이 보고서는 2019년 3월 초 파키스탄 정부 부처와 티베트 중앙정부를 대상으로 한 최근 스캔박스 캠페인에 대해 설명합니다. 인식트 그룹 연구원들은 Recorded FutureⓇ 플랫폼, 쇼단, 파사이트 보안 DNS, 타사 네트워크 메타데이터, 일반적인 OSINT 기법에서 얻은 데이터를 활용했습니다.

이 보고서는 네트워크에 대한 접근 권한을 얻기 위한 보다 적극적인 노력에 앞서 전략적 웹 침해를 활용하여 네트워크 정찰을 수행하는 사이버 스파이 행위자들의 위협을 이해하고자 하는 네트워크 방어자들이 가장 관심을 가질 만한 보고서입니다.

Executive Summary

2019년 3월 초, 레코디드 퓨처의 인식트 그룹은 파키스탄 출입국관리청(DGIP) 웹사이트 방문자를 대상으로 전략적 웹 감염을 이용한 두 개의 스캔박스 캠페인과 공식 티베트 중앙정부(CTA) 웹사이트 스푸핑을 확인했습니다. 두 경우 모두 공격자는 후속 침입을 수행하기 위해 웹사이트 방문자의 디바이스를 프로파일링하려는 의도를 가지고 있었을 가능성이 높습니다.

인식트 그룹은 이러한 활동을 통해 표적이 된 커뮤니티를 보호하고, 의심하지 않는 웹사이트 방문자에게 키 로깅 및 추가 멀웨어 배포를 가능하게 하는 기능을 사용하는 중국 국가 지원 위협 행위자들이 널리 사용하는 스캔박스와 같은 인메모리 정찰 프레임워크의 위험에 대한 인식을 제고할 수 있다고 강조합니다.

주요 판단

• 티베트 스캔박스 배포를 분석한 결과, 여러 관련 도메인과 IP를 통해 티베트인의 관심사에 대한 광범위한 표적 공격이 이루어지고 있음을 알 수 있었습니다.
• 스캔박스는 이전에 중국의 위구르족과 티베트인 등 박해받는 소수 집단을 표적으로 삼는 데 사용되었습니다.

배경

2014년 초에 처음 발견된 Scanbox는 Anthem 해킹 사건과 Forbes 워터링홀 공격 등 여러 주요 침해 사건에 사용되었으며, 중국 기반 위협 행위자들에 의해 널리 채택되었습니다. 이 중에는 Leviathan (APT40, Temp.Periscope), LuckyMouse (TG-3390, Emissary Panda, Bronze Union), APT10 (menuPass, Stone Panda), 및 APT3 (Pirpi, Gothic Panda) 등 중국 기반 위협 행위자들에 의해 널리 채택되었습니다.
Scanbox는 공격자가 침해된 웹사이트의 방문자를 추적하고 키로깅을 수행하며, 후속 침해를 가능하게 할 수 있는 데이터를 수집하는 정찰 프레임워크입니다. 또한 이 악성 코드가 표적 호스트에 2차 악성 코드를 배포하기 위해 수정되었다고 보고되었습니다. 자바스크립트와 PHP로 작성된 Scanbox 배포는 호스트 장치에 악성 소프트웨어가 다운로드될 필요가 없도록 합니다.

2014년 이후 Scanbox 사용 요약. (출처: 레코딩된 미래)

위협 분석

파키스탄 DGIP 스캔박스 인스턴스

2019년 3월 4일, Insikt Group은 파키스탄 DGIP 웹사이트(tracking.dgip.gov[.]pk)에 있는 온라인 여권 신청 추적 시스템에서 해커들이 페이지에 Scanbox 코드를 배포하여 시스템이 침해되었습니다. 웹사이트 방문자들은 전략적 웹 침해(SWC)로 알려진 '워터링 홀' 공격으로 인해 네덜란드 IP 주소 185.236.76[.]35에 호스팅된 공격자가 제어하는 Scanbox 서버로 리디렉션되었습니다. 공격자들이 Scanbox의 다양한 기능을 활용할 수 있도록 합니다.
이 Scanbox 배포에 대한 자세한 내용은 Trustwave에서 최근에 게시된 블로그에서 확인할 수 있습니다.

파키스탄 DGIP의 추적 시스템용 스캔박스에 감염된 웹 포털.

중앙 티베트 관리 스캔박스 인스턴스

인식트 그룹 연구원들은 tibct[.]net에 대한 오타 스쿼팅 규칙이 트리거되는 Recorded Future 플랫폼 내 새로운 도메인 등록에 대한 경고를 받았습니다. 이 도메인은 2019년 3월 6일에 처음 등록되었습니다.

Recorded Future 포털에서 새로운 도메인 등록 이벤트가 기록되었으며, 이로 인해 타이포스쿼트 위험 규칙이 트리거되었습니다.
분석 결과, 해당 사이트는 CTA의 공식 웹사이트와 콘텐츠 유사성을 보였으며, 아래와 같습니다:

스푸핑된 CTA 웹사이트 tibct[.]net의 병렬 비교 (왼쪽), 그리고 정식 CTA 웹사이트 tibet[.]net (오른쪽).
그 후, 2019년 3월 7일, 우리는 tibct[.]net 웹페이지가 공격자들에 의해 악성 JavaScript를 포함하도록 수정되어 방문자들을 oppo[.]ml에 호스팅된 Scanbox 서버로 리디렉션시켰습니다. Cloudflare IP 주소 104.18.36[.]192에 걸쳐 부하 분산됩니다. 104.18.37[.]192 및 2606:4700:30::6812[:]24c0).

스푸핑 도메인 tibct[.]net에 포함된 악성 자바스크립트.

공식 CTA 웹사이트인 tibet[.]net을 방문할 의향이 있는 방문자, tibct[.]net으로 이동하도록 속이고 있었습니다, 스피어피쉬 이메일에 포함된 링크를 통해 Scanbox C2 도메인 oppo[.]ml로 리디렉션될 수 있습니다.

WHOIS 데이터에서 스푸핑된 도메인인 tibct[.]net을 살펴보면 공격자가 동일한 이메일 주소를 사용하여 tibct[.]org(2019년 3월 5일 등록) 및 monlamlt[...]com 도메인을 등록한 것으로 나타났습니다. (2019년 3월 11일 등록)는 티베트와 관련된 리소스를 호스팅하거나 공식 CTA 도메인의 오타스쿼트인 것으로 보입니다. 파사이트 시큐리티의 DNSDB에서 이러한 도메인을 분석하면 더 밀접하게 연관된 인프라를 확인할 수 있습니다.

전망

인식트 그룹이 며칠 내에 탐지한 이 스캔박스 침입은 이 툴이 여전히 공격자들에게 인기가 있으며 중국 국가의 지정학적 이해관계에 광범위하게 부합하는 조직을 대상으로 사용되고 있음을 보여줍니다. 표적이 된 두 조직의 신원과 다양한 중국 APT에서 Scanbox를 사용한 기록이 잘 문서화되어 있는 점을 고려할 때, 이러한 Scanbox 배포는 중국 국가 지원 위협 행위자에 의해 수행되었을 가능성이 높다고 평가합니다.

네트워크 방어 권장 사항

레코디드 퓨처는 조직이 스캔박스 타깃팅을 방어할 때 이 연구에 설명된 대로 다음과 같은 조치를 취할 것을 권장합니다:

• 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 또는 네트워크 방어 메커니즘을 구성하여 부록 A에 나열된 외부 IP 주소 및 도메인의 불법 연결 시도를 경고하도록 하고 검토 후 차단하는 것을 고려하세요.
• 부록 B에 첨부된 위협 헌팅 패키지의 제공된 Snort 규칙을 IDS 및 IPS 어플라이언스에 구현하고 이 보고서에 설명된 TTP와 유사한 활동에 대해 생성되는 경고를 조사하세요.
• 부록 B의 위협 헌팅 패키지에 나열된 Scanbox 규칙에 대해 기업 전체에서 정기적으로 YARA 스캔을 수행하세요.
• 레코디드 퓨처 고객들은 현재 인식트 그룹 연구진이 레코디드 퓨처 플랫폼 내에서 배포한 YARA 규칙과 일치하는 새로운 샘플에 대해 알림을 받을 수 있습니다.