레코디드 퓨처의 인식트 그룹은 최근 중국 위협 활동 그룹 TA428로 의심되는 단체의 새로운 활동을 확인했습니다. 확인된 활동은 2019년 러시아 및 동아시아 정부 정보 기술 기관을 표적으로 삼은 'Operation LagTime IT'로 Proofpoint가 이전에 보고한 TA428 캠페인과 겹칩니다. 확인된 인프라, 전술 및 피해자 조직을 기반으로 TA428이 러시아와 몽골의 조직을 대상으로 침입 활동을 계속하고 있는 것으로 평가합니다.

인프라 및 타겟팅

2021년 1월 21일, Insikt Group은 PlugX C2 서버 103.125.219[.]222를 탐지했습니다. (호스팅 제공업체: VPSServer[.]com) 여러 도메인을 호스팅하며 다양한 몽골 뉴스 기관을 사칭하고 있습니다. 도메인 중 하나인 f1news.vzglagtime[.]net, 앞서 언급된 Proofpoint Operation LagTime IT 블로그에 게재되었습니다. 2019년 7월 Proofpoint 블로그 게시물 작성 당시, vzglagtime[.]net 도메인은 45.76.211[.]18에 호스팅되었습니다. Vultr 호스팅 제공업체를 통해. 수동 DNS 데이터에 따르면, 이 IP 주소는 동일한 시점에 몽골 테마의 도메인을 호스팅했으며, 이는 보고되지 않은 TA428 의심 도메인과 Operation LagTime IT 활동 간의 중복 관계를 더욱 강화합니다. 서브도메인은 영어와 몽골어 모두에서 익숙한 뉴스 관련 이름과 단어를 위조하는 것으로 보입니다. Insikt Group 이 캠페인에서 미국 기반 뉴스 기관인 'Bloomberg'라는 용어가 포함된 두 개의 서브도메인을 추가로 확인했습니다. 그러나 이 캠페인이 미국 기업을 대상으로 했다는 다른 증거는 없습니다. 이 캠페인에서 사용된 서브도메인은 피해자들이 해당 사이트를 신뢰하도록 유인하기 위해 익숙한 용어를 사용했습니다. 보고되지 않은 도메인에는 다음과 같은 것이 포함됩니다:

멀웨어 분석

Insikt Group 여러 개의 Royal Road, Poison Ivy 및 PlugX 샘플이 새롭게 식별된 TA428과 연관된 인프라와 통신하는 것이 확인되었습니다. 이 내용은 Proofpoint와 NTT Security가 TA428 활동에 대해 이전에 보고한 내용과 매우 일치합니다. 특히, 2020년 12월에 악성 소프트웨어 다중 스캔 소스에 업로드된 다음 PoisonIvy 샘플이 있습니다:

15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb (filename: x64.dll)

1145d39ce42761862eeb7c46500b3fc5cd0dcd9c0fed35623b577b01d0ec3c8e (filename: x86.dll)

x86.dll은 32비트 환경을 위해 설계되었으며, x64.dll은 64비트 환경을 위해 설계되었습니다. DLL 파일이 실행되면 두 개의 파일을 생성합니다: PotPlayerMini.exe는 DLL 하이재킹에 취약한 합법적인 실행 파일이며, PotPlayer.dll은 포이즌아이비 페이로드. PotPlayerMini.exe가 실행되어 악성 PoisonIvy DLL을 로드하며, 이 경우 해당 DLL은 C2 도메인 nubia.tsagagaar[.]com과 통신하도록 구성되어 있습니다. 이 PoisonIvy 로딩 시퀀스는 NTT Security가 2020년 10월에 설명한 TA428 활동과 정확히 일치합니다. NTT 연구진은 해당 그룹이 EternalBlue 취약점을 활용해 수평 이동을 수행하고, 대상 호스트의 lsass.exe 프로세스에 초기 DLL 파일을 주입했다는 사실을 확인했습니다.

그림 1: 최근 TA428 샘플의 멀웨어 분석

Insikt Group은 또한 위에서 언급된 TA428과 연관된 PoisonIvy 샘플과 함께 EternalBlue 익스플로잇 도구, WinEggDrop 포트 스캐너, 및 MS17-010 스캐닝 도구가 포함된 악성 소프트웨어 샌드박스 업로드를 식별했습니다. 업로드된 파일 내에 파일 경로가 포함되어 있는 것은 해당 악성 소프트웨어가 러시아 IT 기업 ATOL을 표적으로 삼기 위해 사용되었을 가능성이 있음을 시사합니다. 이 Victimology 는 이전에 관찰된 Operation Lagtime IT 활동과도 일치하며, 이 활동은 러시아와 동아시아의 정부 정보기술 기관을 표적으로 삼은 것으로 알려져 있습니다.

또한, 연구자 Sebdraven이 2020년 11월에 작성한 블로그 게시물에서는 TA428에 귀속되는 Operation Lagtime IT의 연장선상에서 작성된 추가적인 Royal Road 문서 샘플을 상세히 설명하고 있습니다. 유인 문서가 발신자를 몽골 당국으로 위장하고 아르메니아와 아제르바이잔 간의 분쟁을 언급하여 피해자가 문서를 열도록 유인합니다. Sebdraven에 따르면, 해당 파일은 Royal Road RTF 무기화 도구 버전 7을 사용하며, 이 도구는 메모리에 매우 간단한 백도어를 설치하고 EQNEDT32.EXE 프로세스를 재작성합니다. 백도어가 대상 컴퓨터의 디스크, 실행 중인 프로세스, Windows OS 버전 및 사용자 권한에 대한 초기 정보를 수집한 후, 명령 및 제어(C2) 도메인 custom.songuulcomiss[.]com에 연결을 시도합니다. 말레이시아 IP 주소 103.106.250[.]239에서 호스팅되었습니다. 발견 당시.

공격자 프로필

TA428은 2019년 Proofpoint 연구진에 의해 식별되고 명명된 중국과 연관된 사이버 스파이 그룹입니다. 그러나 인프라, Victimology, 및 도구에서 일부 중복점이 발견되어 이 그룹이 2013년경부터 활동했을 가능성이 있습니다. TA428은 중국에게 전략적으로 중요한 가치를 지닌 조직을 대상으로 맞춤형 도구 세트와 기술을 사용한다고 추정됩니다. 이 조직에는 정보기술(IT), 과학 연구, 국내 정책, 외교, 정치 과정, 금융 발전 등이 포함되나 이에 국한되지 않습니다. 2021년 2월, NTT 연구진은 새로운 캠페인을 TA428과 연관시켰으며, 이번에는 러시아와 몽골의 동아시아 방위 및 항공 조직을 대상으로 한 악성 소프트웨어인 nccTrojan을 사용했습니다. 이 악성 소프트웨어는 2019년 3월부터 2020년 11월까지 관찰되었습니다.

타협 지표

이 캠페인과 관련된 침해 지표는 Insikt Group GitHub 저장소에서 여기에서 확인할 수 있습니다.

C2 IP

103.125.219[.]222 103.249.87[.]72 45.76.211[.]18

포이즌 아이비

1145d39ce42761862eeb7c46500b3fc5cd0dcd9c0fed35623b577b01d0ec3c8e (C2: nubia.tsagagaar[.]com) 15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb (C2: nubia.tsagagaar[.]com) 33c0be46fea3a981ae94c1ae0b23c04a763f8318706bd9f7530347f579a2282e (C2: bloomberg.ns02[.]biz)

PlugX

3a5828fe5e55e52f041ad8d67b12a6fc23ec2d2d37a6adde59139d523f1dfc8b (C2: nubia.tsagagaar[.]com)

로얄로드 RTF

4f941e1203bf7c1cb3ec93d42792f7f971f8ec923d11017902481ccf42efaf75 (C2: 95.179.131[.]29 - 이전 호스팅된 여러 개의 vzglagtime[.]net 하위 도메인)

WinEggDrop 포트 스캐너

13eaf5c0c0a22b09b9dead93c86f085b6c010e3413b0e27c0616896978871048

이터널블루 익스플로잇 툴

82b0488fd910fe428513813343bf3a9a62c7bf450d509f00f437766cdc0c7aea

MS17-010 스캐너

15585fd878af7d9efd6cac2984cf52371312439797ee2c8f8180ad149e3f8b07

TA428 연결 도메인

aircraft.tsagagaar[.]com ecustoms-mn[.]com f1news.vzglagtime[.]net gazar.ecustoms-mn[.]com govi-altai.ecustoms-mn[.]com news.vzglagtime[.]net niigem.olloo-news[.]com nubia.tsagagaar[.]com olloo-news[.]com oolnewsmongol.ddns[.]info bloomberg.mefound[.]com bloomberg.ns02[.]biz nmcustoms.https443[.]org gogonews.organiccrap[.]com tsagagaar[.]com vzglagtime[.]net