Die Insikt Group von Recorded Future hat vor Kurzem erneute Aktivitäten festgestellt, die der mutmaßlichen chinesischen Bedrohungsgruppe TA428 zugeschrieben werden. Die festgestellte Aktivität überschneidet sich mit einer TA428-Kampagne, die Proofpoint zuvor als „Operation LagTime IT“ gemeldet hatte und die sich 2019 gegen russische und ostasiatische IT-Behörden richtete. Aufgrund der ermittelten Infrastruktur, Taktiken und Opferorganisation gehen wir davon aus, dass TA428 wahrscheinlich weiterhin Eindringaktivitäten durchführt, die auf Organisationen in Russland und der Mongolei abzielen.

Infrastruktur und Targeting

Am 21. Januar 2021 hat die Insikt Group den PlugX C2-Server 103.125.219[.]222 (Hosting-Anbieter: VPSServer[.]com) gehostet und mehrere Domains hostet, die verschiedene mongolische Nachrichtenagenturen fälschen. Eine der Domains, f1news.vzglagtime[.]netto zuvor im bereits erwähnten Proofpoint Operation LagTime IT-Blog erschienen. Zum Zeitpunkt der Veröffentlichung des Proofpoint-Blogs im Juli 2019 war die vzglagtime[.]netto Domain wurde gehostet auf 45.76.211[.]18 über den Hosting-Provider Vultr. Passiven DNS-Daten zufolge wurden von dieser IP-Adresse gleichzeitig auch die mongolischen Domains gehostet, was die Überschneidungen zwischen diesen nicht gemeldeten mutmaßlichen TA428-Domains und den IT-Aktivitäten der Operation LagTime weiter verstärkt. Die Subdomains scheinen bekannte Namen und Wörter zum Thema Nachrichten zu fälschen, sowohl in englischer als auch in mongolischer Sprache. Die Insikt Group identifizierte in dieser Kampagne auch zwei Subdomains mit dem Begriff "Bloomberg", einer in den USA ansässigen Nachrichtenagentur. Wir haben jedoch keine weiteren Hinweise darauf, dass diese Kampagne auf US-Unternehmen abzielte. Die Subdomains in dieser Kampagne verwendeten bekannte Begriffe, um die Opfer dazu zu verleiten, diesen Websites zu vertrauen. Zu diesen nicht gemeldeten Domains gehören die folgenden:

Malware-Analyse

Die Insikt Group identifizierte mehrere Proben von Royal Road, Poison Ivy und PlugX, die mit der neu identifizierten TA428-verbundenen Infrastruktur kommunizieren. Dies stimmt weitgehend mit früheren Berichten von Proofpoint und NTT Security über TA428-Aktivitäten überein. Insbesondere wurde das folgende PoisonIvy-Sample im Dezember 2020 auf eine Malware-Multi-Scanning-Quelle hochgeladen:

15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb (Dateiname: x64.dll)

1145d39ce42761862eeb7c46500b3fc5cd0dcd9c0fed35623b577b01d0ec3c8e (Dateiname: x86.dll)

Die x86.dll ist für eine 32-Bit-Umgebung und die x64.dll für eine 64-Bit-Umgebung ausgelegt. Nach der Ausführung legt die DLL-Datei zwei Dateien ab: PotPlayerMini.exe, eine legitime ausführbare Datei, die anfällig für DLL-Hijacking ist, und PotPlayer.dll, eine PoisonIvy-Nutzlast. PotPlayerMini.exe wird ausgeführt, um die bösartige PoisonIvy-DLL zu laden, die in diesem Fall für die Kommunikation mit der C2-Domäne nubia.tsagagaar[.]COM. Diese PoisonIvy-Ladesequenz stimmt direkt mit der TA428-Aktivität überein, die von NTT Security im Oktober 2020 beschrieben wurde. NTT-Forscher fanden heraus, dass die Gruppe den EternalBlue-Exploit nutzte, um sich seitlich zu bewegen und die ersten DLL-Dateien in den lsass.exe-Prozess auf dem Zielhost einzuschleusen.

Abbildung 1: Malware-Analyse der aktuellen TA428-Probe

Die Insikt Group identifizierte auch einen Malware-Sandbox-Upload , der das oben gezeigte mit TA428 verknüpfte PoisonIvy-Sample neben einem EternalBlue-Exploit-Tool, dem WinEggDrop-Port-Scanner und einem MS17-010-Scan-Tool enthielt. Das Vorhandensein von Dateipfaden im Upload deutet darauf hin, dass die Malware möglicherweise verwendet wurde, um das russische IT-Unternehmen ATOL ins Visier zu nehmen. Diese Victimology steht auch im Einklang mit den zuvor beobachteten IT-Aktivitäten der Operation Lagtime, bei denen russische und ostasiatische IT-Behörden ins Visier genommen wurden.

Darüber hinaus beschreibt ein Blogbeitrag des Forschers Sebdraven vom November 2020 eine zusätzliche Dokumentenprobe der Royal Road, die er TA428 als Fortsetzung der Operation Lagtime IT zuschreibt. Das Lockdokument täuscht den Absender als mongolische Behörden vor und bezieht sich auf den Konflikt zwischen Armenien und Aserbaidschan, um das Opfer zum Öffnen des Dokuments zu verleiten. Laut Sebdraven verwendet die Datei Version 7 des Royal Road RTF-Weaponizers, der eine sehr einfache Hintertür im Speicher installiert und den EQNEDT32.EXE Prozess neu schreibt. Nachdem die Hintertür erste Informationen über die Festplatte des Zielcomputers, laufende Prozesse, die Windows-Betriebssystemversion und die Benutzerrechte gesammelt hat, versucht sie, die Befehls- und Kontrolldomäne (C2) custom.songuulcomiss[.]COM die unter der malaysischen IP-Adresse 103.106.250[.]239 zum Zeitpunkt der Entdeckung.

Angreiferprofil

TA428 ist eine mit China verbundene Cyberspionagegruppe, die 2019 von Proofpoint-Forschern identifiziert und benannt wurde, aber einige Überschneidungen in Infrastruktur, Victimologyund Tools deuten darauf hin, dass diese Gruppe bereits 2013 aktiv gewesen sein könnte. Es wird angenommen, dass TA428 benutzerdefinierte Toolsets verwendet und auf Organisationen von hohem strategischem Wert für China abzielt, einschließlich, aber nicht beschränkt auf IT, wissenschaftliche Forschung, innere Angelegenheiten, auswärtige Angelegenheiten, politische Prozesse und finanzielle Entwicklung. Im Februar 2021 schrieben NTT-Forscher TA428 eine neue Kampagne zu, die diesmal auf ostasiatische Verteidigungs- und Luftfahrtorganisationen in Russland und der Mongolei abzielte, und zwar mit einer Malware, die sie nccTrojan nennen und die zwischen März 2019 und November 2020 beobachtet wurde.

Indikatoren für eine Gefährdung

Indikatoren für eine Kompromittierung im Zusammenhang mit dieser Kampagne finden Sie im GitHub-Repository der Insikt Group hier.

C2-IPs

103.125.219[.]222 103.249.87[.]72 45.76.211[.]18

Giftiger Efeu

1145d39ce42761862eeb7c46500b3fc5cd0dcd9c0fed35623b577b01d0ec3c8e (C2: nubia.tsagagaar[.]com) 15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb (C2: nubia.tsagagaar[.]com) 33c0be46fea3a981ae94c1ae0b23c04a763f8318706bd9f7530347f579a2282e (C2: Bloomberg.ns02[.]biz)

SteckerX

3a5828fe5e55e52f041ad8d67b12a6fc23ec2d2d37a6adde59139d523f1dfc8b (C2: nubia.tsagagaar[.]com)

Royal Road RTF

4f941e1203bf7c1cb3ec93d42792f7f971f8ec923d11017902481ccf42efaf75 (C2: 95.179.131[.]29 - zuvor mehrere vzglagtime[.]net gehostet Subdomänen)

WinEggDrop-Portscanner

13eaf5c0c0a22b09b9dead93c86f085b6c010e3413b0e27c0616896978871048

EternalBlue Exploit-Tool

82b0488fd910fe428513813343bf3a9a62c7bf450d509f00f437766cdc0c7aea

MS17-010 Scanner

15585fd878af7d9efd6cac2984cf52371312439797ee2c8f8180ad149e3f8b07

TA428-verknüpfte Domänen

aircraft.tsagagaar[.]com ecustoms-mn[.]com f1news.vzglagtime[.]net gazar.ecustoms-mn[.]com govi-altai.ecustoms-mn[.]com news.vzglagtime[.]net niigem.olloo-news[.]com nubia.tsagagaar[.]com olloo-news[.]com oolnewsmongol.ddns[.]info bloomberg.mefound[.]com bloomberg.ns02[.]biz nmcustoms.https443[.]org gogonews.organiccrap[.]com tsagagaar[.]com vzglagtime[.]net