Recorded FutureのInsikt Groupは最近、中国の脅威活動グループが疑われるTA428に起因する新たな活動を特定しました。 特定された活動は、2019年にロシアと東アジアの政府の情報技術機関を標的にした「Operation LagTime IT」としてProofpointが以前に報告したTA428キャンペーンと重複しています。 特定されたインフラ、戦術、被害者組織から、TA428はロシアとモンゴルの組織を標的とした侵入活動を続けている可能性が高いと評価しています。

インフラストラクチャとターゲティング

2021年1月21日、Insikt GroupはPlugX C2サーバー103.125.219[.]222(ホスティングプロバイダー:VPSServer[.]com) は、さまざまなモンゴルのニュースを偽装する複数のドメインをホストしています。 ドメインの 1 つである f1news.vzglagtime[.]網以前、前述のProofpoint Operation LagTime IT ブログに掲載されました。2019年7月のProofpointブログの公開時点では、vzglagtime[.]網ドメインは 45.76.211[.] でホストされていました。18ホスティングプロバイダーの Vultrを通じて。パッシブ DNS データによると、この IP アドレスはモンゴルをテーマにしたドメインも同時にホストしており、これらの報告されていない疑わしい TA428 ドメインと Operation LagTime IT アクティビティとの重複がさらに強化されました。サブドメインは、英語とモンゴル語の両方で、ニュースをテーマにしたおなじみの名前や単語を偽装しているようです。Insikt Groupはまた、このキャンペーンで、米国に本拠を置く通信社である「Bloomberg」という用語を含む2つのサブドメインを特定しました。しかし、このキャンペーンが米国企業を標的にしたという兆候は他にありません。このキャンペーンのサブドメインは、被害者をこれらのサイトを信頼させるためにおなじみの用語を使用しました。これらの未報告ドメインには、次のものが含まれます。

マルウェア分析

Insikt Group は、新たに特定された TA428 リンク インフラストラクチャと通信する複数の Royal Road、Poison Ivy、および PlugX サンプルを特定しました。これは、 Proofpoint と NTT Security によるTA428の活動に関する以前の(脅威についての)レポート作成と密接に一致しています。 特に、次のPoisonIvyサンプルは、2020年12月にマルウェアマルチスキャン情報源にアップロードされました。

15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb(ファイル名:x64.dll)

1145D39CE42761862EEB7C46500B3FC5CD0DCD9C0Fed35623B577B01D0EC3C8E (ファイル名: x86.dll)

x86.dllは32ビット環境用に設計されており、x64.dllは64ビット環境用に設計されています。実行されると、DLL ファイルは DLL ハイジャックに対して脆弱な正規の実行可能ファイルである PotPlayerMini.exe と、PotPlayer.dll の 2 つのファイルを削除します。PoisonIvy ペイロード。PotPlayerMini.exe は、悪意のある PoisonIvy DLL をロードするために実行され、この場合は C2 ドメイン nubia.tsagagaar[.]comです。このPoisonIvyのローディングシーケンスは、2020年10月に NTTセキュリティ によって記述されたTA428のアクティビティと直接一致します。NTTの研究者らは、このグループがEternalBlueエクスプロイトを使用して横方向に移動し、ターゲットホストのlsass.exeプロセスに初期DLLファイルを挿入していることを発見しました。

図1:最近のTA428サンプルのマルウェア分析

Insikt Group は、上記の TA428 にリンクされた PoisonIvy サンプルと、EternalBlue エクスプロイト ツール、WinEggDrop ポート スキャナー、MS17-010 スキャン ツールを含むマルウェア サンドボックス アップロード も特定しました。アップロード内にファイル パスが存在することから、このマルウェアがロシアの IT 企業 ATOL を標的にするために使用された可能性があることが示唆されます。この Victimology は、ロシアと東アジアの政府情報技術機関を標的にした、以前に観察されたラグタイム作戦のIT活動とも一致しています。

さらに、2020 年 11 月の研究者 Sebdraven による ブログ投稿 では、ラグタイム IT 作戦の継続として TA428 に帰属する追加の Royal Road 文書サンプルについて詳しく説明しています。おとり文書は送信者をモンゴル当局と偽装し、被害者を文書を開くように誘惑するためにアルメニアとアゼルバイジャンの紛争に言及している。Sebdraven 氏によると、このファイルは Royal Road RTF weaponizer のバージョン 7 を使用しており、メモリに非常に単純なバックドアをインストールし、EQNEDT32.EXE プロセスを書き換えます。バックドアは、ターゲットマシンのディスク、実行中のプロセス、Windows OSのバージョン、およびユーザー権限に関する初期情報を収集した後、コマンド&コントロール(C2)ドメインcustom.songuulcomiss[.]com、マレーシアのIPアドレス103.106.250[.]239発見時。

攻撃者プロファイル

TA428は、2019年にProofpointの研究者によって特定され、名前が付けられた中国に関連するサイバースパイグループですが、インフラストラクチャ、 Victimology、ツールの重複がいくつかあることから、このグループは 2013年にまでさかのぼって活動していた可能性があります。 TA428はカスタムツールセットを使用し、IT、科学研究、内政、外交、政治プロセス、金融開発など、中国にとって戦略的価値の高い組織を対象としていると考えられています。2021年2月、NTTの研究者は、2019年3月から2020年11月にかけて観測された、ロシアとモンゴルの東アジアの防衛・航空組織を標的にした、NCCTrojanと呼ばれるマルウェアでTA428が新たな キャンペーン を行ったと判断しました。

侵害の兆候

このキャンペーンに関連する侵害、ハッキングの指標は、こちらのInsikt Group GitHubリポジトリにあります。

C2のIP

103.125.219[.]222 103.249.87[.]72 45.76.211[.]18

ツタウルシ

1145d39ce42761862eeb7c46500b3fc5cd0dcd9c0fed35623b577b01d0ec3c8e (C2: nubia.tsagagaar[.]com) 15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb (C2: nubia.tsagagaar[.]com) 33C0BE46FEA3A981AE94C1AE0B23C04A763F8318706BD9F7530347F579A2282E (C2: bloomberg.ns02[.]ビズ)

プラグX

3a5828fe5e55e52f041ad8d67b12a6fc23ec2d2d37a6adde59139d523f1dfc8b (C2: nubia.tsagagaar[.]com)

ロイヤルロードRTF

4f941e1203bf7c1cb3ec93d42792f7f971f8ec923d11017902481ccf42efaf75 (C2: 95.179.131[.]29 - 以前は複数のvzglagtime[.]網 サブドメイン)

WinEggDropポートスキャナー

13EAF5C0C0A22B09B9dead93C86F085B6C010E3413B0E27C0616896978871048

EternalBlueエクスプロイトツール

82B0488FD910FE428513813343BF3A9A62C7BF450D509F00F437766CDCC0C7AEA

MS17-010スキャナー

15585fd878af7d9efd6cac2984cf52371312439797ee2c8f8180ad149e3f8b07

TA428 リンクドメイン

aircraft.tsagagaar[.]コム ecustoms-mn[.]コム f1news.vzglagtime[.]網 gazar.ecustoms-mn[.]コム govi-altai.ecustoms-mn[.]コム news.vzglagtime[.]網 niigem.olloo-ニュースコム nubia.tsagagaar[.]コム olloo-ニュース[.]コム oolnewsmongol.ddns[.]情報 bloomberg.mefound[.]コム bloomberg.ns02[.]ビジネス nmcustoms.https443[.]組織 gogonews.organiccrap[.]コム ツァガガール[.]コム vzglagtime[.]網