Recorded Future’s Insikt Group recently identified renewed activity attributed to the suspected Chinese threat activity group TA428. The identified activity overlaps with a TA428 campaign previously reported by Proofpoint as “Operation LagTime IT”, which targeted Russian and East Asian government information technology agencies in 2019. Based on the infrastructure, tactics, and victim organization identified, we assess that TA428 likely continues to engage in intrusion activity targeting organizations in Russia and Mongolia.

Infrastructure and Targeting

Le 21 janvier 2021, Insikt Group a détecté le serveur C2 PlugX 103.125.219[.]222. (Hébergeur : VPSServer[.]com) hébergeant plusieurs domaines usurpant l'identité de divers médias d'information mongols. L'un des domaines, f1news.vzglagtime[.]net, précédemment publié dans le blog Proofpoint Operation LagTime IT mentionné ci-dessus. Au moment de la publication du blog Proofpoint en juillet 2019, le domaine vzglagtime[.]net Le domaine était hébergé sur 45.76.211[.]18. via l'hébergeur Vultr. Selon les données DNS passives, cette adresse IP hébergeait également les domaines à thème mongol au même moment, renforçant ainsi les similitudes entre ces domaines TA428 suspects non signalés et l'activité informatique de l'opération LagTime. Les sous-domaines semblent usurper des noms et des mots familiers liés à l'actualité, tant en anglais qu'en mongol. Insikt Group a également identifié deux sous-domaines dans cette campagne contenant le terme « Bloomberg », une agence de presse basée aux États-Unis. Cependant, nous n'avons aucune autre indication permettant de conclure que cette campagne visait des entreprises américaines. Les sous-domaines de cette campagne utilisaient des termes familiers pour inciter les victimes à faire confiance à ces sites. Ces domaines non signalés comprennent les suivants :

Malware Analysis

Insikt Group a identifié plusieurs échantillons Royal Road, Poison Ivy et PlugX communiquant avec l'infrastructure nouvellement identifiée liée à TA428. Cela correspond étroitement aux précédents rapports de Proofpoint et NTT Security sur les activités de TA428. En particulier, l'échantillon PoisonIvy suivant a été téléchargé vers une source de multi-analyse de logiciels malveillants en décembre 2020 :

15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb (filename: x64.dll)

1145d39ce42761862eeb7c46500b3fc5cd0dcd9c0fed35623b577b01d0ec3c8e (filename: x86.dll)

Le fichier x86.dll est conçu pour un environnement 32 bits et le fichier x64.dll pour un environnement 64 bits. Une fois exécuté, le fichier DLL dépose deux fichiers : PotPlayerMini.exe, un fichier exécutable légitime vulnérable au détournement de DLL, et PotPlayer.dll, qui contient le code malveillant. Une charge utile PoisonIvy. PotPlayerMini.exe est exécuté pour charger la DLL malveillante PoisonIvy, qui, dans ce cas, est configurée pour communiquer avec le domaine C2 nubia.tsagagaar[.]com. Cette séquence de chargement de PoisonIvy correspond exactement à l'activité TA428 décrite par NTT Security en octobre 2020. Les chercheurs de NTT ont découvert que le groupe avait utilisé l'exploit EternalBlue pour se déplacer latéralement et injecter les fichiers DLL initiaux dans le processus lsass.exe sur l'hôte cible.

Figure 1: Malware analysis of recent TA428 sample

Insikt Group a également identifié un téléchargement de sandbox malveillant contenant l'échantillon PoisonIvy lié à TA428 vu ci-dessus, ainsi qu'un outil d'exploitation EternalBlue, le scanner de ports WinEggDrop et un outil d'analyse MS17-010. La présence de chemins d'accès à des fichiers dans le fichier téléchargé suggère que le logiciel malveillant a peut-être été utilisé pour cibler la société informatique russe ATOL. Victimology Cette opération, baptisée « Lagtime », s'inscrit également dans le cadre de l'activité informatique « Operation Lagtime » observée précédemment, qui visait les agences gouvernementales russes et est-asiatiques spécialisées dans les technologies de l'information.

De plus, un article de blog publié en novembre 2020 par le chercheur Sebdraven présente un autre exemple de document Royal Road qu'il attribue à TA428 dans le cadre de la poursuite de l'opération Lagtime IT. Le document d'appât usurpe l'identité des autorités mongoles et fait référence au conflit entre l'Arménie et l'Azerbaïdjan afin d'inciter la victime à ouvrir le document. Selon Sebdraven, le fichier utilise la version 7 de l'outil d'armement RTF Royal Road, qui installe une porte dérobée très simple dans la mémoire, réécrivant le processus EQNEDT32.EXE. Une fois que la porte dérobée a recueilli les informations initiales sur le disque de la machine cible, les processus en cours d'exécution, la version du système d'exploitation Windows et les privilèges utilisateur, elle tente de contacter le domaine de commande et de contrôle (C2) custom.songuulcomiss[.]com. qui était hébergé sur l'adresse IP malaisienne 103.106.250[.]239 au moment de la découverte.

Attacker Profile

TA428 est un groupe de cyberespionnage lié à la Chine, identifié et nommé par les chercheurs de Proofpoint en 2019. Cependant, certains recoupements au niveau de l'infrastructure, de l' Victimology et des outils utilisés indiquent que ce groupe pourrait être actif depuis 2013. On estime que le TA428 utilise des outils personnalisés et cible des organisations présentant une grande valeur stratégique pour la Chine, notamment dans les domaines de l'informatique, de la recherche scientifique, des affaires intérieures, des affaires étrangères, des processus politiques et du développement financier. En février 2021, les chercheurs de NTT ont attribué une nouvelle campagne à TA428, visant cette fois-ci des organisations de défense et d'aviation d'Asie de l'Est en Russie et en Mongolie avec un logiciel malveillant appelé nccTrojan, observé entre mars 2019 et novembre 2020.

Indicators of Compromise

Les indicateurs de compromission liés à cette campagne sont disponibles sur le référentiel GitHub d'Insikt Group, ici.

C2 IPs

103.125.219[.]222 103.249.87[.]72 45.76.211[.]18

Poison Ivy

1145d39ce42761862eeb7c46500b3fc5cd0dcd9c0fed35623b577b01d0ec3c8e (C2: nubia.tsagagaar[.]com) 15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb (C2: nubia.tsagagaar[.]com) 33c0be46fea3a981ae94c1ae0b23c04a763f8318706bd9f7530347f579a2282e (C2: bloomberg.ns02[.]biz)

PlugX

3a5828fe5e55e52f041ad8d67b12a6fc23ec2d2d37a6adde59139d523f1dfc8b (C2: nubia.tsagagaar[.]com)

Royal Road RTF

4f941e1203bf7c1cb3ec93d42792f7f971f8ec923d11017902481ccf42efaf75 (C2: 95.179.131[.]29 - previous hosted multiple vzglagtime[.]net subdomains)

WinEggDrop Port Scanner

13eaf5c0c0a22b09b9dead93c86f085b6c010e3413b0e27c0616896978871048

EternalBlue Exploit Tool

82b0488fd910fe428513813343bf3a9a62c7bf450d509f00f437766cdc0c7aea

MS17-010 Scanner

15585fd878af7d9efd6cac2984cf52371312439797ee2c8f8180ad149e3f8b07

TA428-linked Domains

aircraft.tsagagaar[.]com ecustoms-mn[.]com f1news.vzglagtime[.]net gazar.ecustoms-mn[.]com govi-altai.ecustoms-mn[.]com news.vzglagtime[.]net niigem.olloo-news[.]com nubia.tsagagaar[.]com olloo-news[.]com oolnewsmongol.ddns[.]info bloomberg.mefound[.]com bloomberg.ns02[.]biz nmcustoms.https443[.]org gogonews.organiccrap[.]com tsagagaar[.]com vzglagtime[.]net