"를 전달하는 데 사용되었습니다. - "또 다른 실패한 이란 협상과 미국 정책의 다음 단계" 제목에서 알 수 있듯이 이란의 핵 프로그램에 관한 내용입니다. 그림 2에 표시된 이 문서는 양성이며 공격자가 의도한 표적의 예방 행동을 낮추기 위해 사용했을 가능성이 높습니다. 2022년 6월 미국과 이스라엘 정부 관리들을 표적으로 삼은 이란의 APT 캠페인에 관한 보고서에서 Check Point Research는 대화를 시작하기 위해 양성 문서가 표적에게 전송되었다고 지적했습니다.

의심되는_이란_넥서스_태그_56_사용자_UAE_포럼_유인_자격증명_도용_대항_미국_씽크탱크_그림_2.png

그림 2: 의도한 대상에게 전송된 디코이 문서(출처: Tria.ge)

"이란 핵.docx" 제공의 일환으로, TAG-56 요원들은 합법적인 단축 서비스인 tinyurl[.]com과 함께 가짜 URL 단축기를 사용했습니다. 그림 3에 표시된 것처럼 공격 체인은 요원들이 합법적인 URL 단축기(tinyurl[.]com)를 사용하여 메시지를 전달하는 것으로 시작되었습니다. 의심되는 대상에 대해 링크를 클릭할 경우 스푸핑된 링크(tinyurl[.]ink)로 리디렉션됩니다. 이스라엘에서 urlscan에 제출한 또 다른 자료에 따르면 TAG-56은 tinyurl[.]com을 사용했습니다. "메일러-데몬[.]라이브"를 사용하여 의심되는 대상과 교전합니다. 도메인. 분석 당시 "mailer-daemon[.]live" Namecheap 소유의 다른 IP 주소로 확인됨: 198.54.116[.]118.

의심되는_이란_넥서스_태그_56_사용자_UAE_포럼_유인_자격증명_도용_대항_미국_씽크탱크_그림_3.png

그림 3: 이란 핵 문서에 대한 리디렉션이 관찰됨(출처: Recorded Future)

TAG-56이 이 연구와 관련된 링크를 어떻게 유포했는지는 알 수 없지만, 스피어피싱 또는 암호화된 채팅 플랫폼이 전달에 사용되었을 가능성이 높습니다. APT42와 관련된 일부 이란 연계 공격자들은 피해자의 왓츠앱 또는 텔레그램 계정으로 직접 링크를 보내고 채팅에 참여하여 소셜 엔지니어링을 통해 피해자를 조작하는 것으로 알려져 있습니다.

파일 이름 SHA256 해시 URL 마지막 수정
이란 핵.docx 69eb4fca412201039105d86
2d5f2bf12085d41cb18a933
98afef0be8dfb9c229		 hxxps[:]//tinyurl[.]ink/8tio97cy/Iran%20nuke.docx 2022년 2월 28일

표 2: 이란 nuke.docx 파일과 관련된 정보(출처: 레코디드 퓨처 및 urlscan)

표 3에 나와 있는 것처럼 "tinyurl[.]ink" 도메인 IP 주소 199.188.200[.]217로 확인되었습니다. 2021년 12월 중순에 Namecheap을 통해 등록된 이후, TAG-56 운영자가 다시 WHOIS 개인정보 보호 기능을 사용했습니다.

도메인 IP 주소 처음 발견 WHOIS 등록
tinyurl[.]ink 199.188.200[.]217 2021년 12월 12일 개인 정보 보호

표 3: URL 단축기는 2021년 12월 중순부터 운영되고 있습니다(기록된 미래).

서버 구성

"tinyurl[.]ink"의 Namecheap 서버 구성 는 Check Point Research에서 보고한 위협 활동과 또 다른 주목할 만한 중복을 발견했습니다. 공격자들은 인프라 구축을 위해 Namecheap에서 제공하는 공유 웹 호스트를 사용했는데, 이는 Check Point Research에서 보고한 캠페인에서도 관찰된 TAG-56의 전술, 기술 및 절차(TTP)의 한 측면입니다. 이 캠페인에서 공격자가 제어하는 인프라에는 가짜 URL 단축기인 "litby[.]us"도 포함되어 있었습니다. 이는 TAG-56 운영자가 자체 인프라를 구축하는 대신 목적에 맞게 구축된 인프라를 확보하는 것을 선호한다는 것을 시사합니다.

체크 포인트 연구원들은 또한 URL 단축기(litby[.]us)의 HTML을 인용했습니다. 는 2020년에 포스포러스 APT에 의한 위협 활동 클러스터와 직접적인 연관성을 밝혀냈습니다. 도메인 "de-ma[.]online" 그림 4에서 밑줄 친 부분은 2020년 11월 이후 활성 DNS "A" 레코드가 없습니다.

의심되는_이란_넥서스_태그_56_사용자_UAE_포럼_유인_자격증명_도용_대항_미국_씽크탱크_그림_4.png

그림 4: de-ma[.]online 링크를 표시하는 HTML 코드 도메인(출처: 체크 포인트 리서치)

인식트 그룹은 바니 야스 경 가짜 등록 페이지의 HTML에서 코드가 재사용되었을 가능성을 확인했습니다. 자바스크립트 함수는 구체적으로 변수를 나열합니다 "passwd.trim()=="SaudiG20", 이는 바니 야스 경 포럼과는 관련이 없으며 2020년에 사우디아라비아가 주최하는 G20 회의와 관련이 있을 가능성이 높습니다.

의심되는_이란_넥서스_태그_56_사용자_UAE_포럼_유인_자격증명_도용_대항_미국_씽크탱크_그림_5.png

그림 5: HTML을 조사한 결과, 자바스크립트 함수의 "SaudiG20" 변수가 발견되었습니다(출처: urlscan).

바니 야스 경 포럼 스푸핑 로그인 페이지에는 "continue-to-settings.php" 라는 문자열이 포함된 리디렉션도 포함되어 있었습니다. 2021년 8월 6일에 urlscan에 제출된 다른 제출물에서도 동일한 문자열이 확인되었습니다. 이 제출물은 야후 메일의 악성 로그인 페이지(또 다른 인증정보 도용 사례)로 밝혀졌지만 공격에 사용된 에이펙스 도메인은 "continuetogo[.]me"였습니다. 이 도메인은 2021년 10월 Google 위협 분석 그룹의 보고서에서 언급된 도메인이며 APT35와 연관되어 있습니다. 여러 사이버 보안 공급업체의 위협 연구자들은 이전에 APT35, Charming Kitten, TA453, APT42(및 그 전신인 UNC788)간의 전략적 ,기술적 중첩을 밝혀낸 바 있습니다.

hxxps[:]//continetogo[.]me/Sec=Tab=settings/id=xxxxx=xxxxx/continue-to-settings.php
hxxps[:]//mailer-daemon[.]net/file=sharing=system/file.id.X=xxxxxx/continue-to-settings.php

그림 6: APT35(구글 어트리뷰션)와 TAG-56에 연결된 2개의 개별 캠페인이 겹치는 경우(출처: urlscan)

완화 조치

  • 강력한 정책을 수립하고 소셜 엔지니어링 및 피싱 방지 인식 교육을 실시하여 공격을 탐지하고 예방할 수 있도록 합니다.
  • 강력한 비밀번호를 사용하고 가능한 경우 다단계 인증(MFA)을 활성화하여 자격증명 도용으로 인한 잠재적 피해를 제한하세요.
  • 기록된 미래 브랜드 인텔리전스(BI) 모듈을 통해 조직을 스푸핑하는 타이포스쿼트 도메인과 같은 도메인 남용을 모니터링하세요. 보안 트레일 확장 기능은 위협 인텔리전스(TI) 또는 BI 모듈을 구독하는 모든 고객이 사용할 수 있습니다. 로고 유형 소스 및 알림은 BI 모듈 전용이지만, TI 모듈은 고급 쿼리 작성기를 통해 데이터에 액세스할 수 있습니다.
  • "콜드 콜"은 이란의 사회 공학 공격자들이 피해자와 접촉할 때 흔히 사용하는 방법입니다. 여기에는 소셜 미디어 플랫폼의 다이렉트 메시지와 암호화된 채팅이 포함됩니다. 출처가 불분명하거나 재사용된 자료의 징후를 주의 깊게 살펴보고 가능하면 출처에 직접 확인을 시도하세요.
  • 기록된 미래의 사기성 도메인 및 타이포스쿼트 플레이북에서는 타이포스쿼트 또는 유사한 도메인 경고를 선별하는 방법을 설명합니다. 아직 알림을 설정하지 않았다면 인텔리전스 목표 라이브러리에서 인증된 알림 활성화를 참조하세요.

전망

TAG-56은 APT42 및 Phosphorus와 같은 그룹과 관련된 많은 알려진 TTP를 묘사합니다. 여기에는 공격자가 제어하는 인프라와 관련된 도메인 이름 지정 규칙, 재활용 코드 사용, 자격 증명 도용 작업의 의도된 피해자가 포함됩니다. 재활용된 HTML 코드의 사용은 아마도 TAG-56의 반복적인 수법 중 하나로, 위협 연구자들이 탐지할 가능성이 높아졌음에도 불구하고 공격자들에게 TTP의 변화를 보장하지 않을 만큼 충분한 투자 수익을 제공하고 있는 것으로 보입니다.

오픈 소스(1, 2, 3)에는 APT42 및 Phosphorus와 관련된 위협 활동의 피해 사례가 널리 보고되어 있으며, 싱크탱크는 정보 가치가 있는 전략적 수준의 정보를 처리자로 추정되는 담당자에게 제공하기 때문입니다. TAG-56에서 확인된 표적 중첩은 이 위협 클러스터가 앞서 언급한 APT 그룹과 강력하게 겹친다는 당사의 평가를 뒷받침합니다.

부록

도메인:

mailer-daemon[.]net 메일러-데몬[.]온라인 mailer-daemon[.]me mailer-daemon[.]org 메일러-데몬[.]라이브 de-ma[.]online tinyurl[.]ink litby[.]us

IP 주소:

92.205.13[.]202 162.0.232[.]252 198.54.116[.]118 198.54.115[.]217 199.188.200[.]217

URL:

hxxps[:]//mailer-daemon[.]net/file=sharing=system/file.id.x=xxxxxx/first.check.html hxxps[:]//continetogo[.]me/Sec=Tab=settings/id=xxxxx=xxxxx/continue-to-settings.php hxxps[:]//mailer-daemon[.]net/file=sharing=system/file.id.X=xxxxxx/continue-to-settings.php hxxps[:]//mailer-daemon[.]live/sec=file=sharing/check.id=xxxxxxxx=xxxxxx/index.php hxxps[:]//tinyurl[.]ink/8tio97cy/Iran%20nuke.docx

SHA256 해시:

69eb4fca412201039105d862d5f2bf12085d41cb18a93398afef0be8dfb9c229

파일:

이란 핵.docx

관련