Chinese State-Sponsored Group ‘RedDelta’ Targets the Vatican and Catholic Organizations

중국

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 내용입니다. 전체 분석 내용을 읽어보려면 여기를 클릭하세요, Click Here 를 클릭하여 보고서를 PDF로 다운로드하세요.

Insikt Group® 연구원들은 독점적인 기록된 미래 네트워크 트래픽 분석 및 RAT 컨트롤러 탐지 기능과 일반적인 분석 기술을 사용하여 중국의 국가 지원 위협 활동 그룹으로 의심되는 사이버 스파이 캠페인을 식별하고 프로파일링했으며, 이 그룹은 RedDelta로 추적하고 있습니다.

데이터 소스에는 Recorded Future® 플랫폼, 파사이트 보안의 DNSDB, 보안 트레일, 바이러스 토탈, 쇼단, 바이너리엣지, 일반적인 OSINT 기법 등이 있습니다.

이 보고서는 아시아에 진출한 민간 부문, 공공 부문 및 비정부기구의 네트워크 방어자들과 중국 지정학에 관심이 있는 사람들에게 가장 큰 관심을 끌 것입니다.

Executive Summary

2020년 5월 초부터 인식트 그룹이 추적한 중국 국가 후원 위협 활동 그룹인 레드델타의 표적이 된 여러 가톨릭 교회 관련 기관 중 바티칸과 홍콩 가톨릭 교구도 포함되어 있습니다. 이 일련의 네트워크 침입 의심 사건은 중국 주재 홍콩 연구 사절단과 이탈리아 교황청 해외 선교 연구소(PIME)도 표적으로 삼았습니다. 이러한 조직은 이 캠페인 이전에는 중국의 위협 활동 그룹의 표적으로 공개적으로 보고된 적이 없습니다.

이 네트워크 침입 사건은 2020년 9월로 예정된 2018년 중국-바티칸 임시 협정 갱신 전에 발생했습니다. 이 협정은 중국 공산당(CCP)이 역사적으로 박해받아온 중국의 '지하' 가톨릭 공동체에 대한 통제와 감독권을 강화하는 데 기여했다고 보고되었습니다. 성좌 자체 외에도, 이번 캠페인의 또 다른 주요 표적에는 현재 중국에 파견된 홍콩 연구단의 단장이 포함됩니다. 그의 전임자는 2018년 합의에서 중요한 역할을 했다고 평가받은 인물입니다.

바티칸에 대한 의심스러운 침입은 레드델타가 2020년 9월 계약 갱신 전 성좌의 협상 입장을 파악하는 데 도움을 줄 것입니다. 홍콩 연구단과 그 소속 가톨릭 교구를 대상으로 한 감시는, 광범위한 시위와 최근 홍콩 국가보안법 제정 이후 교구가 바티칸과의 관계 및 홍콩의 민주화 운동에 대한 입장을 모니터링하는 데 귀중한 정보 원천이 될 수 있습니다.

관찰된 레드델타의 TTP와 공개적으로 머스탱 팬더(BRONZE PRESIDENT 및 HoneyMyte라고도 함)로 알려진 위협 활동 그룹 사이에 상당한 중복이 있지만, 이 활동을 레드델타로 지정하게 된 몇 가지 주목할 만한 차이점이 있습니다:

이 캠페인에서 RedDelta가 사용하는 플러그엑스 버전은 다른 C2 트래픽 암호화 방식을 사용하며 기존 플러그엑스와는 다른 구성 암호화 메커니즘을 가지고 있습니다.
이 캠페인에 사용된 멀웨어 감염 체인은 머스탱 팬더가 사용한 것으로 공개적으로 보고된 바 없습니다.

인식트 그룹은 가톨릭 교회와 관련된 단체를 표적으로 삼은 것 외에도 인도의 법 집행 기관과 정부 기관, 인도네시아의 한 정부 기관을 표적으로 삼은 레드델타도 확인했습니다.

그림 1: 플러그엑스 변종과 레드델타 및 머스탱 판다에서 사용하는 감염 체인 간의 주요 차이점 선택.

주요 판단

천주교 교회와 관련된 단체를 표적으로 삼는 것은 중국 공산당(CCP)이 중국 내 '지하' 천주교 교회에 대한 통제를 강화하고, 중국 내종교의 '중국화'를 추진하며, 중국 천주교 공동체 내에서 바티칸의 영향력을 약화시키려는 목표를 반영하는 것으로 보입니다.
인싯트 그룹은 레드델타가 중국의 전략적 이익에 크게 부합하는 조직을 표적으로 삼고, 중국에 기반을 둔 그룹이 전통적으로 사용하는 공유 툴을 사용하며, 중국 정부가 후원하는 위협 활동 그룹으로 의심되는 그룹과 겹치는 점으로 보아 이 그룹이 중국 정부를 대신하여 활동할 가능성이 있다고 판단하고 있습니다.
확인된 레드델타 침입은 인프라, 툴링, 피해자 분석이 무스탕 팬더(Mustang Panda, 일명 BRONZE PRESIDENT 및 HoneyMyte)로 알려진 위협 활동 그룹과 겹치는 특징이 있습니다. 여기에는 이전에 공개 보고에서 이 그룹이 사용한 것으로 알려진 중복 네트워크 인프라 및 유사한 피해 기법의 사용과 플러그엑스, 포이즌 아이비, 코발트 스트라이크와 같이 머스탱 팬더가 일반적으로 사용하는 멀웨어의 사용이 포함됩니다.

배경

중국과 가톨릭 교회

수십 년 동안 중국 정부 후원 단체들은 중국 본토 내 종교적 소수 집단, 특히 이른바'오독(五毒)'으로 지칭되는 티베트인, 파룬궁, 위구르 무슬림 커뮤니티 등을 표적으로 삼아 왔습니다. Insikt Group 이 활동의 일부에 대해 공개적으로 보고했습니다. 예를 들어, RedAlpha, ext4 백도어, 그리고 중앙 티베트 행정부, 다른 티베트 관련 단체, 그리고 투르크스탄 이슬람당을 표적으로 삼은 Scanbox 워터링홀 캠페인을 포함한 우리의 조사 결과를 포함합니다. 최근 2020년 7월 미국 검찰의 기소장은 중국 기독교 종교 지도자들의 이메일 계정을 표적으로 삼은 사건을 공개했습니다. 이 사건에는 시안 기반의 목사 한 명과 청두의 지하 교회 목사 한 명이 포함되었으며, 후자는 이후 중국 정부에 의해 체포되었습니다. 이 두 사건은 중국 국가안전부(MSS)를 대신해 활동한 것으로 추정되는 두 명의 계약업체에 의해 수행된 것으로 밝혀졌습니다. 중국 공안부(MPS)의 지역 지부들도 중국 내 소수민족과 종교적 소수집단에 대한 디지털 감시에 적극적으로 참여해 왔으며, 특히 위구르 무슬림의 경우 신장 공안국(XPSB)이 가장 두드러지게 활동해 왔습니다.

역사적으로, 중화인민공화국(PRC)은 바티칸과 그 통치 기관인 교황청(Holy See)과 매우 불안정한 관계를 유지해 왔습니다. 특히, 교황청이 중국 내 역사적으로 박해받은 '지하' 가톨릭 교회 내 주교들을 인정하고 있으며, 이 교회는 전통적으로 바티칸에 충성해 왔습니다. 또한 교황청과 대만 간의 관계는 1950년대 이후 공식적인 관계가 유지되지 않고 있습니다. 중국 공산당은 이 행동을 교황청이 중국 내 종교 문제에 간섭하는 것으로 간주했습니다. 2018년 9월, 중화인민공화국(PRC)과 교황청(Holy See)은 역사적인 2년 간의 임시 협정을 체결했으며, 이는 외교 관계 복원을 향한 중요한 단계로 평가됩니다.

임시 협정에 따라 중국은 지하 교회에 대한 통제권을 더 많이 회복하게 되며, 바티칸은 국가가 지원하는 '공식' 가톨릭 교회 내 주교 임명에 대한 영향력을 확대하게 됩니다. 이 합의는 혼합된 반응을 불러일으켰으며, 비판자들은 이 합의가 지하 교회에 대한 배신이며 그 구성원들에 대한 박해가 더욱 심화될 것이라고 주장했습니다. 가장 혹독한 비판의 대부분은 홍콩 내의 종교 지도자들로부터 나왔습니다. 협정 체결 1년 후, 2019년 말부터 시작된 홍콩 시위에 대해 바티칸이 침묵을 지키고 있다는 다수의 보고서가 나왔습니다. 비판자들은 이를 베이징을 자극하지 않고 2018년 협정을 위태롭게 하지 않기 위한 노력이라고 지적했습니다.

위협 분석

가톨릭 교회 침입 개요

그림 2: 레드델타 플러그엑스 C2 서버 167.88.180[.]5용 인텔리전스 카드.

인식트 그룹은 레코디드 퓨처 RAT 컨트롤러 탐지 및 네트워크 트래픽 분석 기술을 사용하여 5월 중순부터 최소 2020년 7월 21일까지 바티칸 호스트와 통신하는 여러 개의 플러그엑스 C2 서버를 확인했습니다. 동시에 포이즌 아이비 및 코발트 스트라이크 비콘 C2 인프라가 바티칸 호스트와 통신하고, 바티칸 테마의 피싱 미끼인 플러그X를 전달하며, 가톨릭 교회와 관련된 다른 단체를 표적으로 삼는 것도 확인했습니다.

그림 3: 중국 주재 홍콩 연구 사절단 책임자를 겨냥한 바티칸의 유인 문서.

그림 3에 표시된 유인 문서는 이전에 홍콩 가톨릭 교회 표적 공격과 관련하여 보고된 바 있으며, 이 문서는 C2 도메인 systeminfor[.]com과 통신하는 맞춤형 PlugX 페이로드를 전달하는 데 사용되었습니다. 해당 문서는 바티칸의 공식 서한으로 주장되며, 현재 홍콩 중국 연구 사절단의 수장에게 발송된 것으로 되어 있습니다. 현재 해당 문서가 배우들이 직접 작성한 것인지, 아니면 그들이 입수해 무기화한 합법적인 문서인지 명확하지 않습니다. 해당 편지가 해당 개인에게 직접 발송된 점을 고려할 때, 그는 스피어 피싱 공격의 대상이 되었을 가능성이 높습니다. 또한, 이 샘플은 바티칸 네트워크 내 침입의 징후가 발견된 후에 수집되었기 때문에, 피싱 유인물이 해킹된 바티칸 계정을 통해 전송되었을 가능성도 있습니다. 이 가설은 샘플의 컴파일 날짜와 공개 악성 소프트웨어 저장소에 처음 제출된 시점 주변 기간 동안 PlugX C2와 바티칸 메일 서버 간의 통신이 확인된 사실에 의해 뒷받침됩니다.

홍콩 연구단의 단장은 교황의 중국에 대한 실질적인 대표로 여겨지며, 베이징과 바티칸 사이의 핵심 연결고리 역할을 하고 있습니다. 이 직위의 전임자는 2018년 중국-바티칸 임시 협정의 최종 타결에 핵심적인 역할을 담당했으며, 이로 인해 그의 후임자는 2020년 9월 협정 만료 및 재연장 가능성이 높은 시점에 정보 수집의 중요한 대상이 되었습니다.

2020년 6월과 7월에 이탈리아에 위치한 국제 선교 센터와 홍콩 가톨릭 교구의 메일 서버를 포함해 가톨릭 교회와 관련된 다른 기관들도 플러그엑스의 표적이 되었습니다.

그림 4: 가톨릭 아시아 뉴스 연합 기사 유인 문서(왼쪽)와 이슬람교 바티칸 쿰 유인 문서(오른쪽).

Insikt Group 두 개의 추가 피싱 덫이 동일한 맞춤형 PlugX 변종을 로드하는 것으로 확인되었으며, 이 두 덫은 모두 바티칸 덫과 동일한 C2 인프라와 통신했습니다. 첫 번째 샘플에는 홍콩의 새로운 국가 보안법 도입과 관련하여 아시아 가톨릭 뉴스 연합(Union of Catholic Asian News)의 뉴스 보도문을 위조한 유인 문서가 포함되었습니다. "중국 홍콩 보안법 계획에 대한 설명.doc"라는 제목의 유인 파일의 내용은 합법적인 가톨릭 아시아 뉴스 연합( Union of Catholic Asian News)기사에서 인용되었습니다. 다른 샘플도 바티칸을 언급하며 "QUM, IL VATICANO DELL’ISLAM.doc"라는 제목의 문서를 미끼 문서로 사용했습니다. 이 특정 위조 문서는 “Qum, 이슬람의 바티칸”으로 번역되며, 이는 이란의 도시 쿠무(Qom)를 가리키며, 시아파 이슬람의 중요한 정치적 및 종교적 중심지입니다. 이 내용은 이란에 거주하는 이탈리아 가톨릭 학자 프랑코 오메토의 저서에서 발췌한 것입니다. 이 두 유인물의 직접적인 대상은 명확하지 않지만, 둘 다 가톨릭 교회와 관련이 있습니다.

우리는 이 표적화가 중국이 중국 내 지하 가톨릭 교회에 대한 통제권을 강화하려는 목적과, 바티칸이 중국 가톨릭 신자들에게 미치는 영향력을 약화시키려는 의도를 모두 반영하고 있다고 믿습니다. 同様に, 민주화 시위와 최근에 제정된 광범위한 국가보안법 속에서 홍콩 가톨릭 신자들에게 초점을 맞추는 것은 중국의 전략적 이익과 일치합니다.특히, 전 홍콩 주교인 조셉 젠 제-키운 추기경을 포함한 많은 회원들이 반베이징 입장을 취하고 있다는 점을 고려할 때 더욱 그렇습니다.

전망

우리의 연구는 2020년 9월 중국과 바티칸 간의 임시 협정 연장 가능성이 제기된 시점에, 중국 정부 후원 것으로 의심되는 캠페인이 가톨릭 교회와 관련된 다수의 주요 기관을 표적으로 삼았다는 사실을 밝혀냈습니다. 중국 공산당(CCP)과 교황청 간의 외교 관계 개선은 일반적으로 중국 내 비공식 가톨릭 교회에 대한 감독과 통제를 강화하기 위한 수단으로 해석되어 왔다. 이것은 또한 중국 공산당(CCP)이 중국에서 종교를 '중국화'하는 더 넓은 목표를 지원하는 것입니다. 또한 이는 중국의 종교적 소수집단에 대한 통제와 감시 관심이 "오독(五毒)"에 한정되지 않음을 보여줍니다. 이는 지하 교회 회원들에 대한 지속적인 박해와 구금, 공식 가톨릭 및 개신교 교회에 대한 물리적 감시 의혹 등이 그 예시입니다.

미국 국제종교자유 담당 대사는 최근 홍콩 내 새로운 국가안보법에 대한 우려를 표명하며, 이 법이 "종교의 자유를 심각하게 훼손할 잠재력을 가지고 있다"고 밝혔습니다. 홍콩 가톨릭 교구의 표적화는 홍콩의 민주화 운동에 대한 교구의 입장을 모니터링하고 교구와 바티칸 간의 관계를 파악하는 데 있어 귀중한 정보 원천이 될 가능성이 높습니다. 이는 특별 행정 구역 내에서 종교의 자유에 대한 제한이 강화될 수 있는 전조로 해석될 수 있으며, 특히 민주주의 옹호나 베이징 반대 입장과 겹치는 경우에 더욱 그렇습니다.

레드델타는 중국의 전략적 이해관계와 관련된 단체를 대상으로 매우 활발한 위협 활동을 하는 그룹입니다. 이 그룹이 플러그엑스와 코발트 스트라이크와 같은 잘 알려진 도구를 지속적으로 사용하고 인프라 재사용, 운영 보안 실패에도 불구하고 이러한 침입은 레드델타가 여전히 인텔리전스 요구 사항을 충족해야 하는 과제를 안고 있음을 나타냅니다. 특히, 이 캠페인은 종교 단체를 표적으로 삼는 분명한 목적을 가지고 있으므로 종교 및 비정부기구(NGO)는 레드델타와 같은 중국 국가 후원 위협 활동 그룹의 위협에 대응하기 위해 네트워크 방어에 주목하고 투자해야 한다고 생각합니다. 많은 NGO와 종교 단체가 보안 및 탐지 조치에 투자할 능력이 부족하기 때문에 잘 문서화된 도구, TTP 및 인프라를 사용하더라도 자원이 풍부하고 끈질긴 그룹이 성공할 가능성이 크게 높아집니다.

네트워크 방어 권장 사항

레코디드 퓨처는 사용자가 레드델타 활동과 관련된 활동을 감지하고 완화하기 위해 다음과 같은 조치를 취할 것을 권장합니다:

부록에 나열된 외부 IP 주소 및 도메인에 대해 경고하도록 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 또는 네트워크 방어 메커니즘을 구성하고, 검토 후 불법적인 연결 시도를 차단하는 것을 고려하세요.

또한 다음과 같은 일반적인 정보 보안 모범 사례 가이드라인을 따를 것을 권장합니다:

모든 소프트웨어와 애플리케이션, 특히 운영 체제, 바이러스 백신 소프트웨어, 핵심 시스템 유틸리티를 최신 상태로 유지하세요.
이메일 서신을 필터링하고 첨부 파일에 멀웨어가 있는지 면밀히 조사하세요.
시스템을 정기적으로 백업하고 네트워크를 통해 데이터에 액세스할 수 없도록 가급적 오프라인, 즉 외부에 백업을 저장하세요.
면밀한 사고 대응 및 커뮤니케이션 계획을 세우세요.
회사에 민감한 데이터의 엄격한 구분을 준수하세요. 특히 직원 계정이나 디바이스에 액세스할 수 있는 사람이 피싱을 통해 디바이스나 계정을 탈취하는 등의 방법으로 어떤 데이터에 액세스할 수 있는지 살펴보세요.
역할 기반 액세스, 회사 전체의 데이터 액세스 제한, 민감한 데이터에 대한 액세스 제한을 강력히 고려하세요.
호스트 기반 제어 사용: 공격을 차단하는 가장 좋은 방어 및 경고 신호 중 하나는 클라이언트 기반 호스트 로깅 및 침입 탐지 기능을 수행하는 것입니다.
네트워크 IDS, 넷플로우 수집, 호스트 로깅, 웹 프록시와 같은 기본적인 사고 대응 및 탐지 배포와 제어를 구현하고 탐지 소스에 대한 인적 모니터링도 함께 수행하세요.
파트너 또는 공급망 보안 표준을 숙지하세요. 에코시스템 파트너를 위한 보안 표준을 모니터링하고 시행하는 것은 모든 조직의 보안 태세에서 중요한 부분입니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 Click Here 를 클릭하여 보고서를 PDF로 다운로드하세요.