데이터 소스에는 Recorded Future® 플랫폼, 파사이트 시큐리티의 DNSDB, 보안 트레일, 바이러스 토탈, 쇼단, 바이너리엣지 및 일반적인 OSINT 기법 등이 있습니다. _

이 보고서는 아시아에 진출한 민간 부문, 공공 부문, 비정부기구의 네트워크 방어자들과 중국 지정학에 관심이 있는 사람들에게 가장 큰 관심을 끌 것입니다.

Executive Summary

이전 인식트 그룹의 보고 이후 2개월 동안 레드델타는 바티칸 및 기타 가톨릭 단체를 표적으로 삼았다는 광범위한 공개 보고에도 크게 동요하지 않았습니다. 이 보고 직후 지휘 및 통제(C2) 도메인의 해상도 상태를 변경하여 기본적인 작전 보안 조치를 취했음에도 불구하고 그룹의 전술, 기술 및 절차(TTP)는 일관성을 유지했습니다. 레드델타의 끈기는 보고서 발표 후 2주 만에 바티칸과 홍콩 가톨릭 교구 메일 서버에 대한 공격을 재개한 것에서도 잘 드러납니다. 더 광범위하게는 가톨릭, 티베트-라다크 관계, 유엔 총회 안보리 등을 주제로 한 미끼 문서가 포함된 플러그엑스 샘플과 미얀마 정부 시스템과 홍콩 대학 2곳을 대상으로 한 추가적인 네트워크 침입 활동 등 이 그룹의 소행으로 추정되는 새로운 활동도 있었습니다.

주요 판단

• 레드델타는 중국의 전략적 우선순위에 따라 계속 운영되고 있습니다. 이는 이 그룹이 바티칸과 홍콩 가톨릭 교구를 지속적으로 표적으로 삼고, 중국 내 가톨릭교와 티베트-라다크 관계 등 중국이 우려하는 지정학적 이슈를 중심으로 사이버 스파이 활동과 일치하는 방식으로 표적 미끼 문서를 사용하는 것에서 더욱 잘 드러납니다.
• 레드델타 그룹이 공개적으로 보고된 인프라와 TTP를 재사용하는 것은 운영상의 성공을 경험하고 있는 그룹으로 보이며, 레드델타는 액세스가 유지되는 한 공개적으로 알려진 인프라를 계속 사용하겠다는 실용적인 운영 보안 접근 방식을 강조하는 것일 수 있습니다.

배경

2020년 7월 28일, 국가안보 연구소( Insikt Group )는 연구 결과를 발표하여, 바티칸과 홍콩 가톨릭 교구가 중국 정부 후원 위협 활동 그룹으로 의심되는 RedDelta의 표적 공격 대상에 포함된 가톨릭 교회 관련 기관 중 일부임을 확인했습니다. 이 일련의 의심스러운 네트워크 침입 사건은 홍콩 중국 연구단과 이탈리아의 교황청 외국 선교 연구소(PIME)를 대상으로도 이루어졌습니다. Insikt Group 중국 공산당(CCP)이 가톨릭 교회와 관련된 단체를 표적으로 삼는 것은 중국 내 '지하' 가톨릭 교회에 대한 통제 강화, 중국 내종교의 '중국화' 정책, 그리고 중국 가톨릭 공동체 내에서 바티칸의 영향력을 약화시키려는 CCP의 목표를 반영하는 것으로 평가되었습니다.

인식트 그룹은 가톨릭 교회와 관련된 단체를 표적으로 삼은 것 외에도 인도의 법 집행 기관 및 정부 기관, 인도네시아의 정부 기관, 미얀마, 홍콩, 호주 전역의 기타 확인되지 않은 표적에 영향을 미치는 네트워크 침입도 확인했습니다. 이 활동에서 이 그룹은 '레드델타 플러그엑스', 코발트 스트라이크 비콘, 포이즌 아이비라는 맞춤형 플러그엑스 변종을 포함한 여러 멀웨어 변종을 사용했습니다.

위협 분석

레드델타 게시 후 정리

2020년 7월 28일에 RedDelta 보고서 원본이 발표된 후, 이 그룹은 침입에 사용된 인프라와 관련된 여러 가지 회피 조치를 취했으며, 여기에는 식별된 명령 및 제어(C2) 도메인 여러 곳에서 IP 해상도 변경이 포함되었습니다. 예를 들어, 레드델타 연구가 발표된 지 하루도 지나지 않아 '포이즌 아이비/코발트 스트라이크' 클러스터 내에서 확인된 모든 C2 하위 도메인의 해결이 중단되었습니다.

또한 플러그엑스 C2 도메인의 호스팅 IP는 다음과 같습니다. 2020년 8월 3일에 167.88.180[.]32에서 103.85.24[.]149로 전환되었습니다. 그러나 확인된 모든 인프라에서 이러한 현상이 발생한 것은 아닙니다. 초기 보고서에서 확인된 여러 침입 사례에서 많은 플러그엑스 C2 서버가 계속 사용 중이었습니다. 이러한 대조는 액세스가 유지되는 한 공개적으로 알려진 인프라를 계속 사용하겠다는 그룹의 의지를 강조합니다.

레드델타, 바티칸과 홍콩 가톨릭 교구 표적 공격 재개

레코디드 퓨처 네트워크 트래픽 분석을 사용하여 대상 조직과 레드델타 C2 인프라 간의 통신을 분석한 결과, 보고서 발표 직후 가톨릭 교회 조직 간의 네트워크 통신이 중단된 것을 확인했습니다. 하지만 이는 오래가지 못했고, 10일 만에 홍콩 가톨릭 교구 메일 서버를, 14일 만에 바티칸 메일 서버를 표적으로 삼는 공격으로 돌아갔습니다. 이는 앞서 언급한 레드델타의 높은 위험 감수성 외에도 정보 수집을 위해 이러한 환경에 대한 액세스를 지속적으로 유지하려는 레드델타의 끈기를 보여줍니다.

2020년 9월 10일, 중국 외교부는 2018년 중화인민공화국(PRC)과 교황청 간의 협정이 "성공적으로 이행되었다"고 발표했으며, 협정 연장 발표가 오는 몇 주 내에 이루어질 것으로 예상된다고 밝혔습니다. 이 발표의 시점은 바티칸 네트워크를 대상으로 한 RedDelta의 활동이 일주일 전에 진정된 이후에 이루어졌으며, 8월 말 중국 외교부 장관 왕이(王毅)의 로마 방문 이후에 이어졌습니다. 이는 해당 그룹의 정보 수집 임무가 완료되었거나 더 이상 필요하지 않을 수 있음을 시사합니다. 이전 보고서 이후의 기간 동안 해당 단체가 바티칸 네트워크에 다시 접근할 수 있었는지 여부는 명확하지 않습니다. 그러나 이러한 시도 이후 새로운 '레드델타 가톨릭 교회'를 주제로 한 유인 문서가 등장하면서, 중국 공산당(CCP)이 중국 내 가톨릭 공동체에 대한 감독을 강화하려는 의도를 다시 한 번 드러내고 있습니다.

중국의 전략적 이해관계에 따른 추가 타겟팅

레드델타는 중국의 전략적, 지정학적 이해관계에 부합하는 조직을 지속적으로 표적으로 삼고 있습니다. 이전 보고서에서는 2018년 중국과 교황청의 협정 갱신을 앞두고 두 국가 간의 회담을 앞두고 여러 가톨릭 교회 조직을 대상으로 한 일련의 네트워크 침입 및 피싱 시도를 이 그룹과 연관시켰습니다. 그 사이 이 그룹은 중국 내 가톨릭, 티베트-라다크 관계, 유엔 총회 안전보장이사회를 언급하는 추가 미끼를 사용해 공격 대상 컴퓨터에 플러그엑스를 로드하려고 시도했습니다.

첫 번째 샘플은 이전 레드델타 보고서에서 설명한 샘플과 유사한 방식으로 로드됩니다. 1단계 DLL 사이드 로딩 단계에서는 다시 합법적인 Microsoft Word 실행 파일을 사용하여 1단계 DLL 로더를 사이드 로딩하며, 두 파일은 처음에 zip 파일 안에 저장됩니다. 이 경우, 해당 zip 파일은 구글 드라이브에 저장된 것으로 보이며 스피어피싱 링크를 통해 사용자가 다운로드하도록 유도합니다. 첫 번째 DLL 사이드 로딩 단계가 끝나면 http://103.85.24[.]161/8.dat에서 암호화된 PlugX DAT 페이로드가 검색됩니다.

이전에 식별된 RedDelta PlugX 샘플과 달리, 이 샘플은 이전에 분석된 샘플에서 사용된 합법적인 Adobe 실행 파일이 아닌 두 번째 DLL 사이드 로딩 단계에 합법적인 Avast Proxy 실행 파일을 사용합니다. 메모리에 로드된 플러그X 페이로드는 명령 및 제어를 위해 가톨릭 교회 테마의 플러그X 샘플에서 사용된 것과 동일한 도메인인 www.systeminfor[.]com을 사용합니다. 새로 분석된 4개의 샘플 모두에서 1단계 DLL 로더 파일은 이전에 관찰된 1단계 RedDelta PlugX DLL과 동일하고 흔하지 않은 가져오기 해시와 리치 헤더를 공유합니다. 또한 로드된 PlugX 페이로드는 앞서 설명한 맞춤형 RedDelta PlugX 변형과 일치하며, 동일한 하드코딩된 RC4 암호 구문 및 구성 블록 디코딩 기능과 함께 C2 통신에 RC4 암호화를 사용합니다.

이 샘플에서는 그림 3과 같이 '티베트-라다크 관계의 역사와 현대적 함의'라는 제목의 미끼 문서가 사용자에게 표시됩니다. 이 샘플의 구체적인 표적은 불분명하지만, 최근 이 지역에서 중국과 인도 간의 국경 긴장이 고조되고 티베트가 중국 국가가 후원하는 사이버 스파이 활동의 빈번한 표적이 되고 있는 상황에서 라다크에 대한 언급이 포함된 것은 특히 흥미롭습니다. 다른 여러 레드델타 샘플과 마찬가지로 미끼 문서의 내용은 합법적인 출처에서 가져온 것으로, 이 경우에는 아시아 태평양 시사 뉴스 사이트인 더 디플로맷의 2020년 7월 기사에서 가져온 것입니다.

두 번째 PlugX 샘플은 위의 티베트-라다크 샘플과 거의 동일한 방식으로 로드되며, 이 경우 http://103.85.24[.]158/eeas.dat에서 암호화된 PlugX DAT 페이로드를 검색합니다. 이 샘플은 가톨릭 교회 PlugX 샘플 중 하나에서 볼 수 있는 DLL 사이드 로딩에 취약한 동일한 Adobe 실행 파일을 사용하며, 2단계 사이드 로딩에는 위의 티벳-라다크 샘플에서 볼 수 있는 Avast Proxy 실행 파일을 사용합니다. 이번에도 악성 링크가 포함된 스피어피싱을 통해 전송된 것으로 보이는 이 zip 파일은 Dropbox에 저장된 것으로 보입니다. 이 PlugX 샘플은 명령 및 제어를 위해 다시 www.systeminfor[.]com을 사용합니다.

이 샘플에서 사용된 18페이지 분량의 가짜 문서(그림 4에 표시됨)는 유엔 총회 사무총장이 작성한 "2020년 평화 구축 및 평화 유지에 관한 사무총장 보고서"의 고급 편집되지 않은 초안이라고 주장합니다. 그러나 해당 보고서는 유엔 웹사이트에서 합법적으로 입수된 것으로 추정되며, "Advanced Unedited Edition" 분류를 추가하고 날짜를 변경하기 위해 조작된 것으로 보입니다. 정식 보고서는 2020년 8월 4일에 발표되었으며, 10월에 개최될 예정인 제75차 총회 전에 공개되었습니다. 유엔은 웹사이트를 통해 해당 보고서가 2020년 유엔 평화구축 체제 검토의 주요 자료가 될 것이라고 밝혔으며, 해당 보고서는 유엔 소속 주요 기관들로 구성된 핵심 그룹에 의해 작성 중이라고 설명했습니다.

이 특정 샘플의 구체적인 목표는 명확하지 않지만, 시의적절한 지정학적 문제를 기반으로 한 공개 문서를 미끼로 사용하는 방법은 이전에 RedDelta 유인물에서 여러 차례 관찰되었습니다. 또한, 이 샘플에서 확인된 DAT 페이로드 파일 이름인 eeas.dat는 유럽 연합의 외교 서비스이자 외교부와 국방부를 통합한 기관인 유럽 외부 행동 서비스(EEAS)를 가리키는 것으로 추정됩니다. 머스탱 판다(Mustang Panda)는 밀접하게 겹치는 위협 활동 그룹으로, 과거 역사적인 활동에서 유엔 안전보장이사회(UN Security Council)를 주제로 한 유인물을 사용한 바 있습니다.

최종 두 개의 RedDelta PlugX 샘플은 다시 한 번 다른 샘플들과 매우 유사하며, 모두 http://103.85.24[.]158/hk097.dat에서 DAT 페이로드를 추출합니다. 최종적으로 quochoice[.]com을 사용하기 전에 명령 및 통제용. 이 도메인은 현재 2EZ 네트워크의 IP 주소 167.88.177[.]179에 호스팅되어 있습니다. 신규로 식별된 모든 인프라가 이전에 언급된 선호되는 호스팅 제공업체의 추세를 따르고 있습니다. "중국에서 가톨릭 신자들이 변화에 적응하는 방식: 선교학적 관점"이라는 제목의 샘플은 중국 가톨릭 학자의 저술에서 발췌된 것으로, 중국 내 기독교에 초점을 맞추고 있으며, 다른 하나는 2020년 2월에 Independent Catholic News에 게재된 기사에서 발췌된 것입니다. 이것은 다시 한 번 RedDelta가 가톨릭 교회와 관련된 조직 및 개인에 대한 정보 수집 임무를 수행하고 있음을 강조합니다.

미얀마 및 홍콩의 레드델타

이전 RedDelta 보고서에서 우리는 미얀마와 홍콩의 통신업체에 할당된 IP 주소와 RedDelta C2 인프라 간에 다양한 네트워크 통신이 이루어지는 것을 관찰했습니다. 홍콩과 미얀마는 모두 밀접하게 겹치는 그룹인 머스탱 판다(1,2)의 역사적인 표적이 되어 왔습니다. 임시 기간 동안 우리는 PlugX (C2 103.85.24[.]149)를 식별했습니다. 미얀마의 정부 시스템을 표적으로 삼은 것으로 추정되는 네트워크 침입 사건이 발생했으며, 이는 RedDelta와 연관된 것으로 판단됩니다. 이에는 미얀마 정부 전자 문서 관리 시스템용 VPN 로그인 포털이 포함되었습니다. 우리는 RedDelta가 이 활동을 2020년 8월 4일(또는 그 이전)부터 2020년 9월 2일까지 진행했다고 판단합니다. 이 시스템에 대한 접근 권한은 해당 시스템에 저장된 전자 문서에 접근하는 데 유용한 정보 원천이 될 것입니다.

미얀마 내 새로운 피해자 외에도, 우리는 추가적인 PlugX (C2 85.209.43[.]21)를 식별했습니다. 홍콩의 두 대학을 표적으로 삼은 것으로 추정되는 네트워크 침입 사건이 발생했습니다. 이 IP 주소는 현재 ipsoftwarelabs[.]com 도메인을 호스팅하고 있습니다. 이전 보고서에 언급된 대로, 홍콩을 대상으로 한 활동에 사용된 오래된 PlugX 변종과 관련된 내용입니다. 메타데이터만으로는 침해 사실을 확인하기 어렵지만, 해당 표적 조직 내 호스트에서 이러한 C2로 전송된 통신량의 대규모 및 반복적인 특성은 침해 가능성이 높음을 나타내는 충분한 증거로 판단됩니다.

완화 조치

• 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 또는 기존에 구현된 기타 네트워크 방어 메커니즘을 구성하여 부록 A에 나열된 외부 IP 주소 및 도메인으로부터의 불법 연결 시도를 탐지하고, 검토 후 차단하는 것을 고려하십시오.
• 내부 및 외부에서 액세스할 수 있는 시스템의 시스템 구성(액세스 제어 포함)을 적절히 평가하고 모든 시스템에서 강력한 비밀번호를 사용해야 합니다.
• 네트워크 세분화를 실천하고 다단계 인증, 내부 네트워크를 통해서만 액세스할 수 있어 극도로 제한된 시스템 액세스 및 저장 등 민감한 정보에 대한 특별한 보호 조치를 취합니다.
• 기본 인증과 레거시 인증은 공격자가 사내 보안 조치를 우회할 수 있으므로 가능한 경우 비활성화하세요.
• 특히 운영 체제, 바이러스 백신 소프트웨어, 핵심 시스템 유틸리티 등 모든 소프트웨어와 애플리케이션을 최신 상태로 유지하세요.
• 이메일 서신을 필터링하고 첨부 파일에 멀웨어가 있는지 면밀히 조사하세요.
• 호스트 기반 제어 사용: 공격을 차단하는 가장 좋은 방어 및 경고 신호 중 하나는 클라이언트 기반 호스트 로깅 및 침입 탐지 기능을 수행하는 것입니다.
• 네트워크 IDS, 넷플로우 수집, 호스트 로깅, 웹 프록시와 같은 기본적인 사고 대응 및 탐지 배포와 제어를 구현하고 탐지 소스에 대한 인적 모니터링도 함께 수행하세요.

전망

레드델타(RedDelta)가 공개된 인프라와 TTP(기술, 전술, 절차)를 재사용한 것은 중국 국가 후원 위협 활동 그룹 간 위험 수용 태도의 차이를 강조합니다. 일부 그룹은 광범위한 공개 보고에도 불구하고 여전히 활발히 활동하고 있습니다(예: APT41 및 RedDelta). 반면 다른 그룹은 공개 보고에 대응해 행동을 급격히 변경하거나 활동을 줄입니다(예: APT3). 모든 경우에 걸쳐, 컴퓨터 네트워크 침투(CNE) 작전이 제공하는 합리적인 부인 가능성은 중국이 이러한 활동에 대한 관여를 지속적으로 부인하게 만듭니다(1,2). 이는 역사적 증거의 축적에도 불구하고, 레드델타 사건을 포함해 마찬가지입니다.

광범위한 공개 보고에도 불구하고 레드델타의 활동이 계속되고 있는 점을 감안할 때, 그룹은 TTP를 약간 조정하면서 높은 운영 템포로 계속 운영할 것으로 예상합니다. 이전 보고서에서는 보안 및 탐지 조치에 적절히 투자할 능력이나 의지가 부족한 종교 단체 및 비정부기구(NGO)와 같은 단체를 표적으로 삼는다는 점을 강조한 바 있습니다. 이는 공개적으로 알려진 인프라와 TTP를 재사용하려는 그룹의 의지를 더욱 촉진할 것으로 보입니다.