>
연구(Insikt)

노벨리움에서 회사 브랜드 오용에 사용한 SOLARDEFLECTION C2 인프라

게시일: 2022년 5월 3일
작성자:  Insikt Group

insikt-logo-blog.png

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

이 보고서는 러시아 국가가 후원하는 위협 활동 그룹인 노벨리움이 사용하는 고유한 인프라를 프로파일링합니다. 이 활동은 대규모 자동화된 네트워크 트래픽 분석과 오픈 소스 보고에서 파생된 분석을 결합하여 식별되었습니다. 데이터 소스에는 Recorded Future Platform, SecurityTrails, DomainTools, PolySwarm, Farsight, Shodan, Censys, 팀 심루의 Pure Signal™ 및 기타 일반적인 오픈 소스 도구와 기법이 포함됩니다. 이 보고서는 사이버 공간에서 러시아 정부의 활동과 관련된 전략 및 작전 정보에 종사하는 개인과 네트워크 방어자에게 가장 흥미로울 것입니다. 노벨리움 활동에 대한 추적 기술과 진행 중인 연구를 보호하기 위해 원래 연구의 일부 기술적 세부 사항은 이 보고서 버전에 포함되지 않았습니다.

Executive Summary

레코디드 퓨처의 인식트 그룹은 여러 지역의 정부 및 민간 부문 조직을 대상으로 하는 러시아 국가 지원 사이버 스파이 활동을 지속적으로 모니터링하고 있습니다. 2021년 중반 이후부터 레코디드 퓨처의 중간 시점 수집 결과, 인식트 그룹이 추적한 노벨리움 인프라의 사용은 명령 및 제어(C2) 인프라를 포괄하는 솔라디플렉션으로 꾸준히 증가하고 있는 것으로 나타났습니다. 이 보고서에서는 인식트 그룹이 솔라디플렉션 인프라를 모니터링하면서 관찰한 트렌드와 운영자의 반복적인 타이포스쿼트 도메인 사용을 중점적으로 다룹니다.

위협 활동에 연루된 노벨리움 운영자에게서 관찰된 핵심 요소는 다른 브랜드를 모방한 도메인(일부는 합법적인 도메인이고 일부는 가상의 비즈니스일 가능성이 있는 도메인)에 의존하는 것입니다. 도메인 등록과 타이포스쿼트는 피해 네트워크와 브랜드에 위협이 되는 스피어피싱 캠페인이나 리디렉션을 가능하게 할 수 있습니다.

사전 예방적 공격 인프라 탐지, 도메인 분석 기술, 기록된 미래 네트워크 트래픽 분석을 조합하여 노벨리움의 솔라디플렉션 인프라 사용이 이전에 마이크로소프트, 포티넷, 세코이아, 볼렉시티 등 여러 조직에서 발견한 다른 일반적인 인프라 전술, 기술 및 절차(TTP)와 겹치는 것으로 확인했습니다. 이전 오픈 소스 보고에서도 노벨리움이 코발트 스트라이크 침투 테스트 도구의 크랙 버전을 사용한다는 점이 강조되었습니다.

주요 판단

  • 인싯트 그룹은 식별된 솔라디플렉션 인프라가 노벨리움으로 공개 보고된 위협 활동 그룹의 소행일 수 있다고 확신합니다. 이러한 확신은 공개 보고에서 노벨리움으로 추정되는 네트워크 인프라가 중복적으로 사용되고, 그룹이 전통적으로 사용해온 코발트 스트라이크의 독특한 변형이 사용된 것을 근거로 하고 있습니다.
  • 솔라디플렉션 C2 타이포스쿼트의 광범위한 주제에는 여러 산업 분야, 특히 뉴스 및 미디어 산업에서 브랜드 오용이 포함되었습니다.
  • 이전에 노벨리움 활동과도 연결되었던 솔라디플렉션 모니터링과 관련된 코발트 스트라이크 서버는 표준 코발트 스트라이크 서버 기능을 적극적으로 스캔하는 연구원들로부터 탐지되지 않기 위해 서버 구성을 변경한 것으로 보입니다.
  • 노벨리움은 SSL 인증서에서 타이포스쿼트 도메인을 광범위하게 사용해 왔으며 앞으로도 코발트 스트라이크 툴을 사용할 때 타이포스쿼트 리디렉션을 포함한 기만적인 기술을 사용할 가능성이 높습니다.

배경

노벨리움의 최근 및 과거 도메인을 분석한 결과, 이 그룹이 다양한 미디어, 뉴스 및 기술 제공업체에 친숙하고 이를 모방하는 경향이 있음을 알 수 있습니다. 이 그룹은 동적 DNS 확인을 악용하여 C2 또는 루트 도메인에 대해 무작위로 생성된 하위 도메인을 구성하고 확인하여 피해자를 오도하는 데 사용했습니다. 이러한 공격의 핵심은 합법적인 조직의 도메인과 유사한 이메일 주소 또는 URL을 사용한다는 점입니다. 잠재적으로 유해한 도메인 등록과 타이포스쿼트는 스피어피싱 캠페인이나 리디렉션을 가능하게 하여 회사 브랜드나 직원에게 높은 위험을 초래할 수 있습니다. 스피어피시의 성공 여부는 메시지의 품질, 발신자 주소의 신뢰성, 리디렉션 URL의 경우 도메인 이름의 신뢰성 등의 요인에 따라 달라집니다. 인식트 그룹은 이전에 다른 러시아 넥서스 그룹이 2020년 대선을 겨냥한 작전 등을 지원하기 위해 타이포스쿼팅을 사용하여 피해자의 인증 정보를 수집하는 데 사용되는 사기 로그인 포털의 유효성에 대한 신뢰를 높이는 것을 관찰한 바 있습니다. 이 전술은 최근 오픈 소스에서도 러시아의 우크라이나 침공을 지원하기 위한 것으로 보이는 우크라이나 내 기관을 대상으로 한 침입과 관련하여 보고된 바 있습니다.

인싯트 그룹은 노벨리움이 러시아 대외정보국(SVR)의 목표에 따라 활동하는 위협 활동 그룹이라고 평가합니다. SVR은 러시아 대통령, 연방의회, 정부가 정치, 경제, 군사 전략, 과학 기술 전략, 환경 분야에서 의사 결정을 내리는 데 필요한 정보를 제공하는 임무를 맡고 있습니다. 러시아는 러시아 중앙정보국(GRU)이 군사 정보 작전에 집중하고 SVR은 정치 정보에 집중함으로써 스스로를 분리된 기관으로 규정하고 있지만, 이는 매우 높은 수준의 관점일 뿐입니다. SVR은 대상 국가의 전략 정책 및 의사 결정권자에게 영향을 미치는 조직과 개인으로부터 전략 정보를 수집하는 것을 목표로 공공 및 민간 수단을 통해 정보를 수집하는 방식으로 업무를 수행합니다.

2021년 Volexity는 정부 기관인 미국 국제개발처(USAID)에서 보낸 것으로 보이는 선거 사기를 테마로 한 미끼를 사용하여 비정부기구(NGO), 연구 기관, 정부 및 국제기구를 대상으로 한 APT29 피싱 작전으로 의심되는 연구 결과를 발표했습니다. 같은 날 Microsoft는 동일한 캠페인에 사용된 더 광범위한 TTP에 대한 연구 결과도 발표했으며, 이 활동의 배후에 SolarWinds 침입의 배후 그룹인 NOBELIUM이 있다고 밝혔습니다. 이 캠페인은 2021년 2월부터 민감한 외교 및 정부 기관을 대상으로 진행되었습니다. 위협 행위자가 이 정보를 사용하여 광범위한 캠페인의 일환으로 다른 고도로 표적화된 공격을 시작한 것으로 보고 있습니다. 추가 조사 결과, 2021년부터 Insikt Group이 SOLARDEFLECTION이라는 명칭으로 모니터링하는 인프라 클러스터가 이 이전 보고와 겹치는 것으로 확인되었습니다. 레코딩된 미래 명령 및 제어 보안 피드 내에서 지속적인 탐지를 통해 노벨리움 운영과 관련된 새로운 타이포스쿼트 도메인의 등록을 확인하는 데 도움이 되었습니다. 특히, 2020년 초에 노벨리움 보고와 관련이 있을 가능성이 있다고 표시되었던 명명 규칙이나 테마를 새로 확인된 몇몇 타이포스쿼트에서 계속 채택하고 있는 것을 확인했습니다.

SOLARDEFLECTION-C2-인프라-그림-1-1024x111.jpg 그림 1: 레코디드 퓨처 플랫폼의 솔라디플렉션 도메인 등록 참조(출처: 레코디드 퓨처)

레코디드 퓨처 플랫폼은 타이포스쿼팅된 도메인을 자동으로 감지하며, 새로 생성된 각 도메인 엔티티는 레코디드 퓨처에서 관찰한 다른 도메인과의 타이포스쿼팅 스타일 유사성을 평가합니다. 그 예로 그림 1에 표시된 SOLARDEFLECTION 타이포스쿼트는 도메인의 철자를 볼 때 노벨리움 운영자가 T-Mobile 브랜드를 모방하려는 시도일 가능성이 매우 높습니다. 지난 2년간 SOLARDEFLECTION 도메인이 등록된 빈도를 검토한 결과, 노벨리움은 주기적으로 도메인을 등록하는 경향이 있으며, 때때로 짧은 휴식기를 가지기도 하는데, 이는 여러 도메인을 노벨리움 활동에 기인하는 새로운 오픈 소스 보고와 일치하는 것으로 보입니다(아래 기록된 미래 타임라인에 표시된 대로).

SOLARDEFLECTION-C2-인프라-그림-2-1024x424.jpg 그림 2: 솔라디플렉션 타이포스쿼트 등록 타임라인(출처: 기록된 미래 데이터)

인식트 그룹은 그룹이 사용하는 인프라 TTP에 대한 심층적인 이해를 통해 솔라디플렉션 인프라를 선제적으로 탐지합니다(아래 인프라 TTP 섹션에서 자세히 설명합니다). 또한 명령 및 제어 데이터 세트를 통해 "양성 C2"로 분류한 모든 솔라디플렉션 IP를 보강하고 식별할 수 있습니다. 그런 다음 네트워크 통신을 분석하여 C2가 감염된 시스템과 어떻게 상호 작용하는지 또는 공격자가 어떻게 관리하고 있는지 조사합니다. 솔라디플렉션 C2는 레코딩된 미래 플랫폼의 명령 및 제어 데이터 세트 내에서 검토할 수 있습니다.

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

관련