_Scope Note: Recorded Future’s Insikt Group analyzed network indicators of compromise and TTPs relating to an intrusion incident targeting a U.K.-based engineering company. Sources include Recorded Future’s product, VirusTotal, ReversingLabs, DomainTools Iris, and PassiveTotal, along with third-party metadata and common OSINT techniques.

This report will be of greatest interest to organizations within the high-tech engineering industries in the U.S., Europe, and Japan, as well as those investigating Chinese state-sponsored cyberespionage._

Executive Summary

Employees of a U.K.-based engineering company were among the targeted victims of a spearphishing campaign in early July 2018. The campaign also targeted an email address possibly belonging to a freelance journalist based in Cambodia who covers Cambodian politics, human rights, and Chinese development. We believe both attacks used the same infrastructure as a reported campaign by Chinese threat actor TEMP.Periscope (also known as Leviathan), which targeted Cambodian entities in the run-up to their July 2018 elections. Crucially, TEMP.Periscope’s interest in the U.K. engineering company they targeted dates back to attempted intrusions in May 2017.

Based on the available data and evidence outlined in this report, Recorded Future assesses with medium confidence that Chinese threat actor TEMP.Periscope reused publicly reported, sophisticated TTPs from Russian threat groups Dragonfly and APT28 to target the U.K. engineering company, likely to gain access to sensitive and proprietary technologies and data. We believe TEMP.Periscope reused published TTPs either to increase the group’s chances of success in gaining access to the victim network or to evade attribution by laying false flags to confuse researchers.

Timeline of selected APT28, Dragonfly, and TEMP.Periscope TTP disclosures and activity.

Key Judgments

• Les attaquants ont probablement utilisé un domaine de commande et de contrôle (C2), scsnewstoday[.]com, qui a été identifié dans une récente campagne TEMP.Periscope visant le gouvernement cambodgien.
• The attackers used a Chinese email client, Foxmail, to send the spearphishing attack.
• Une technique unique, répertoriée comme TTP Dragonfly, a été utilisée pour cibler des infrastructures critiques lors de cette attaque. Cette technique tente d'obtenir les informations d'identification SMB à l'aide d'un chemin « file:// » dans le spearphishing qui appelle un C2 malveillant.
• The attack probably made use of a version of the open source tool Responder as an NBT-NS poisoner. APT28 used Responder in attacks against travelers staying at hotels in 2017.
• Cette société d'ingénierie britannique avait déjà été prise pour cible par TEMP.Periscope lors d'une campagne menée en mai 2017, qui utilisait la même infrastructure C2 que celle employée pour cibler des entités américaines issues des secteurs de l'ingénierie et de l'enseignement supérieur en septembre 2017, comme le détaille le rapport Leviathan de Proofpoint.

Background

TEMP.Periscope est un acteur malveillant chinois soutenu par l'État qui s'est fait connaître du grand public en octobre 2017, lorsque des rapports ont fait état d'un groupe appelé Leviathan. Leviathan a utilisé une combinaison d'outils uniques et open source pour cibler les industries maritimes et de défense à des fins d'espionnage. Le rapport présente une couverture détaillée du groupe remontant au moins à 2014.

Quelques mois plus tard, des rapports ont fait état de nouvelles activités visant les secteurs maritime et de la défense, principalement des entreprises américaines et européennes, et ont fourni davantage de détails sur les TTP du groupe. Cette activité a été associée à un nouveau nom d'acteur malveillant, TEMP.Periscope, mais les auteurs du rapport ont noté que Leviathan et TEMP.Periscope étaient en réalité le même groupe.

Le ciblage accru des entités spécialisées dans l'ingénierie marine de haute technologie a coïncidé avec l'intensification des tensions régionales autour des revendications de la Chine sur une grande partie du territoire de la mer de Chine méridionale (SCS). Le cyberespionnage chinois visant les pays riverains de la mer de Chine méridionale a continué de s'intensifier en 2018, avec des rapports faisant état de l'utilisation de TEMP.Periscope contre le Cambodge avant les élections de juillet 2018. En outre, des attaques telles que celle découverte début 2018 contre un sous-traitant de la marine américaine, qui a entraîné le vol d'une quantité considérable de données hautement sensibles, notamment des plans pour le développement d'un missile antinavire supersonique basé sur un sous-marin, démontrent que la Chine continue de cibler les technologies navales de pointe afin de combler son retard technologique sur les États-Unis.

Threat Analysis

The Infection Vector

The attempted intrusion we studied targeted the network of a U.K. company that provides specialist engineering solutions. The U.K. engineering company shared details of the attempted spearphish with Recorded Future, and the following IOCs served as a starting point for our investigation.

Les en-têtes de l'e-mail ont révélé que le spearphishing a été envoyé le 6 juillet 2018 à 9h30 UTC, via Foxmail. Foxmail est un client de messagerie électronique gratuit développé par Tencent, l'une des trois plus grandes sociétés de services Internet en Chine. Foxmail compte plus de trois millions d'utilisateurs quotidiens en Chine et a déjà été associé à des activités APT chinoises.

In addition to email addresses belonging to the U.K. engineering company’s employees, the same spearphish was also sent to an email address possibly belonging to a journalist based in Cambodia. The sender account was spoofing an Australian journalist and lawyer, who among other things writes about Cambodian civil and social matters and has written for the Phnom Penh Post.

In a spearphishing campaign targeting the Cambodian elections in July 2018, Chinese threat actor TEMP.Periscope spoofed the sender address and impersonated a worker from a Cambodian nongovernmental organization (NGO).

Snippet of a spearphish email shared by the targeted U.K. engineering company.

The email contained two malicious links. The first, a “file://” link, if clicked, would generate an SMB session. The second link was to a .url file that was also configured to create an outbound SMB connection.

The threat actor masqueraded as a Cambodian reporter requesting further information from the victim to be uploaded to her “report website.” However, spelling and punctuation errors in the message alerted network defenders at the victim organization.

Our analysis of the metadata contained within the email header and a subsequent controlled interaction with the file share over SMB revealed several interesting characteristics of the attempted intrusion.

Responder: The “NetBIOS Poisoner”

Tout d'abord, nous avons analysé le lien du chemin d'accès au fichier SMB. Nous avons observé le nom d'hôte WIN-PRH492RQAFV sur C2 82.118.242[.]243. lorsqu'il a tenté d'obtenir les informations d'identification SMB du réseau de la victime. Nous avons ensuite remarqué que le nom d'hôte WIN-PRH492RQAFV était codé en dur dans plusieurs versions dérivées d'un outil de piratage Python appelé Responder sur GitHub. Une version de Responder avec ce nom d'hôte a été trouvée dans une version de^P4wnP11 téléchargée sur BeeBin, un service gratuit de téléchargement de fichiers, et une autre version avec le même nom d'hôte a été trouvée dans PiBunny.

La chaîne WIN-PRH492RQAFV est présente dans une version modifiée de Responder sur GitHub.

Responder a été publié en janvier 2014. Il est décrit comme suit dans son fichier README répertorié sur le référentiel GitHub officiel: « Responder est un poisoner LLMNR, NBT-NS et MDNS. Il répondra aux requêtes NBT-NS (NetBIOS Name Service) spécifiques en fonction de leur suffixe de nom (voir : http://support.microsoft.com/kb/163409). Par défaut, l'outil ne répondra qu'aux requêtes du service File Server, qui est destiné au protocole SMB. Le concept derrière cela est de cibler nos réponses et d'être plus discrets sur le réseau... »

Malicious use of Responder was first publicly documented on August 11, 2017 as being used by APT28, also known as Fancy Bear. The tool was used against hotel visitors to spoof NetBios resources. Victims were coerced into connecting to UDP port 137 and disclosing credentials over SMB to APT28, which the threat actor then used to gain elevated access to the network.

More Lessons From Russia: SMB Credential Harvesting Using “file://” Path

Building on the use of Responder, the threat actor also appeared to borrow techniques originating from a different Russian threat actor, Dragonfly, also known as Energetic Bear or Crouching Yeti.

Le chemin « file://82.118.242[.]243/[SUPPRIMÉ] » utilisé dans le spearphishing était susceptible de voler les identifiants SMB en créant une balise d'image invisible que l'hôte tente de récupérer via SMB, tout en fournissant aux attaquants une valeur hachée du mot de passe NTLM de l'utilisateur. Lors de l'exécution du code, le navigateur crée une balise d'image invisible et définit l'URL vers un serveur d'attaque à l'aide du schéma de protocole « file:// », qui transmet également le hachage NTLM de connexion de l'utilisateur. Cela a permis de créer un point de rencontre efficace pour identifier les victimes potentielles et recueillir des informations d'identification en vue d'incursions ultérieures dans les réseaux ciblés.

Cette technique consistant à exploiter le chemin d'accès « file:// » pour déclencher une connexion SMB a été décrite pour la première fois publiquement par l'US-CERT le 15 mars 2018. Il s'agit d'une technique sophistiquée utilisée par des acteurs gouvernementaux russes soupçonnés d'être à l'origine de la menace Dragonfly, qui cible le secteur de l'énergie et d'autres infrastructures critiques.

SWC Hosted On 82.118.242[.]243?

Registration details for 82.118.242[.]243, the IP associated with the SMB credential theft detailed above, proved to be inconclusive. WHOIS referenced the IP within a massive range registered to the U.K. ISP Virgin Media (82.0.0.0 - 82.47.255.255). However, MaxMind resolved the IP to Bulgarian hosting provider Histate Global Corp.

Based on the listed vulnerabilities in Shodan and scan results for the machine, 82.118.242[.]242 is a web server likely running Windows Internet Information Services (IIS) 7.5. It has ports 22, 80, 88, 443, 445, 587, 902, and 5985 open.

Vulnerabilities likely associated with 82.118.242[.]243.

Une autre adresse IP appartenant à la même plage CIDR /24, 82.118.242[.]124, a été signalé dans Recorded Future avec un score de risque anormalement élevé de 89 en juillet 2018. Cela était dû au fait que l'adresse IP figurait dans la liste IOC de Cisco Talos en tant que logiciel malveillant de deuxième phase associé au botnet VPNFilter. Ce botnet a été attribué à APT28 par le ministère américain de la Justice.

Based on the vulnerability of the web server 82.118.242[.]243 and the use of the “file://” SMB credential stealing technique directing the victim to the IP, we believe the threat actor compromised the web server and used it as a targeted watering hole to illicitly acquire SMB credentials from victims during this campaign.

WIN-AB2I27TG6FK and Chinese Threat Actor TEMP.Periscope

Hostname WIN-AB2I27TG6FK was observed as the NetBios server name of the device sending the spearphish from the VPN IP 193.180.255[.]2.

Une recherche open source sur le nom d'hôte WIN-AB2I27TG6FK a révélé un répertoire ouvert (lien mis en cache par Google) à l'URL scsnewstoday[.]com/news/, qui hébergeait plusieurs fichiers contenant le nom d'hôte dans leur nom (voir la capture d'écran du domaine ci-dessous). Le domaine avait précédemment été signalé comme un C2 utilisé par l'acteur malveillant chinois TEMP.Periscope pour diffuser son téléchargeur AIRBREAK. AIRBREAK, également connu sous le nom d'Orz, est une porte dérobée basée sur JavaScript qui récupère des commandes à partir de chaînes cachées dans des pages Web compromises et des profils contrôlés par des acteurs malveillants sur des services légitimes.

Liste de fichiers sur un répertoire ouvert hébergé à l'adresse http://scsnewstoday\[.]com/news.

Outre AIRBREAK, le serveur C2 de scsnewstoday aurait hébergé d'autres logiciels malveillants et des journaux liés à l'activité malveillante TEMP.Periscope qui visait des entités cambodgiennes à l'approche des élections dans le pays. L'attaque par spearphishing contre la société d'ingénierie britannique s'est produite au moment où cette campagne était active, début juillet 2018. À en juger par la convention de nommage utilisée pour les noms de fichiers dans le répertoire ouvert, C2S et S2C sont probablement liés à des connexions client-serveur et serveur-client avec le nom d'hôte WIN-AB2I27TG6FK, qui, selon notre évaluation, est susceptible d'être le nom d'hôte associé à scsnewstoday[.]com. C2. Nous nous attendrions à voir beaucoup plus de fichiers répertoriés si les noms d'hôte dans les noms de fichiers étaient liés aux clients, ou victimes, ciblés par TEMP.Periscope.

Le domaine scsnewstoday[.]com était hébergé sur l'adresse IP américaine 68.65.123[.]230. et enregistré auprès du service d'hébergement de domaines Namecheap jusqu'au 11 juillet 2018. Les détails du domaine C2 ont été publiés la veille, ce qui, selon nous, a pu inquiéter les opérateurs de TEMP.Periscope, les amenant à abandonner ce domaine. Malheureusement, le répertoire ouvert n'est plus accessible, ce qui nous a empêchés de comprendre la nature exacte des trois fichiers contenant le nom d'hôte WIN-AB2I27TG6FK.

Selon des rapports du secteur, le groupe d'espionnage chinois TEMP.Periscope mène depuis au moins 2013 des activités à grande échelle de phishing, d'intrusion, de chevaux de Troie d'accès à distance (RAT) et d'exfiltration de données. Le ciblage s'est principalement concentré sur les entités liées au secteur maritime dans plusieurs industries, notamment l'ingénierie, le transport maritime, la fabrication, la défense, les administrations publiques et les universités de recherche. Cependant, le groupe a également ciblé les services professionnels et de conseil, l'industrie de haute technologie, les soins de santé, ainsi que les médias et l'édition.

Originating IP for Spearphish 193.180.255[.]2

Cette adresse IP est apparue dans les informations d'en-tête de l'e-mail en tant qu'adresse IP X-Forwarded-For, indiquant qu'il s'agissait de l'adresse IP d'origine de l'expéditeur du spearphishing. Les données d'enregistrement WHOIS ont révélé que l'adresse IP 193.180.255[.]2 est enregistrée au nom de Privat Kommunikation Sverige AB, qui est le nom complet de PrivateVPN, un service VPN commercial très populaire. La société indique qu'elle prend en charge les protocoles OpenVPN sur TCP/UDP, L2TP, IPSEC, PPTP et IKEv2.

Recorded Future identified three VPN connections involving the 193.180.255[.]2 IP between June 30 and July 1, 2018. All three connections were over UDP 500 (IKE/IKEv2), originating from Bangladesh IP 103.198.138[.]187.

Additionally, between July 3 and July 10, 2018, 193.180.255[.]2 established SSH (TCP 22), NetBios (TCP 139), and Microsoft SMB (TCP 445) connections to the malicious SMB credential harvesting C2 82.118.242[.]243. Interestingly, these connections took place during the seven-day window within which the spearphish was sent.

Historic Targeting of U.K. Engineering Company by TEMP.Periscope

Prior to this attempt in July, the same U.K. engineering company had previously been targeted in May 2017. This campaign used the ETERNALBLUE exploit and a unique DNS tunneler backdoor. The DNS tunneler used in the attack was configured to communicate with a subdomain of thyssenkrupp-marinesystems[.]org. The domain was clearly spoofing German defense contractor ThyssenKrupp Marine Systems, which specializes in marine engineering. In addition to hosting the spoofed domain, Netherlands-based HostSailor VPS IP 185.106.120[.]206 also hosted an open directory containing malware and tools for use by the threat actor, not dissimilar to the TEMP.Periscope scsnewstoday[.]com C2 and open directory set up.

L'analyse effectuée par Recorded Future sur le domaine usurpé a révélé que ce serveur hébergeait le chargeur JavaScript SeDll SHA256 : 146aa9a0ec013aa5bdba9ea9d29f59d48d43bc17c6a20b74bb8c521dbb5bc6f4, qui avait été utilisé en août 2017 par Leviathan (également connu sous le nom de TEMP.Periscope) pour exécuter une autre porte dérobée Javascript, AIRBREAK. Il est important de noter que la première mention de Leviathan en tant qu'acteur malveillant chinois remonte à octobre 2017, ce qui signifie que TEMP.Periscope utilisait la même infrastructure pour cibler la société d'ingénierie britannique six mois plus tôt.

In November 2017, another spearphish leveraging Microsoft Equation Editor vulnerability CVE-2017-11882 was sent to the U.K. engineering company. This attack delivered a Cobalt Strike payload.

Conclusions and Outlook

The attempted spearphish has revealed a suite of TTPs that are linked to the recent activities of several different threat actors: APT28, Dragonfly, and TEMP.Periscope. We have listed the key TTPs observed in this attack in a chronological format in order to draw attention to the likelihood of techniques being copied from publicly disclosed reporting of these TTPs. These are summarized in the table below:

Summary of observed TTPs used in attacks and links to similar APT TTPs.

Given that most of the listed APT28, Dragonfly, and TEMP.Periscope TTPs have already been published, we believe there are three likely scenarios for the activity observed:

• A Russian threat actor was responsible and borrowed TEMP.Periscope TTPs.
• TEMP.Periscope was responsible and borrowed Russian threat actor TTPs.
• Another threat actor was responsible that used TTPs from the Russian groups and TEMP.Periscope.

In order to assess which of the three hypotheses above best explains our observations, we assessed the accumulated evidence detailed in this report.

First, we are certain that the attacker used IP 193.180.255[.]2 as a VPN endpoint to send the spearphish because the IP address resolves to Swedish VPN service PrivateVPN. We are also certain that the device that sent the spearphish was associated with the WIN-AB2I27TG6FK hostname. Further, we can state that this hostname was used in the filename of several files hosted on a known TEMP.Periscope C2, which had an open directory. As outlined earlier in this report, we believe the sender of the spearphish, WIN-AB2I27TG6FK, is probably the hostname of the TEMP.Periscope open directory hosted at scsnewstoday[.]com.

The spearphish was sent on July 6, 2018. Just a few days later, FireEye reported on a TEMP.Periscope campaign targeting the Cambodian elections in July 2018 that used the open directory hosted on scsnewstoday[.]com as a C2. The report noted that the same infrastructure was likely active since at least April 2017.

Deuxièmement, le chemin d'accès « file:// » inclus dans le spearphishing renvoyant vers le C2 82.118.242[.]243 a été conçu pour voler des identifiants via SMB. Cette technique a été documentée publiquement en tant que TTP (technique, tactique et procédure) de l'acteur malveillant Dragonfly par l'US-CERT en mars 2018, soit près de quatre mois avant l'attaque observée.

The observed hostname on the 82.118.242[.]243 IP was WIN-PRH492RQAFV, which we found was hard coded in a forked Responder script on GitHub. The original Responder script has previously been used by another Russian threat actor, APT28, according to reporting published in August 2017.

Timeline of selected APT28, Dragonfly, and TEMP.Periscope TTP disclosures and activity.

TEM^P.Periscope est suivi de près par la communauté des chercheurs depuis au moins octobre 2017, soit deux mois après la divulgation par FireEye, en août 2017, de l'utilisation de Responder par APT28. Depuis lors, les activités de TEMP.Periscope ont fait l'objet de nombreux articles en 2018, notamment concernant des campagnes contre des entreprises d'ingénierie maritime américaines et européennes et contre le gouvernement cambodgien. Il convient de noter ici que le spearphish que nous avons observé a également été envoyé à un compte de messagerie contenant le nom d'un journaliste basé au Cambodge et provenait d'un compte usurpant l'identité d'un journaliste australien qui avait précédemment publié des articles sur des sujets cambodgiens.

Therefore, it is plausible that, with the timeline of Russian tooling being made public prior to the disclosure of the TEMP.Periscope campaigns, TEMP.Periscope adapted their TTPs to either hinder attribution efforts or to simply use techniques that they deemed would be effective.

The overlap in infrastructure with the scsnewstoday[.]com C2 domain is also key; the domain was publicly reported by FireEye as being used by TEMP.Periscope only a few days after the spearphish to the U.K. engineering company was sent, making it highly unlikely that another threat actor could have compromised the C2. Additionally, the longer-term targeting of the U.K. engineering company by TEMP.Periscope since at least May 2017 highlights the group’s persistence in attempting to gain access.

Based on the available data and evidence outlined in this report, Recorded Future assesses with medium confidence that Chinese threat actor TEMP.Periscope reused TTPs from other threat groups to target the U.K. engineering company, likely to gain access to their sensitive and proprietary technologies and data. TEMP.Periscope has demonstrated an ability to rapidly adapt its TTPs to learn from other groups, such as APT28 and Dragonfly, either to increase their chances of success in gaining access to the victim network or to obfuscate attribution attempts.

Recorded Future expects TEMP.Periscope to continue to target organizations in the high-tech defense and engineering sectors. The Chinese strategic requirement to develop advanced technology, particularly in marine engineering, remains an intense focus as China looks to dominate the South China Sea territory. We believe TEMP.Periscope will continue to use commodity malware because it is still broadly successful and relatively low cost for them to use. They will continue to observe “trending” vulnerabilities to exploit and use techniques that have been publicly reported in order to gain access to victim networks.

Finally, Recorded Future believes that threat actors are actively emulating each other, monitoring publications and data sources both to protect their infrastructure and to observe techniques that rival actors are using. We anticipate that adversaries will continue to plant false flags, either via technical means (as observed in the Olympic Destroyer campaign) or with technique emulation. As means of detection have drastically improved, the public identification of code overlap and the mapping of TTPs plays into the hands of well-coordinated operations, which can now make attribution findings murky at best. The samples and techniques named in a report can now rapidly be transposed into new or ongoing campaigns due to the volume of public reporting on these issues. This muddying of the waters allows targeted campaigns to better blend in with the noise, attempting to blur the lines between adversary groups.

Network Defense Recommendations

Recorded Future recommends organizations conduct the following measures when defending against TEMP.Periscope’s attempts to steal credentials to gain network access:

• Configure your intrusion detection systems (IDS), intrusion prevention systems (IPS), or any network defense mechanisms in place to alert on — and upon review, consider blocking illicit connection attempts from — the external IP addresses and domains listed in Appendix A.
• Include the provided Snort rules in Appendix B in IDS and IPS appliances to detect attempted SMB credential stealing. Also, if applicable, use the provided Bro queries in Appendix B to hunt for signs of TEMP.Periscope TTPs detailed in this report on your network.
• Use Recorded Future’s API to import indicators listed in this report (Appendix A) into your endpoint detection and response (EDR) platform.
• Configure endpoint detection and response traffic to alert and block connections to indicators in Appendix A.
• Utilize the provided Yara rule in Appendix C to search your network for evidence of the spearphish being sent to your organization.
• Monitor and restrict SMB traffic across your network, particularly external attempts to authenticate via SMB.

To view a full list of the associated indicators of compromise, download the appendix.

¹P4wnP1 is a highly customizable USB attack platform based on a Raspberry Pi Zero computer.

² F-Secure published research in August 2016 on their investigations into the NanHaiShu RAT, which has since been attributed to TEMP.Periscope (Leviathan).