키플러그(KEYPLUG)로 광범위한 표적을 감시하고 훔치는 중국 레드골프(RedGolf)의 스파이 활동

레코디드 퓨처의 인식트 그룹은 RedGolf로 추적된 중국 국가 지원 위협 활동 그룹이 사용했을 가능성이 높은 맞춤형 Windows 및 Linux 백도어 KEYPLUG의 사용과 관련된 새로운 인프라의 대규모 클러스터를 확인했습니다. 레드골프는 APT41/BARIUM이라는 별칭으로 보고된 위협 활동과 밀접하게 겹치며 미국 정부 기관을 표적으로 삼은 것으로 알려졌습니다. 레드골프는 또한 중국 국가안전부(MSS)와의 커넥션을 자랑한 바 있으며, 회원들은 이전에 청두에 본사를 둔 청두 404 네트워크 기술(成都市肆零肆网络科技有限公司)과 연계된 것으로 알려졌습니다.

레드골프는 항공, 자동차, 교육, 정부, 미디어, 정보 기술 및 종교 단체를 타깃으로 다양한 지역에서 활발하게 활동하는 것으로 알려져 있습니다. 중국 정부 및 보안 서비스의 전략적 관심 대상인 조직은 표적이 될 위험이 높습니다. 이 보고서는 이 그룹의 최근 활동, 전술, 기법 및 절차를 조사하고 조직을 위한 대응 전략을 제시합니다.

공개 보고에 따르면, 레드골프는 2021년과 2022년에 미국 주 정부 기관을 공격하기 위해 맞춤형 모듈식 백도어 KEYPLUG의 Linux 버전을 사용했습니다. 인식트 그룹은 최소 2021년부터 2023년까지 레드골프가 사용하는 더 넓은 범위의 키플러그 샘플과 운영 인프라를 확인했습니다. 저희는 고스트울프라는 용어를 사용하여 이 악성 인프라를 적극적으로 추적하고 있습니다. 또한, 키플러그와 함께 많은 중국 국가 지원 위협 그룹에서 일반적으로 사용되는 코발트 스트라이크, 플러그엑스, 동적 DNS(DDNS) 도메인을 사용하는 레드골프도 확인했습니다. 인식트 그룹은 확인된 고스트울프 인프라 클러스터에서 공개적으로 보고된 APT41/BARIUM 캠페인 간에 여러 인프라가 겹치는 것을 확인했습니다.

레드골프 인프라와 TTP(전술, 기법, 절차)는 APT41 및 BARIUM과 겹치는 부분이 있습니다. (출처: 레코딩된 미래)

레드골프는 다양한 호스팅 제공업체에 걸친 명령 및 제어 인프라를 사용하여 키플러그 멀웨어와 그 파생물로 피해자들을 계속 표적으로 삼을 것입니다. 이 그룹은 기존에 등록된 도메인과 DDNS 도메인을 혼합하여 사용했으며, 종종 기술을 테마로 하는 도메인을 사용했습니다. DDNS 사용량 감소를 제외하면 이 TTP는 비교적 큰 변화 없이 유지될 것으로 예상됩니다.

이러한 도구가 제공하는 기능 세트, 즉시 사용 가능한 기능, 이러한 기술을 사용하는 다른 위협 행위자의 수로 인한 책임 회피 능력 등을 고려할 때, RedGolf와 같은 중국 국가 지원 위협 활동 그룹이 피해 시스템을 표적으로 삼기 위해 Cobalt Strike와 PlugX를 사용하는 것은 계속될 가능성이 높습니다.

레코딩된 미래는 코발트 스트라이크와 플러그엑스 서버를 모두 사전에 감지합니다. 이 피드를 차단 목록 및/또는 알림에 통합하여 감염을 방지하는 것이 좋습니다.

각주가 포함된 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.