노벨리움에서 회사 브랜드 오용에 사용한 SOLARDEFLECTION C2 인프라

노벨리움에서 회사 브랜드 오용에 사용한 SOLARDEFLECTION C2 인프라

insikt-logo-blog.png
편집자 주: 다음 글은 전체 보고서에서 발췌한 내용입니다. 전체 분석을 읽으려면, Click Here 를 클릭하여 보고서를 PDF로 다운로드하세요.

이 보고서는 러시아 국가가 후원하는 위협 활동 그룹인 노벨리움이 사용하는 고유한 인프라를 프로파일링합니다. 이 활동은 대규모 자동화된 네트워크 트래픽 분석과 오픈 소스 보고에서 파생된 분석을 결합하여 식별되었습니다. 데이터 소스에는 Recorded Future Platform, SecurityTrails, DomainTools, PolySwarm, Farsight, Shodan, Censys, 팀 심루의 Pure Signal™ 및 기타 일반적인 오픈 소스 도구와 기법이 포함됩니다. 이 보고서는 사이버 공간에서 러시아 정부의 활동과 관련된 전략 및 작전 정보에 종사하는 개인과 네트워크 방어자에게 가장 흥미로울 것입니다. 노벨리움 활동에 대한 추적 기술과 진행 중인 연구를 보호하기 위해 원래 연구의 일부 기술적 세부 사항은 이 보고서 버전에 포함되지 않았습니다.

Executive Summary

레코디드 퓨처의 인식트 그룹은 여러 지역의 정부 및 민간 부문 조직을 대상으로 하는 러시아 국가 지원 사이버 스파이 활동을 지속적으로 모니터링하고 있습니다. 2021년 중반 이후부터 레코디드 퓨처의 중간 시점 수집 결과, 인식트 그룹이 추적한 노벨리움 인프라의 사용은 명령 및 제어(C2) 인프라를 포괄하는 솔라디플렉션으로 꾸준히 증가하고 있는 것으로 나타났습니다. 이 보고서에서는 인식트 그룹이 솔라디플렉션 인프라를 모니터링하면서 관찰한 트렌드와 운영자의 반복적인 타이포스쿼트 도메인 사용을 중점적으로 다룹니다.

위협 활동에 연루된 노벨리움 운영자에게서 관찰된 핵심 요소는 다른 브랜드를 모방한 도메인(일부는 합법적인 도메인이고 일부는 가상의 비즈니스일 가능성이 있는 도메인)에 의존하는 것입니다. 도메인 등록과 타이포스쿼트는 피해 네트워크와 브랜드에 위협이 되는 스피어피싱 캠페인이나 리디렉션을 가능하게 할 수 있습니다.

사전 예방적 공격 인프라 탐지, 도메인 분석 기술, 기록된 미래 네트워크 트래픽 분석을 조합하여 노벨리움의 솔라디플렉션 인프라 사용이 이전에 마이크로소프트, 포티넷, 세코이아, 볼렉시티 등 여러 조직에서 발견한 다른 일반적인 인프라 전술, 기술 및 절차(TTP)와 겹치는 것으로 확인했습니다. 이전 오픈 소스 보고에서도 노벨리움이 코발트 스트라이크 침투 테스트 도구의 크랙 버전을 사용한다는 점이 강조되었습니다.

주요 판단

배경

최근 및 과거에 NOBELIUM과 연관된 도메인 분석 결과, 해당 그룹이 다양한 미디어, 뉴스 및 기술 제공업체에 대한 친숙함과 이를 모방하는 경향을 광범위하게 보여주고 있습니다. 해당 그룹은 동적 DNS 해상도를 악용하여 C2 서버나 루트 도메인으로 연결되는 임의로 생성된 서브도메인을 생성하고 해상도하여 피해자를 혼란스럽게 했습니다. 이 공격의 핵심은 합법적인 조직의 도메인과 유사한 이메일 주소나 URL을 사용하는 것입니다. 유해할 수 있는 도메인 등록 및 타이포스쿼팅은 스피어 피싱 캠페인을 가능하게 하거나, 기업의 브랜드나 직원에게 높은 위험을 초래할 수 있는 리디렉션을 유발할 수 있습니다. 성공적인 스피어 피싱은 메시지의 품질, 발신자 주소의 신뢰성, 그리고 리디렉션 URL의 경우 도메인 이름의 신뢰성 등 여러 요인에 달려 있습니다. Insikt Group 과거에 러시아와 연관된 다른 그룹들이 2020년 대통령 선거를 포함한 작전을 지원하기 위해 타이포스쿼팅을 사용해 피해자의 자격 증명을 수집하는 데 사용된 사기 로그인 포털의 신뢰성을 높이기 위해 활동한 사례를 관찰했습니다. 이 전술은 최근 우크라이나의 기관을 대상으로 한 침입 공격과 관련해 공개된 자료에서도 보고되었으며, 이는 러시아의 우크라이나 침공을 지원하기 위한 것으로 추정됩니다.

Insikt Group NOBELIUM이 러시아의 외국 정보 서비스(SVR)의 목표와 일치하는 방식으로 활동하는 위협 활동 그룹으로 평가됩니다. SVR는 러시아 연방 대통령, 연방의회, 및 정부에 정치, 경제, 군사 전략, 과학기술 전략, 및 환경 분야에서의 의사결정에 필요한 정보를 제공하는 것을 임무로 합니다. 러시아의 SVR은 러시아 주요 정보국(GRU)이 군사 정보 작전에 집중하도록 허용함으로써 자체적으로 독립된 기관으로 정의합니다. 반면 SVR은 정치 정보에 초점을 맞춥니다. 그러나 이는 이러한 작전에 대한 매우 고위 수준의 관점입니다. SVR는 공공 및 민간 채널을 통해 정보를 수집하여, 전략적 정책 및 의사결정자에게 영향을 미치는 조직 및 개인으로부터 전략적 정보를 수집하는 것을 목적으로 업무를 수행합니다.

2021년, Volexity는 미국 국제개발청(USAID)을 사칭한 선거 부정 관련 유인물을 사용해 비정부기구(NGO), 연구 기관, 정부 기관, 국제 기구를 대상으로 한 APT29로 추정되는 피싱 공격을 분석한 연구 보고서를 발표했습니다. 같은 날, 마이크로소프트는 동일한 캠페인에서 사용된 더 광범위한 TTP(기술, 전술, 절차)에 대한 연구를 발표했으며, 이 활동을 SolarWinds 침투 사건의 배후에 있는 그룹인 NOBELIUM에게 귀속시켰습니다. 이 캠페인은 2021년 2월부터 민감한 외교 및 정부 기관을 대상으로 진행되었습니다. 그들은 위협 행위자가 이 정보를 활용해 더 광범위한 캠페인の一環으로 다른 고도로 표적화된 공격을 수행했다고 믿고 있습니다. 추가 연구 결과, Insikt Group이 2021년부터 SOLARDEFLECTION이라는 지정명으로 모니터링해 온 인프라 클러스터가 이전 보고서에 언급된 내용과 겹치는 것으로 확인되었습니다. Recorded Future 명령 및 제어 보안 피드에서 진행 중인 탐지 결과가 NOBELIUM 운영과 연관된 새로운 타이포스쿼트 도메인의 등록을 확인하는 데 도움을 주었습니다. 특히 주목할 점은, 최근에 발견된 여러 타이포스쿼트(typosquat)가 2020년 초부터 NOBELIUM 보고와 연관될 가능성이 높다고 지적된 이름 지정 규칙이나 테마를 계속 채택하고 있다는 점을 확인했습니다.

SOLARDEFLECTION-C2-인프라-그림-1-1024x111.jpg
그림 1: 레코디드 퓨처 플랫폼의 솔라디플렉션 도메인 등록 참조(출처: 레코디드 퓨처)

레코디드 퓨처 플랫폼은 타이포스쿼팅된 도메인을 자동으로 감지하며, 새로 생성된 각 도메인 엔티티는 레코디드 퓨처에서 관찰한 다른 도메인과의 타이포스쿼팅 스타일 유사성을 평가합니다. 그 예로 그림 1에 표시된 SOLARDEFLECTION 타이포스쿼트는 도메인의 철자를 볼 때 노벨리움 운영자가 T-Mobile 브랜드를 모방하려는 시도일 가능성이 매우 높습니다. 지난 2년간 SOLARDEFLECTION 도메인이 등록된 빈도를 검토한 결과, 노벨리움은 주기적으로 도메인을 등록하는 경향이 있으며, 때때로 짧은 휴식기를 가지기도 하는데, 이는 여러 도메인을 노벨리움 활동에 기인하는 새로운 오픈 소스 보고와 일치하는 것으로 보입니다(아래 기록된 미래 타임라인에 표시된 대로).

SOLARDEFLECTION-C2-인프라-그림-2-1024x424.jpg
그림 2: 솔라디플렉션 타이포스쿼트 등록 타임라인(출처: 기록된 미래 데이터)

인식트 그룹은 그룹이 사용하는 인프라 TTP에 대한 심층적인 이해를 통해 솔라디플렉션 인프라를 선제적으로 탐지합니다(아래 인프라 TTP 섹션에서 자세히 설명합니다). 또한 명령 및 제어 데이터 세트를 통해 "양성 C2"로 분류한 모든 솔라디플렉션 IP를 보강하고 식별할 수 있습니다. 그런 다음 네트워크 통신을 분석하여 C2가 감염된 시스템과 어떻게 상호 작용하는지 또는 공격자가 어떻게 관리하고 있는지 조사합니다. 솔라디플렉션 C2는 레코딩된 미래 플랫폼의 명령 및 제어 데이터 세트 내에서 검토할 수 있습니다.

편집자 주: 다음 글은 전체 보고서에서 발췌한 내용입니다. 전체 분석을 읽으려면, Click Here 를 클릭하여 보고서를 PDF로 다운로드하세요.