TAG-124의 다층 TDS 인프라 및 광범위한 사용자 기반

분석 마감일: 2025년 1월 7일

참고: 이 보고서는 TAG-124가 404TDS와 관련이 없다는 사실이 발견된 후인 2025년 5월 12일에 업데이트되었습니다. TAG-124의 가칭으로서의 404TDS에 대한 모든 참조가 삭제되었습니다.

Executive Summary

Insikt Group은 Recorded Future가 추적한 트래픽 배포 시스템(TDS)에 연결된 다계층 인프라를 TAG-124로 식별했으며, 이는 LandUpdate808, KongTuke, Chaya_002로 알려진 위협 활동 클러스터와 겹칩니다. TAG-124는 침해된 WordPress 사이트 네트워크, 행위자가 통제할 가능성이 있는 페이로드 서버, 중앙 서버, 의심되는 관리 서버, 추가 패널 및 기타 요소로 구성됩니다. TAG-124의 배후에 있는 위협 행위자들은 감염된 WordPress 사이트에 포함된 URL을 정기적으로 업데이트하고, 서버를 추가하며, 탐지를 회피하기 위해 TDS 로직을 개선하고, 감염 전술을 조정하며, 최근 ClickFix 기술을 구현하는 등 높은 수준의 활동을 보여주고 있습니다.

Insikt Group은 초기 감염 체인에서 TAG-124를 사용하는 여러 위협 행위자를 식별했으며, 여기에는 Rhysida 랜섬웨어, Interlock 랜섬웨어, TA866/Asylum Ambuscade, SocGholish, D3F@CK 로더, TA582 등의 운영자가 포함됩니다. 특히 TAG-124의 공통된 사용은 전술, 도구, 암호화 동작, 랜섬 노트 테마, 코드 중복, 데이터 유출 기술의 유사성을 통해 이미 연관성이 확인된 Rhysida와 Interlock 랜섬웨어 간의 연관성을 강화합니다. Insikt Group은 TAG-124가 점점 더 정교해지고 전문화되는 사이버 범죄 생태계 내에서 지속적으로 운영되며, 그 효과를 강화하고, 추가적인 사용자와 파트너를 유치할 것으로 예측합니다.

주요 연구 결과

• Insikt Group은 TAG-124로 추적된 TDS와 연관된 다층 인프라를 식별했습니다. 이 인프라에는 침해된 WordPress 사이트 네트워크, 행위자가 통제할 가능성이 있는 페이로드 서버, 중앙 서버, 의심되는 관리 서버, 추가 패널 등이 포함됩니다.
• TAG-124와 관련된 위협 행위자는 탐지를 피하기 위해 손상된 WordPress 사이트의 URL을 정기적으로 업데이트하고, 인프라에 새로운 서버를 추가하며, TDS와 관련된 조건부 논리 및 감염 전술을 개선하는 등 매우 활발하게 활동하는 것으로 보입니다.
• 여러 위협 행위자들이 TAG-124의 서비스를 초기 감염 체인에 통합하는 것으로 평가되었으며, 여기에는 Rhysida 랜섬웨어, Interlock 랜섬웨어, TA866/Asylum Ambuscade, SocGholish, D3F@CK 로더, TA582 등의 운영자가 포함됩니다.
• Rhysida와 Interlock 랜섬웨어는 전술, 도구, 암호화 동작, 랜섬 노트 테마, 코드 중복, 데이터 유출 기술의 유사성으로 인해 서로 연관이 있어 왔지만, TAG-124의 공통된 사용은 이러한 연관성을 강화합니다.

배경

TAG-124는 LandUpdate808, KongTuke, Chaya_002와 중복되며, Rhysida 랜섬웨어, Interlock 랜섬웨어, TA866/Asylum Ambuscade, SocGholish, D3F@CK 로더, TA582 등의 운영자를 포함한 다양한 위협 행위자를 대신하여 멀웨어를 배포하는 데 사용되는 TDS입니다(1, 2, 3). TDS는 일반적으로 탐지를 회피하고 사이버 범죄 캠페인을 최적화하면서 지리적 위치나 장치 유형과 같은 매개변수를 기반으로 웹 트래픽을 분석하고 리디렉션하여 특정 방문자만 피싱 사이트, 멀웨어, 또는 익스플로잇 키트와 같은 악의적인 대상으로 유도하는 데 사용되는 시스템을 의미합니다.

보다 구체적으로 보면, TAG-124는 침해된 WordPress 웹사이트에 악성 JavaScript 코드를 주입하여 작동합니다. 방문자가 감염된 웹사이트에 접속하면 자신도 모르게 공격자가 제어하는 리소스를 로드하여 멀웨어를 다운로드하고 실행하는 작업을 수행하게 됩니다. TAG-124는 피해자를 속이기 위해 멀웨어를 필수 Google Chrome 브라우저 업데이트로 제시하는 경우가 많습니다.

최근의 변형에서 TAG-124는 ClickFix 기법을 사용하는 것으로 관찰되었습니다. 이 방법은 방문자에게 클립보드에 미리 복사된 명령을 실행하라는 대화 상자를 표시합니다. 방문자가 명령을 실행하면 멀웨어 페이로드를 다운로드하고 실행하는 다단계 프로세스가 시작됩니다.

위협 분석

TAG-124

Insikt Group은 TDS TAG-124와 관련된 다계층 인프라를 확인했습니다. 이 인프라는 침해된 WordPress 사이트 네트워크, 행위자가 통제할 가능성이 있는 페이로드 서버, 분석 당시 정확한 목적이 불분명한 중앙 서버, 의심스러운 관리 서버, 추가 관리 패널로 구성되어 있습니다. 방문자가 특정 기준을 충족하면 침해된 WordPress 웹사이트는 가짜 Google Chrome 업데이트 랜딩 페이지를 표시하며, 이는 궁극적으로 이 보고서의 TAG-124 사용자 섹션에서 설명한 것처럼 멀웨어 감염으로 이어집니다(그림 1 참조).

그림 1: TAG-124의 고수준 인프라 설정(출처: Recorded Future)

침해된 WordPress 웹사이트

TAG-124의 인프라는 광범위한 WordPress 웹사이트 네트워크로 구성되어 있습니다(부록 A 참조). 이러한 웹사이트는 산업, 주제 또는 지리적 측면에서 일관된 테마가 없는 것으로 보이며, 이는 악용을 통해 또는 인포스틸러를 통해 획득한 자격 증명을 사용하여 기회를 포착하여 손상되었을 가능성을 시사합니다.

초기 전송 과정의 1단계 WordPress 웹사이트

초기 전송 과정의 첫 번째 단계에서 침해된 웹사이트에는 일반적으로 문서 개체 모델(DOM)의 임의 위치에 비동기 속성이 있는 스크립트 태그가 포함되어 있으므로, 페이지와 병렬로 외부 JavaScript 파일을 로드하여 렌더링 지연을 방지할 수 있습니다(그림 2 참조).

그림 2: 외부 JavaScript 파일을 로드하는 데 사용되는 DOM의 스크립트 태그(출처: URLScan)

JavaScript 파일 이름은 시간이 지남에 따라 자주 변경되었으며, 초기 이름은 인식할 수 있는 패턴(예: metrics.js)을 따랐지만 더 최근의 것들은 무작위로 형식화된 것으로 보입니다(예: hpms1989.js). 파일 이름의 예를 들면 다음과 같습니다.

• 3561.js
• 365h.js
• e365r.js
• hpms1989.js
• metrics.js
• nazvanie.js
• web-analyzer.js
• web-metrics.js
• web.js
• wp-config.js
• wp.js

특히, 위협 행위자는 침해된 웹사이트의 URL을 정기적으로 업데이트하는 것으로 보입니다. 예를 들어, www[.]ecowas[.]int와 관련된 웹사이트는 JavaScript 파일을 가져오는 데 사용되는 URL을 지속적으로 변경해 왔습니다. 이 동작은 위협 행위자가 이러한 WordPress 사이트에 지속적으로 접근하며, 도메인 및 JavaScript 파일명을 포함한 URL을 자주 변경하여 탐지를 회피할 가능성이 있음을 나타냅니다.

침해된 WordPress 웹사이트의 대부분은 잘 알려지지 않은 조직과 연관된 것으로 보이지만, Insikt Group은 폴란드 테스트 및 인증 센터(www[.]pcbc[.]gov[.]pl)와 연관된 하위 도메인 및 서아프리카 국가 경제 공동체(ECOWAS)의 도메인(www[.]ecowas[.]int)을 포함하여 주목할 만한 사례를 확인했습니다. 둘 다 침해되어 TAG-124 캠페인에 이용되었습니다.

초기 전송 과정의 최종 단계 WordPress 웹사이트

완전히 확인되지는 않았지만 방문자가 특정 기준을 충족하는 경우, 침해된 WordPress 도메인은 일반적으로 가짜 Google Chrome 업데이트 랜딩 페이지를 표시합니다. 이 페이지들은 사용자에게 다운로드 버튼을 클릭하도록 유도하여, 다음과 같은 2차로 침해된 WordPress 웹사이트의 지정된 엔드포인트에서 실제 페이로드를 다운로드하도록 트리거합니다.

• /wp-admin/images/wfgth.php
• /wp-includes/pomo/update.php
• /wp-content/upgrade/update.php
• /wp-admin/images/rsggj.php

가짜 Google Chrome 업데이트 랜딩 페이지

Insikt Group은 TAG-124와 관련된 가짜 Google Chrome 업데이트 랜딩 페이지의 두 가지 변종을 발견했습니다(그림 3 참조). URLScan 제출 데이터에 따르면, 변종 1은 더 오래 활동해 왔으며 가장 이른 제출은 2024년 4월 24일에 기록되었습니다.

그림 3: 가짜 Google Chrome 업데이트 변종 1(왼쪽) 및 2(오른쪽)(출처: URLScan, URLScan)

아직 알려지지 않은 특정 조건을 충족하는 피해자만 가짜 Google Chrome 업데이트 랜딩 페이지로 리디렉션되므로 제한된 수의 도메인만 관찰되었습니다(표 1 참조). DOM에 포함된 URL, 공개 보고 또는 기타 지표를 토대로 볼 때 이러한 도메인은 TAG-124에 기인한 것일 수 있습니다. 특히, 위협 행위자들은 쿼리 매개변수에서 'referer'라는 단어를 'refferer'로 지속적으로 잘못 표기하는데, 이는 이전 보고서에서 관찰된 오타입니다.

표 1: 가짜 Google Chrome 업데이트 페이지를 호스팅하는 침해 의심 웹사이트(출처: Recorded Future)

위협 행위자가 소유했을 가능성이 있는 도메인

표 1에 나열된 도메인이 침해되었을 가능성이 있는 가운데, Insikt Group은 2개의 추가 도메인에서 호스팅되는 웹사이트에 존재하는 URL을 분석했습니다(표 2 참조). 분석에 따르면, 이러한 도메인들은 TAG-124와 연결되었을 가능성이 높습니다.

표 2: 시각적 유사도 검색을 통해 발견된 추가 도메인(출처: Recorded Future)

Cloudflare 뒤에서 호스팅되는 update-chronne[.]com 도메인은 Google Chrome을 직접 사칭하기 때문에 위협 행위자가 소유한 것으로 보입니다(그림 4 참조). 분석 당시 도메인은 여전히 활성 상태였고, Google 검색에 의해 인덱싱되었으며, REMCOS RAT로 식별된 Release.zip 파일을 호스팅하고 있었습니다.

그림 4: update-chronne[.]com의 Google Chrome 가짜 업데이트 랜딩 페이지 (출처: Recorded Future)

특히 피해자가 'Chrome 업데이트' 버튼을 클릭하면 웹사이트는 downloading[.]bplnetempresas[.]com으로 리디렉션되며, 이 사이트는 IP 주소 146.70.41[.]191을 세 개의 다른 포트와 결합하여 표시합니다(그림 5 참조). 이 IP 주소는 이전에 REMCOS RAT와 연관된 적이 있습니다.

그림 5: downloading[.]bplnetempresas[.]com에 표시된 의심되는 REMCOS RAT 명령 및 제어(C2) 서버 (출처: Recorded Future)

또한 해당 도메인은 moc.txt라는 파일을 호스팅했으며, Release.zip의 내용을 다운로드하고 실행하도록 설계된 PowerShell 스크립트를 포함하고 있습니다(그림 6 참조). URL은 단축된 URL인 https://wl[.]gl/25dW64을 통해 리디렉션되었습니다.

그림 6: 2024년 9월 12일 기준 https://update-chronne[.]com/moc.txt에서 호스팅된 PowerShell 스크립트(출처: URLScan)

의심되는 셸 웹사이트

update-chronne[.]com 및 downloading[.]bplnetempresas[.]com 모두 브라질 조직으로 보이는 "YSOFEL"과 관련된 웹사이트를 호스팅했습니다(그림 7 참조). 그러나 이 조직에 대한 정보를 온라인에서 찾을 수 없으므로, 가상의 단체일 가능성이 높습니다.

그림 7: 가짜 브라질 조직과 연결된 의심스러운 셸 웹사이트(출처: URLScan)

Insikt Group은 여러 다른 도메인을 식별했습니다. 그중 일부는 침해된 WordPress 웹사이트 섹션에 언급되어 있으며(예: mktgads[.]com), 다른 사이트들은 Google을 사칭하는 것으로 보입니다(예: check-googlle[.]com) (표 3 참조). 이는 해당 웹사이트가 '셸 웹사이트'로 작동하여 도메인을 오래된 것처럼 보이게 하거나 방문자가 특정 기준을 충족할 때만 콘텐츠를 표시하는 데 사용될 수 있음을 시사합니다.

표 3: 위의 가짜 브라질 조직과 연결된 의심스러운 '셸 웹사이트'에 연결된 도메인(출처: Recorded Future)

표 3의 모든 도메인이 악의적인지, 동일한 활동에 연결되어 있는지는 여전히 불확실합니다. 그러나 동일한 웹사이트의 공유 호스팅, 다른 브랜드(예: ChainList) 사칭, 감염 링크의 부분 검증으로 인해 이러한 도메인을 최소한 의심할 수는 있습니다.

TAG-124 전송 서버

TAG-124는 감염 체인의 여러 구성 요소에 침해된 WordPress 웹사이트를 활용합니다. 초기 전송의 1단계 WordPress 웹사이트 섹션에 자세히 설명된 대로, 이러한 침해된 1단계 WordPress 사이트의 DOM에 내장된 서버는 위협 행위자가 소유하고 있을 가능성이 높습니다. Insikt Group은 TAG-124 위협 행위자들과 연결되어 있으며 이들에 의해 제어될 가능성이 있는 상당한 규모의 서버 네트워크를 확인했습니다(표 4 참조).

표 4: 위협 행위자가 제어할 가능성이 있는 TAG-124 전송 서버(출처: Recorded Future)

대부분의 도메인은 2024년 11월에 확인되기 시작했으며, 이는 이 기간에 TAG-124가 탄력을 받았고 분석 시점에 대부분의 도메인이 여전히 활성 상태였음을 나타냅니다. 주목할 만한 점은 45[.]61[.]136[.]67에서 호스팅되는 2개의 도메인인 piedsmontlaw[.]com 및 pemalite[.]com이 2022년에 이미 이 IP 주소로 해석되었으며, 이는 이 기간에 서버가 위협 행위자의 통제하에 있었을 가능성을 나타냅니다.

의심되는 상위 계층 인프라

TAG-124 전송 서버 섹션에 나열된 대로 위협 행위자가 제어하는 것으로 의심되는 대부분의 TAG-124 전송 서버가 TCP 포트 443을 통해 서버와 통신하는 것으로 관찰되었습니다(그림 1 참조). 이 서버의 구성은 전송 서버의 구성과 유사하며, 접속 시 일반 HTML 페이지만 반환하는 도메인을 호스팅합니다. 분석 당시 Insikt Group은 이 서버의 정확한 목적을 파악할 수 없었지만, 운영의 중심 역할을 하는 것으로 추정하고 있습니다. 하나의 가능성은 TDS의 핵심 로직이 포함되어 있을 수 있다는 것입니다.

추가로 Insikt Group은 TAG-124와 연결된 의심스러운 관리 서버를 식별했습니다. 이 서버가 TCP 포트 80 및 443을 통해 전송 서버와 통신하는 것이 관찰되었습니다. 또한 TAG-124와 연결된 다른 패널인 'Ads Panel'과도 상호 작용했습니다. 이 패널의 목적은 지정된 엔드포인트를 통해 최신 전송 서버를 제공하는 것을 포함합니다(그림 1 참조).

부록 A — 침해 지표

부록 B — Mitre ATT&CK 기법