_범위참고: 레코디드 퓨처의 인식트 그룹은 영국에 본사를 둔 엔지니어링 회사를 표적으로 삼은 침입 사고와 관련된 네트워크 침해 지표 및 TTP를 분석했습니다. 소스에는 Recorded Future의 제품, VirusTotal, ReversingLabs, DomainTools Iris, PassiveTotal과 함께 타사 메타데이터 및 일반적인 OSINT 기술이 포함됩니다.

이 보고서는 미국, 유럽, 일본의 하이테크 엔지니어링 업계와 중국의 국가 지원 사이버 스파이 활동을 조사하는 기관에서 가장 큰 관심을 가질 것입니다.

Executive Summary

2018년 7월 초, 영국에 본사를 둔 엔지니어링 회사의 직원들이 스피어피싱 캠페인의 표적이 되어 피해를 입었습니다. 이 캠페인은 캄보디아의 정치, 인권, 중국 개발을 취재하는 프리랜서 저널리스트의 것으로 추정되는 이메일 주소도 표적으로 삼았습니다. 두 공격 모두 2018년 7월 선거를 앞두고 캄보디아 단체를 표적으로 삼은 중국 위협 행위자 TEMP.Periscope(일명 리바이어던)의 캠페인과 동일한 인프라를 사용한 것으로 보고 있습니다. 결정적으로, 템프페리스코프가 표적으로 삼은 영국 엔지니어링 회사에 대한 관심은 2017년 5월에 있었던 침입 미수 사건으로 거슬러 올라갑니다.

이 보고서에서 설명한 가용 데이터와 증거를 바탕으로 Recorded Future는 중국의 위협 행위자인 템프페리스코프가 러시아 위협 그룹 드래곤플라이와 APT28의 공개된 정교한 TTP를 재사용하여 영국 엔지니어링 회사를 공격했으며, 민감한 독점 기술 및 데이터에 액세스할 수 있을 것으로 중간 정도의 확신을 가지고 평가합니다. 저희는 템프페리스코프가 피해 네트워크에 접근하는 데 성공할 확률을 높이거나 연구자들을 혼란스럽게 하기 위해 허위 플래그를 배치하여 어트리뷰션을 회피하기 위해 공개된 TTP를 재사용한 것으로 보고 있습니다.

일부 APT28, Dragonfly 및 TEMP.Periscope TTP 공개 및 활동의 타임라인입니다.

주요 판단

• 공격자들은 최근 캄보디아 정부를 표적으로 삼은 TEMP.Periscope 캠페인을 통해 식별된 명령 및 제어(C2) 도메인인 scsnewstoday[.]com을 사용했을 가능성이 높습니다.
• 공격자는 중국 이메일 클라이언트인 Foxmail을 사용하여 스피어피싱 공격을 보냈습니다.
• 공격에서 사용된 기술은 핵심 인프라를 표적으로 삼는 데사용된 드래곤플라이 TTP(기술, 전술, 절차)로 기록된 독특한 기술입니다. 이 기술은 스피어 피싱을 통해 "file://" 경로를 사용하여 SMB 자격 증명을 획득하려고 시도하며, 이는 악성 C2 서버로 연결됩니다.
• 이 공격은 오픈 소스 도구인 Responder의 버전을 NBT-NS 포이너로 사용한 것으로 추정됩니다. APT28은 2017년에 호텔에 투숙하는 여행객을 대상으로 한 공격에 리스폰더를 사용했습니다.
• 영국의 공학 기업은 2017년 5월 TEMP.Periscope의 공격 대상이 되었으며, 이 공격에는 2017년 9월에 미국 공학 및 학술 기관을 표적으로 삼은 공격과 동일한 C2 인프라가 사용되었습니다. 이는 Proofpoint의 Leviathan 보고서에 상세히 설명되어 있습니다.

배경

TEMP.Periscope는 중국 정부 후원 하에 활동하는 위협 행위자로, 2017년 10월에 '레비아탄'이라는 그룹에 대한 보고서가 공개되면서 처음으로 공개적으로 주목받기 시작했습니다. 레비아탄은 해상 및 방위 산업을 대상으로 간첩 활동을 수행하기 위해 독특한 도구와 오픈소스 도구를 결합해 사용했습니다. 보고서는 해당 단체에 대한 상세한 내용을 2014년으로 거슬러 올라가며 상세히 다루었습니다.

수개월 후 보고서가 발표되어 해상 및 방위 산업 분야를 대상으로 한 추가 활동이 드러났으며, 이는 주로 미국과 유럽의 기업을 표적으로 삼았으며 해당 그룹의 TTP(기술적 전술 절차)에 대한 추가 세부 정보를 포함했습니다. 해당 활동은 새로운 위협 행위자 이름인 TEMP.Periscope로 태그가 지정되었지만, 보고서 작성자들은 Leviathan과 TEMP.Periscope가 동일한 그룹이라고 지적했습니다.

고기술 해양 공학 기업에 대한 표적화 강화는 중국이 남중국해(SCS) 영유권 대부분을 주장하며 주변 지역에서 고조되는 긴장과 동시에 발생했습니다. 2018년에도 남중국해 주변 국가들을 대상으로 한 중국의 사이버 스파이 활동이 계속해서 심화되었으며, 2018년 7월 선거를 앞두고 캄보디아를 표적으로 삼은 TEMP.Periscope 공격이 보고되었습니다. 또한, 2018년 초 미국 해군 계약업체를 대상으로 발생한 공격과 같은 사례는 초음속 대함 미사일을 개발하기 위한 계획이 포함된 대규모의 극히 기밀 자료가 유출된 사건을 통해, 중국이 미국과의 기술 격차를 줄이기 위해 최첨단 해군 기술에 대한 표적 공격을 지속하고 있음을 보여줍니다.

위협 분석

감염 벡터

저희가 연구한 침입 시도는 전문 엔지니어링 솔루션을 제공하는 영국 회사의 네트워크를 표적으로 삼았습니다. 영국 엔지니어링 회사는 스피어피싱 시도에 대한 세부 정보를 Recorded Future와 공유했으며, 다음 IOC가 조사의 출발점이 되었습니다.

이메일 헤더 분석 결과, 해당 스피어 피싱 이메일은 2018년 7월 6일 오전 9시 30분 (UTC)에 Foxmail을 통해 발송된 것으로 확인되었습니다. Foxmail은 중국에서 세 번째로 큰 인터넷 서비스 기업 중 하나인 텐센트(Tencent)에서 개발한 무료 이메일 클라이언트입니다. 폭스메일은 중국에서 하루 평균 300만 명 이상의 사용자를 보유하고 있으며, 과거 중국 APT 활동과 연관된 것으로 알려져 있습니다.

영국 엔지니어링 회사 직원의 이메일 주소 외에도 캄보디아에 거주하는 언론인의 것으로 추정되는 이메일 주소에도 동일한 스피어피싱이 발송되었습니다. 발신자 계정은 캄보디아의 민사 및 사회 문제에 대해 글을 쓰고 프놈펜 포스트에 기고하는 호주 언론인이자 변호사를 사칭했습니다.

2018년 7월 캄보디아 선거를 노린 스피어피싱 캠페인에서 중국 위협 공격자 TEMP.Periscope는 발신자 주소를 위조하고 캄보디아 비정부기구(NGO) 직원을 사칭했습니다.

표적이 된 영국 엔지니어링 회사가 공유한 스피어피싱 이메일의 스니펫입니다.

이 이메일에는 두 개의 악성 링크가 포함되어 있었습니다. 첫 번째, "file://" 링크를 클릭하면 SMB 세션이 생성됩니다. 두 번째 링크는 .url 파일도 아웃바운드 SMB 연결을 생성하도록 구성했습니다.

협박범은 캄보디아 기자로 가장하여 피해자에게 "신고 웹사이트"에 업로드할 추가 정보를 요청했습니다. 그러나 메시지의 맞춤법 및 구두점 오류로 인해 피해 조직의 네트워크 방어자들은 경고를 받았습니다.

이메일 헤더에 포함된 메타데이터와 SMB를 통한 파일 공유와의 제어된 상호 작용을 분석한 결과 침입 시도의 몇 가지 흥미로운 특징을 발견했습니다.

응답자: "NetBIOS 포이너"

먼저, SMB 파일 경로 링크를 분석했습니다. 우리는 C2 82.118.242[.]243에서 호스트 이름 WIN-PRH492RQAFV를 관찰했습니다. 피해자 네트워크에서 SMB 자격 증명을 획득하려고 시도했을 때. 우리는 GitHub에 있는 Python 해킹 도구인 Responder의 여러 포크된 버전 내에서 호스트 이름 WIN-PRH492RQAFV가 하드코딩되어 있음을 확인했습니다. 이 호스트 이름을 가진 Responder의 한 버전이^P4wnP11의 빌드에서 발견되었으며, 이 빌드는 무료 파일 업로드 서비스인 BeeBin에 업로드되었습니다. 또한 동일한 호스트 이름을 가진 다른 버전이 PiBunny 내에서 발견되었습니다.

WIN-PRH492RQAFV 문자열이 GitHub에 있는 Responder 의 수정된 버전 내에 존재합니다.

Responder는 2014년 1월에 출시되었습니다. 공식 GitHub 저장소에 게시된 README 파일에는 다음과 같이 설명되어 있습니다: “Responder는 LLMNR, NBT-NS 및 MDNS 중독 도구입니다.” 이 서비스는 이름 접미사에 따라 특정 NBT-NS(NetBIOS 이름 서비스) 쿼리에 응답합니다(자세한 내용은 http://support.microsoft.com/kb/163409를 참조하세요). 기본적으로 이 도구는 SMB를 위한 파일 서버 서비스 요청에만 응답합니다. 이 개념의 핵심은 답변을 정확히 타겟팅하고 네트워크에서 더 은밀하게 행동하는 것입니다.

리스폰더의 악의적인 사용은 2017년 8월 11일 팬시 베어라고도 알려진 APT28이 사용하는 것으로 처음 공개적으로 문서화되었습니다. 이 도구는 호텔 방문객을 대상으로 NetBios 리소스를 스푸핑하는 데 사용되었습니다. 피해자들은 강제로 UDP 포트 137에 연결하고 SMB를 통해 APT28에 자격 증명을 공개하도록 강요받았으며, 위협 행위자는 이를 사용하여 네트워크에 대한 높은 수준의 액세스 권한을 얻었습니다.

러시아에서 더 많은 교훈을 얻으세요: "file://" 경로를 사용한 SMB 자격 증명 수집

리스폰더의 사용을 기반으로, 이 위협 행위자는 또 다른 러시아 위협 행위자인 드래곤플라이(Dragonfly, 에너지 곰 또는 웅크린 설인이라고도 함)의 기술을 차용한 것으로 보입니다.

경로 “file://82.118.242[.]243/[REDACTED]” 스피어피싱 공격에 사용된 방법은 SMB 자격 증명을 훔치기 위해 호스트가 SMB를 통해 가져오려고 시도하는 보이지 않는 이미지 태그를 생성하는 방식으로, 공격자에게 사용자의 NTLM 비밀번호의 해시 값을 제공했습니다. 코드를 실행할 때 브라우저는 보이지 않는 이미지 태그를 생성하고 "file://" 프로토콜 스키마를 사용하여 공격 서버의 URL로 설정하며, 이 과정에서 사용자의 로그인 NTLM 해시도 전송됩니다. 이것은 잠재적 피해자를 식별하고 후속 공격을 위해 대상 네트워크에 침투하기 위한 자격 증명을 수집하는 효과적인 유인처 역할을 했습니다.

이 기술은 "file://" 경로를 활용해 SMB 연결을 트리거하는 방법으로, 2018년 3월 15일 미국 사이버 보안 및 인프라 보안국(US-CERT) 에 의해 처음 공개되었습니다. 이 기술은 러시아 정부와 연관된 것으로 추정되는 Dragonfly 위협 행위자가 에너지 산업 및 기타 핵심 인프라 분야를 표적으로 삼아 사용한 고도화된 기술로 알려져 있습니다.

82.118.242[.]243에서 호스팅되는 SWC?

위에서 설명한 SMB 자격 증명 도용과 관련된 IP인 82.118.242[.]243의 등록 세부 정보는 결정적이지 않은 것으로 판명되었습니다. WHOIS는 영국 ISP Virgin Media에 등록된 방대한 범위(82.0.0.0 - 82.47.255.255)의 IP를 참조했습니다. 그러나 MaxMind는 불가리아의 호스팅 제공업체인 Histate Global Corp.

쇼단에 나열된 취약점과 머신에 대한 검사 결과에 따르면 82.118.242[.]242는 Windows 인터넷 정보 서비스(IIS) 7.5를 실행하는 웹 서버일 가능성이 높습니다. 포트 22, 80, 88, 443, 445, 587, 902, 5985가 열려 있습니다.

82.118.242[.]243과 관련된 취약점일 가능성이 높습니다.

동일한 /24 CIDR 범위 내에 속하는 다른 IP 주소, 82.118.242[.]124, 2018년 7월에 Recorded Future에서 89라는 비정상적으로 높은 위험 점수로 표시되었습니다. 이는 Cisco Talos가 VPNFilter 봇넷과 연관된 2단계 악성 소프트웨어로 분류한 IP가 IOC 목록에 등재되었기 때문입니다. 이 봇넷은 미국 법무부(DOJ)에 의해 APT28과 연관된 것으로 확인되었습니다.

웹 서버 82.118.242[.]243의 취약점 기반 "file://" SMB 자격 증명 탈취 기법을 사용하여 피해자를 해당 IP로 유도하는 것으로 보아, 위협 행위자가 이 캠페인 기간 동안 웹 서버를 손상시키고 이를 피해자로부터 불법적으로 SMB 자격 증명을 획득하기 위한 표적 워터링홀로 사용한 것으로 추정됩니다.

WIN-AB2I27TG6FK 및 중국 위협 행위자 TEMP.Periscope

호스트 이름 WIN-AB2I27TG6FK는 VPN IP 193.180.255[.]2에서 스피어피시를 전송하는 디바이스의 NetBios 서버 이름으로 관찰되었습니다.

호스트 이름 WIN-AB2I27TG6FK에 대한 오픈 소스 연구 결과, URL scsnewstoday[.]com/news/에 호스트 이름이 파일 이름에 포함된 여러 파일을 호스팅하는 오픈 디렉토리(Google 캐시 링크)가 발견되었습니다(아래 도메인 스냅샷 참조). 해당 도메인은 이전에 중국 위협 행위자 TEMP.Periscope가 AIRBREAK 다운로드어를 배포하기 위해 사용한 C2로 보고되었습니다. AIRBREAK(Orz로도 알려져 있음)는 JavaScript 기반의 백도어로, 해킹된 웹페이지 내 숨겨진 문자열에서 명령어를 가져오고 합법적인 서비스에 있는 공격자 제어 프로필에서 명령어를 수신합니다.

http://scsnewstoday\[.]com/news에서 호스팅되는 열린 디렉터리의 파일 목록입니다.

AIRBREAK 외에도, scsnewstoday C2 서버는 캄보디아의 선거를 앞두고 캄보디아 기관을 표적으로 삼은 TEMP.Periscope 악성 활동과 관련된 다른 악성 소프트웨어 및 로그를 호스팅한 것으로 보고되었습니다. 영국 공학 기업을 대상으로 한 스피어 피싱 공격은 이 캠페인이 진행 중이던 2018년 7월 초에 발생했습니다. 파일 이름에 사용된 명명 규칙을 고려할 때, C2S와 S2C는 호스트 이름 WIN-AB2I27TG6FK와 관련된 클라이언트-서버 및 서버-클라이언트 연결을 의미할 가능성이 높습니다. 이 호스트 이름은 scsnewstoday[.]com과 연관된 호스트 이름일 가능성이 높다고 판단됩니다. C2. TEMP.Periscope가 표적으로 삼은 클라이언트 또는 피해자와 관련된 파일 이름에 호스트 이름이 포함되어 있다면, 훨씬 더 많은 파일이 목록에 표시될 것으로 예상됩니다.

도메인 scsnewstoday[.]com은 미국 IP 주소 68.65.123[.]230에 호스팅되었습니다. 2018년 7월 11일까지 도메인 호스팅 서비스 Namecheap에 등록되었습니다. C2 도메인의 세부 정보가 하루 전에 공개되었으며, 이는 TEMP.Periscope 운영자들을 불안하게 만들었을 가능성이 있으며, 이로 인해 해당 도메인이 삭제되었을 것으로 추정됩니다. 불행히도, 공개 디렉토리가 더 이상 접근이 불가능해져서, WIN-AB2I27TG6FK 호스트명을 포함하는 세 개의 파일의 정확한 내용을 파악하는 데 어려움을 겪었습니다.

업계 보고서에 따르면, 중국 스파이 그룹 TEMP.Periscope는 2013년부터 최소한 대규모 피싱, 침투, 원격 액세스 트로이목마(RAT), 데이터 유출 활동을 수행해 왔습니다. 표적화는 주로 해운 관련 기관을 중심으로 다양한 산업 분야를 대상으로 진행되어 왔으며, 이에는 공학, 해운 및 운송, 제조업, 국방, 정부 기관, 연구 대학 등이 포함됩니다. 그러나 해당 그룹은 전문 서비스 및 컨설팅, 고기술 산업, 의료, 미디어 및 출판 분야도 주요 타겟으로 삼고 있습니다.

스피어피시 발원 IP 193.180.255[.]2

이 IP는 이메일 헤더 정보에 X-Forwarded-For IP로 표시되어, 해당 스피어 피싱의 발신자 원본 IP 주소임을 나타냅니다. WHOIS 등록 정보에 따르면 193.180.255[.]2는 Privat Kommunikation Sverige AB에 등록되어 있으며, 이는 인기 있는 상업용 VPN 서비스인 PrivateVPN의 공식 회사명입니다. 해당 기업은 OpenVPN을 TCP/UDP, L2TP, IPSEC, PPTP 및 IKEv2 프로토콜을 통해 지원한다고 밝혔습니다.

레코디드 퓨처는 193.180.255[.]2와 관련된 세 개의 VPN 연결을 확인했습니다. 2018년 6월 30일부터 7월 1일 사이의 IP입니다. 세 연결 모두 방글라데시 IP 103.198.138[.]187에서 시작된 UDP 500(IKE/IKEv2)을 통해 이루어졌습니다.

또한 2018년 7월 3일부터 7월 10일 사이에는 193.180.255[.]2 C2 82.118.242[.]243의 악성 SMB 자격 증명을 수집하기 위해 SSH(TCP 22), NetBios(TCP 139), Microsoft SMB(TCP 445) 연결을 설정했습니다. 흥미롭게도 이러한 연결은 스피어피싱이 전송된 7일 동안 발생했습니다.

영국 엔지니어링 회사를 대상으로 한 TEMP.Periscope의 과거 타겟팅 기록

7월의 이 공격에 앞서 2017년 5월에도 동일한 영국 엔지니어링 회사가 표적이 된 적이 있습니다. 이 캠페인은 이터널블루 익스플로잇과 고유한 DNS 터널러 백도어를 사용했습니다. 공격에 사용된 DNS 터널러는 티센크루프-마린시스템[.]org의 하위 도메인과 통신하도록 구성되었습니다. 이 도메인은 해양 엔지니어링을 전문으로 하는 독일 방위산업체 티센크루프 마린 시스템즈(ThyssenKrupp Marine Systems)를 사칭한 것이 분명합니다. 스푸핑된 도메인을 호스팅하는 것 외에도 네덜란드에 본사를 둔 HostSailor VPS IP 185.106.120[.]206을 호스팅합니다. 또한 위협 행위자가 사용하는 멀웨어와 도구가 포함된 개방형 디렉터리를 호스팅했는데, 이는 TEMP.Periscope scsnewstoday[.]com과 다르지 않습니다. C2를 열고 디렉터리를 설정합니다.

Recorded Future의 스푸핑된 도메인 분석 결과, 이 서버는 SeDll JavaScript 로더(SHA256: 146aa9a0ec013aa5bdba9ea9d29f59d48d43bc17c6a20b74bb8c521dbb5bc6f4로, 이 파일은 2017년 8월에 Leviathan(TEMP.Periscope로도 알려져 있음)에 의해 다른 JavaScript 백도어인 AIRBREAK을 실행하는 데 사용되었습니다. 중요한 점은 레비아탄(Leviathan)이 중국 위협 행위자로 처음 언급된 시점이 2017년 10월이라는 점입니다. 이는 TEMP.Periscope가 6개월 전 영국 공학 기업을 표적으로 삼을 때 동일한 인프라를 사용했음을 의미합니다.

2017년 11월, 마이크로소프트 이퀘이션 에디터 취약점 CVE-2017-11882를 활용한 또 다른 스피어피시가 영국 엔지니어링 회사에 발송되었습니다. 이 공격은 코발트 스트라이크 페이로드를 전달했습니다.

결론 및 전망

스피어피시 시도를 통해 여러 위협 행위자들의 최근 활동과 연관된 일련의 TTP가 발견되었습니다: APT28, Dragonfly 및 TEMP.Periscope. 이 공격에서 관찰된 주요 TTP를 시간순으로 나열하여 이러한 TTP에 대해 공개된 보고에서 모방된 기법의 가능성에 대한 주의를 환기시키고자 합니다. 아래 표에 요약되어 있습니다:

공격에 사용된 것으로 관찰된 TTP 요약 및 유사한 APT TTP에 대한 링크.

나열된 APT28, Dragonfly 및 TEMP.Periscope TTP의 대부분이 이미 공개되었으므로, 관찰된 활동에는 세 가지 가능성이 있는 시나리오가 있다고 생각합니다:

• 러시아 위협 행위자가 TEMP.Periscope TTP를 차용한 것으로 밝혀졌습니다.
• TEMP.Periscope는 러시아의 위협 행위자 TTP를 차용했습니다.
• 또 다른 위협 행위자는 러시아 그룹과 TEMP.Periscope의 TTP를 사용했습니다.

위의 세 가지 가설 중 어떤 것이 우리의 관찰을 가장 잘 설명하는지 평가하기 위해 이 보고서에 자세히 설명된 축적된 증거를 평가했습니다.

첫째, 공격자가 IP 193.180.255[.]2를 사용한 것이 확실합니다. 를 스피어피시를 전송하는 VPN 엔드포인트로 사용하는 이유는 이 IP 주소가 스웨덴 VPN 서비스인 PrivateVPN으로 확인되기 때문입니다. 또한 스피어피시를 전송한 디바이스가 WIN-AB2I27TG6FK 호스트 이름과 연관된 것으로 확인되었습니다. 또한 이 호스트 이름이 디렉토리가 열려 있는 알려진 TEMP.Periscope C2에서 호스팅되는 여러 파일의 파일 이름에 사용되었음을 알 수 있습니다. 이 보고서의 앞부분에서 설명한 바와 같이, 스피어피시 발신자인 WIN-AB2I27TG6FK는 scsnewstoday[.]com에서 호스팅되는 TEMP.Periscope 오픈 디렉토리의 호스트 이름인 것으로 추정됩니다.

이 스피어피싱은 2018년 7월 6일에 전송되었습니다. 불과 며칠 후, 파이어아이는 2018년 7월 캄보디아 선거를 겨냥해 scsnewstoday[.]com에 호스팅된 오픈 디렉터리를 C2로 사용한 TEMP.Periscope 캠페인에 대해 보고했습니다. 이 보고서는 동일한 인프라가 적어도 2017년 4월부터 활성화되었을 가능성이 높다고 지적했습니다.

둘째, 스피어 피싱 링크에 포함된 "file://" 경로는 C2 서버 82.118.242[.]243로 연결됩니다. SMB를 통해 자격 증명을 훔치기 위해 설계되었습니다. 이 기술은 2018년 3월 미국 사이버 보안 및 인프라 보안국( US-CERT) 에 의해 드래곤플라이 위협 행위자의 TTP(전술, 기술, 절차)로 공개적으로 문서화되었습니다. 이는 관측된 공격이 발생하기 약 4개월 전의 일입니다.

82.118.242[.]243에서 관찰된 호스트 이름 IP는 WIN-PRH492RQAFV로, GitHub의 포크된 응답자 스크립트에서 하드 코딩된 것을 발견했습니다. 2017년 8월에 발표된 보고에 따르면 원래의 응답자 스크립트는 이전에 또 다른 러시아 위협 행위자인 APT28이 사용한 적이 있습니다.

일부 APT28, Dragonfly 및 TEMP.Periscope TTP 공개 및 활동의 타임라인입니다.

TEMP.Periscope는 2017년 10월 이후 연구 커뮤니티에서 적극적으로 추적되어 왔습니다. 이는 FireEye가 2017년 8월에 APT28의 Responder 사용을 공개한 지 두 달 후입니다.² 2018년 이후 TEMP.Periscope 활동에 대한 보도들이 급증했으며, 미국과 유럽의 해양 공학 기업들 및 캄보디아 정부를 대상으로 한 캠페인이 진행되었습니다. 여기서 주의해야 할 점은 우리가 관찰한 스피어피싱이 캄보디아에 기반을 둔 기자의 이름을 포함한 이메일 계정으로 전송되었으며, 이전에 캄보디아 관련 주제를 보도한 호주 기자의 계정을 위장한 계정에서 발송되었다는 점입니다.

따라서 러시아 툴링의 타임라인이 공개되기 전에 템프페리스코프 캠페인이 공개되면서 템프페리스코프가 어트리뷰션 노력을 방해하거나 단순히 효과적이라고 판단되는 기법을 사용하기 위해 TTP를 조정했을 가능성이 높습니다.

scsnewstoday[.]com과 인프라가 중복됩니다. 이 도메인은 영국 엔지니어링 회사에 스피어피시가 전송된 지 불과 며칠 후에 TEMP.Periscope가 사용한 것으로 파이어아이에 의해 공개적으로 보고되었기 때문에 다른 위협 행위자가 C2를 침해했을 가능성은 매우 낮습니다. 또한, 적어도 2017년 5월부터 템프페리스코프가 이 영국 엔지니어링 회사를 장기적으로 표적으로 삼았다는 점은 이 그룹의 끈질긴 접근 시도를 강조합니다.

이 보고서에서 설명한 가용 데이터와 증거를 바탕으로 Recorded Future는 중국 위협 행위자 TEMP.Periscope가 다른 위협 그룹의 TTP를 재사용하여 영국 엔지니어링 회사를 표적으로 삼아 민감한 독점 기술 및 데이터에 액세스할 가능성이 있다고 중간 정도의 신뢰도를 가지고 평가합니다. 템프페리스코프는 APT28이나 드래곤플라이와 같은 다른 그룹으로부터 학습하여 피해자 네트워크에 대한 액세스 성공 가능성을 높이거나 어트리뷰션 시도를 난독화하기 위해 TTP를 빠르게 조정할 수 있는 능력을 보여주었습니다.

레코디드 퓨처는 템프페리스코프가 첨단 방위 및 엔지니어링 분야의 조직을 지속적으로 공략할 것으로 예상하고 있습니다. 특히 해양 공학 분야에서 첨단 기술을 개발해야 하는 중국의 전략적 요구는 중국이 남중국해 영토를 장악하려는 움직임에 따라 여전히 집중되고 있습니다. TEMP.Periscope는 여전히 광범위하게 성공하고 있고 상대적으로 저렴한 비용으로 사용할 수 있기 때문에 계속해서 상용 멀웨어를 사용할 것으로 예상됩니다. 이들은 피해자의 네트워크에 접근하기 위해 공개적으로 보고된 기술을 악용하고 사용하는 '유행하는' 취약점을 계속 관찰할 것입니다.

마지막으로 레코디드 퓨처는 위협 행위자들이 인프라를 보호하고 경쟁 행위자들이 사용하는 기술을 관찰하기 위해 출판물과 데이터 소스를 모니터링하면서 서로를 적극적으로 모방하고 있다고 보고 있습니다. 공격자들은 올림픽 파괴자 캠페인에서 관찰된 것처럼 기술적 수단이나 기술 에뮬레이션을 통해 계속해서 허위 깃발을 심을 것으로 예상됩니다. 탐지 수단이 크게 개선됨에 따라 코드 중복을 공개적으로 식별하고 TTP를 매핑하는 것은 잘 조율된 작업의 손에 달려 있으며, 이는 이제 어트리뷰션 결과를 어둡게 만들 수 있습니다. 보고서에 언급된 샘플과 기법은 이제 이러한 문제에 대한 대중의 보고가 많기 때문에 신규 또는 진행 중인 캠페인에 빠르게 적용될 수 있습니다. 이러한 혼란을 통해 표적 캠페인은 노이즈에 더 잘 섞여 적 그룹 간의 경계를 모호하게 만들 수 있습니다.

네트워크 방어 권장 사항

레코디드 퓨처는 네트워크 액세스 권한을 얻기 위해 자격 증명을 도용하려는 TEMP.Periscope의 시도를 방어할 때 다음과 같은 조치를 수행할 것을 조직에 권장합니다:

• 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 또는 네트워크 방어 메커니즘을 구성하여 부록 A에 나열된 외부 IP 주소 및 도메인의 불법 연결 시도를 경고하도록 하고 검토 후 차단하는 것을 고려하세요.
• 부록 B에 제공된 Snort 규칙을 IDS 및 IPS 어플라이언스에 포함시켜 SMB 자격 증명 도용 시도를 탐지하세요. 또한, 해당되는 경우 부록 B에 제공된 Bro 쿼리를 사용하여 네트워크에서 이 보고서에 자세히 설명된 TEMP.Periscope TTP의 징후를 찾아보세요.
• Recorded Future의 API를 사용하여 이 보고서(부록 A)에 나열된 지표를 엔드포인트 탐지 및 대응(EDR) 플랫폼으로 가져올 수 있습니다.
• 부록 A의 지표에 대한 연결을 경고하고 차단하도록 엔드포인트 탐지 및 응답 트래픽을 구성하세요.
• 부록 C에 제공된 Yara 규칙을 활용하여 네트워크에서 스피어피싱이 조직에 전송된 증거를 검색하세요.
• 네트워크 전반의 SMB 트래픽, 특히 SMB를 통해 인증하려는 외부 시도를 모니터링하고 제한하세요.

관련 보안 침해 지표의 전체 목록을 보려면 부록을 다운로드하세요.

^1P4wnP1은라즈베리 파이 제로 컴퓨터를 기반으로 하는 고도로 사용자 정의 가능한 USB 공격 플랫폼입니다.

² F-Secure는 2016년 8월에 난하이슈 RAT에 대한 조사 결과를 발표했으며, 이후 TEMP.Periscope(리바이어던)의 소행으로 밝혀졌습니다.