중국 국가 지원 단체인 RedDelta, 적응형 PlugX 감염 체인으로 대만, 몽골, 동남아시아 표적화

요약:

2023년 7월부터 2024년 12월까지 Insikt Group은 중국 정부가 후원하는 RedDelta라는 단체가 몽골, 대만, 미얀마, 베트남, 캄보디아를 대상으로 맞춤형 PlugX 백도어를 배포하기 위해 개조된 감염 체인을 사용하는 것을 관찰했습니다. 이 단체는 2024년 대만 대통령 후보 테리 고우(Terry Gou), 베트남 국경일, 몽골의 홍수 방지, 동남아시아국가연합(ASEAN) 회의 같은 회의 초대를 주제로 한 미끼 문서를 사용했습니다. RedDelta는 2024년 8월 몽골 국방부를, 2024년 11월 베트남 공산당을 침해했을 가능성이 높습니다. 이 단체는 베트남 공안부를 대상으로 스피어피싱을 수행했지만, Insikt Group은 성공적인 침해의 증거를 관찰하지 못했습니다. 2024년 9월부터 12월까지 RedDelta는 말레이시아, 일본, 미국, 에티오피아, 브라질, 호주, 인도에서 피해자를 대상으로 했을 가능성이 높습니다.

2023년 말, RedDelta는 스피어피싱을 통해 전달되었을 가능성이 있는 Windows 바로가기(LNK) 파일을 활용하여 감염 체인의 첫 단계를 전개했습니다. 2024년에 이 단체는 Microsoft 관리 콘솔 스냅인 제어(MSC) 파일을 사용하는 것으로 방식을 전환했습니다. 가장 최근에 RedDelta는 피해자가 Microsoft Azure에서 원격으로 호스팅된 HTML 파일을 로드하도록 유도하기 위해 스피어피싱 링크를 사용했습니다. 2023년 7월부터 RedDelta는 지속적으로 Cloudflare 콘텐츠 배포 네트워크 (CDN)를 사용하여 명령 및 제어(C2) 트래픽을 프록시로 처리해 왔습니다. 이를 통해 이 단체는 합법적인 CDN 트래픽과 섞여 피해자 식별을 복잡하게 만들고 있습니다. 러시아의 BlueAlpha를 포함한 다른 국가 지원 단체들도 탐지를 피하기 위해 Cloudflare를 유사하게 활용했습니다.

RedDelta의 활동은 동남아시아, 몽골 및 유럽의 정부 및 외교 기관에 초점을 맞춘 중국의 전략적 우선순위와 일치합니다. 2023년과 2024년에 이 단체가 아시아에 초점을 맞춘 것은 2022년에 유럽 조직을 표적으로 삼은 후 이전의 방식으로 복귀한 것을 의미합니다. RedDelta가 몽골과 대만을 겨냥한 것은 이 단체가 과거에 중국 공산당의 권력에 위협이 된다고 여겨지는 단체들을 표적으로 삼았던 것과 일치합니다.

RedDelta 정보:

RedDelta는 최소 2012년부터 활동해 왔으며 동남아시아와 몽골을 표적으로 삼는 데 중점을 두었습니다. 이 단체는 세계적인 지정학적 사건에 대응하여 표적을 일상적으로 조정해 왔습니다. RedDelta는 2021년 중국과 바티칸 간의 회담 전에 PlugX를 사용하여 바티칸 및 기타 가톨릭 조직을 표적으로 삼았습니다. 이 단체는 인도의 법 집행 기관과 정부 기관, 인도네시아의 정부 조직, 그리고 미얀마, 홍콩, 호주 전역의 다른 표적들을 침해했습니다.

2022년, 러시아의 우크라이나 침공 이후 RedDelta는 유럽 정부 및 외교 기관을 더욱 집중적으로 표적으로 삼았습니다. 이 활동에서는 스피어피싱을 통해 전달된 것으로 보이는 아카이브 파일(ZIP, RAR 또는 ISO)로 시작되는 감염 체인을 사용했습니다. 이 파일에는 이중 확장자(예: .doc.lnk)와 Microsoft Word 아이콘으로 위장된 Windows 바로 가기(LNK) 파일이 포함되어 있었습니다. 아카이브 내의 숨겨진 폴더에는 DLL(동적 링크 라이브러리) 검색 순서 탈취를 수행하는 데 사용된 세 가지 파일인 정상적인 바이너리, 악성 DLL 로더, 최종적으로 메모리에 로드된 암호화된 PlugX 페이로드가 포함되어 있었습니다. 사용자가 바로 가기 파일을 실행하면 DLL 검색 순서 탈취가 발생했습니다. 2022년 11월, RedDelta는 위협 행위자가 제어하는 도메인에 ISO 파일을 배치하기 위해 전술을 발전시켰습니다.

2023년 3월, Insikt Group은 RedDelta가 몽골을 표적으로 삼은 것을 확인했습니다. 컨테이너 파일(RAR, ZIP, ISO)로 시작하는 유사한 감염 체인을 사용했으며 여기에 포함된 LNK 파일이 숨겨진 중첩된 하위 디렉터리에 위치한 DLL 검색 순서 탈취 트라이어드를 트리거했습니다. 미끼 문서에는 세계 몽골 협회의 초청장과 티베트 불교 및 몽골에 관한 BBC 뉴스 인터뷰라고 주장하는 문서가 포함되어 있었습니다. RedDelta 표적은 다음과 같습니다.

• 내몽골 자치구에 초점을 맞춘 인권 및 민주화 비정부기구(NGO)를 포함한 복수의 몽골 NGO 회원들
• 몽골과 일본에 있는 몽골 불교 활동가들
• 몽골과 일본의 학문적 전문가
• 몽골 모바일 애플리케이션 두 개의 개발자

완화 조치:

RedDelta 활동을 탐지하고 완화하기 위해 조직은 다음을 수행해야 합니다.

• Insikt Group에서 제공한 YARA 및 Sigma 규칙을 사용하여 RedDelta Windows Installer(MSI), DLL 및 LNK 파일을 탐지합니다(아래 참조).
• 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 및 기타 네트워크 방어 메커니즘을 구성하여 RedDelta와 관련된 외부 IP 주소 및 도메인의 연결 시도를 경고하거나 차단합니다(아래 참조).
• 소프트웨어 및 애플리케이션, 특히 운영 체제, 안티바이러스 소프트웨어 및 핵심 시스템 유틸리티를 최신 상태로 유지합니다.
• 이메일 서신을 필터링하고 첨부 파일에 멀웨어가 있는지 면밀히 조사하세요.
• 정기적으로 시스템 백업을 수행하고 오프라인 및 외부에 저장하여 네트워크를 통해 접근할 수 없도록 합니다.
• 회사 기밀 데이터의 엄격한 분리를 준수하고, 역할 기반 접근을 도입하며, 회사 전체의 데이터 접근을 제한합니다.
• 클라이언트 기반 호스트 로깅 및 침입 탐지 기능을 배포하여 공격을 조기에 식별하고 차단합니다.
• 구식 인증 방법을 비활성화하여 위협 행위자가 보안을 우회하는 것을 방지합니다.
• 탐지 소스를 수동으로 모니터링하면서 네트워크 IDS, NetFlow 수집, 호스트 로깅, 웹 프록시와 같은 도구를 구현합니다.
• 네트워크 세분화를 실천하고 민감한 정보를 보호하기 위해 다단계 인증 및 제한된 액세스와 같은 특별한 조치를 취합니다.

Recorded Future® Third-Party Intelligence 모듈 및 Threat Intelligence Browser Extension을 활용하여 실시간 모니터링과 우선순위에 따른 취약성 패치 적용을 수행하세요.

중국의 지능적이고 지속적인 위협 활동을 더 광범위하게 완화하기 위한 포괄적인 권장 사항은 공개 지침(1, 2, 3, 4) 및 Insikt Group의 “주요 글로벌 사이버 강국으로 중국의 도약 분석” 보고서를 검토하세요.

전망:

Insikt Group은 RedDelta가 맞춤형 PlugX 백도어를 사용하여 전 세계 조직을 계속해서 표적으로 삼을 것으로 예상하며, 특히 동남아시아와 몽골 및 대만을 비롯한 중국 주변 지역에 집중할 것으로 보입니다. 잠재적인 표적에는 정부, NGO, 활동가 및 종교 단체가 포함될 수 있습니다. RedDelta는 감염 체인을 지속적으로 발전시켜 왔으며, 주요 지정학적 발전에 대응하여 앞으로도 계속 진화할 것으로 예상됩니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

부록 A — 침해 지표

부록 B — Mitre ATT&CK 기법

부록 C — YARA 및 Sigma 규칙

YARA 및 Sigma 규칙은 전체 보고서(여기)에서 확인할 수 있습니다.