TAG-100, 오픈소스 툴을 이용한 글로벌 스파이 캠페인으로 의심되는 두 개의 아시아 태평양 정부 간 기구를 손상시켰습니다.

요약

레코디드 퓨처의 인식트 그룹은 전 세계 정부 및 민간 부문 조직을 대상으로 한 TAG-100의 사이버 첩보 활동으로 의심되는 캠페인을 발견했습니다. TAG-100은 인터넷에 연결된 기기를 악용하고 Go 백도어 판테가나와 같은 오픈 소스 도구를 사용했습니다. 이 캠페인은 두 개의 아시아 태평양 지역 정부 간 조직을 침해하고 여러 외교 및 무역 기관을 표적으로 삼았습니다.

TAG-100, 오픈소스 툴을 이용한 글로벌 스파이 캠페인으로 의심되는 두 개의 아시아 태평양 정부 간 기구를 손상시켰습니다.

TAG-100은 오픈소스 원격 액세스 기능을 사용하며 다양한 인터넷 연결 장치를 활용하여 초기 액세스를 확보합니다. 이 활동은 오픈 소스 도구를 사용하는 사이버 스파이 활동이 증가하는 추세를 강조하며, 능력이 부족한 위협 행위자들이 더 쉽게 공격할 수 있고 맞춤형 기능의 필요성을 줄여줍니다. 두 개의 주요 아시아 태평양 정부 간 조직과 전 세계의 여러 외교, 무역 및 민간 부문 기관이 TAG-100의 공격을 받았을 가능성이 높습니다.

주요 연구 결과

• TAG-100은 아프리카, 아시아, 북미, 남미, 오세아니아에 걸쳐 최소 10개국에서 조직을 침해했습니다.
• 이 그룹은 오픈 소스 Go 백도어 Pantegana와 SparkRAT 사후 익스플로잇을 사용했습니다.
• TAG-100은 시트릭스 넷스케일러, F5 BIG-IP, 짐브라, 마이크로소프트 익스체인지, 소닉월, 시스코 ASA, 팔로알토 네트웍스 글로벌프로텍트, 포티넷 포티게이트 등 다양한 인터넷 연결 제품을 대상으로 했습니다.
• 팔로알토 네트웍스 글로벌 프로텍트 방화벽 취약점 CVE-2024-3400에 대한 PoC 익스플로잇이 공개된 후, TAG-100은 수십 개의 미국 기반 조직에 대한 정찰과 익스플로잇 시도를 수행했습니다.

영향 및 시사점

태그-100이 취약한 인터넷 연결 디바이스를 악용하는 것은 이러한 디바이스의 제한된 가시성과 로깅 기능으로 인해 특히 우려되는 부분입니다. 이렇게 하면 악용 후 탐지될 위험이 줄어들고 조직이 운영 중단 시간, 평판 손상 및 규제 벌금에 노출될 위험이 줄어듭니다. 또한 오픈 소스 도구를 사용하면 국가가 후원하는 위협 행위자가 사이버 운영을 능력이 떨어지는 그룹에 아웃소싱하여 기업 네트워크에 대한 공격의 강도와 빈도를 높일 수 있습니다.

완화 조치

조직은 그래야 합니다:

• 의심스러운 IP 주소 및 도메인을 경고하고 차단하도록 침입 탐지 및 방지 시스템을 구성하세요.
• 모든 외부 서비스 및 디바이스에 대한 보안 모니터링을 보장합니다.
• 특히 야생에서 악용되는 취약점을 우선적으로 패치하세요.
• 네트워크 세분화 및 다단계 인증을 구현하세요.
• Recorded Future® 위협 인텔리전스 모듈을 사용하여 판테가나, SparkRAT, 코발트 스트라이크 명령 및 제어(C2) 서버와 같은 악성 인프라를 실시간으로 탐지하고 차단하세요.
• 기록된 미래® 타사 인텔리전스 모듈은 실시간 출력을 모니터링하여 주요 공급업체 및 파트너와 관련된 의심스러운 침입 활동을 식별하는 데 도움이 됩니다.
• 악성 트래픽 분석(MTA) 모니터링을 통해 Recorded Future 고객은 알려진 TAG-100 C2 IP 주소와의 통신에 관련된 인프라를 사전에 경고하고 모니터링할 수 있습니다.

전망

TAG-100의 활동은 인터넷 연결 기기에 대한 지속적인 위협을 강조하며, 금전적 동기를 가진 위협 행위자와 국가가 후원하는 위협 행위자 모두 이러한 취약점을 계속 악용할 가능성이 높습니다. 미국과 영국 정부는 보안을 개선하기 위해 노력하고 있지만 취약한 네트워크 엣지는 여전히 심각한 위험으로 남아 있습니다. 금전적 동기를 가진 국가가 후원하는 위협 행위자들은 이러한 취약점을 계속 악용할 가능성이 높습니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.