脆弱なMicrosoft Exchangeサーバーを悪用する中国のグループCalypso APTの疑い

脆弱なMicrosoft Exchangeサーバーを悪用する中国のグループCalypso APTの疑い

insikt-logo-blog.png

2021年3月1日以降、Recorded FutureのInsikt Groupは、中国の国営グループであるCalypso APTの疑いがあると公にされているPlugXのコマンド&コントロール(C2)インフラストラクチャへの被害者の通信が大幅に増加していることを確認しました。 この活動は、 最近公開された Microsoft Exchangeの脆弱性(別名ProxyLogon:CVE-2021-26855、CVE-2021-27065)の悪用に関連している可能性が高いと考えています。 私たちの観察結果は、 ESET による最近のレポートと一致しており、このグループは脆弱なExchangeサーバーを標的にしてWebシェルを展開し、最終的にエクスプロイト後にPlugXマルウェアをロードすることが特定されました。

標的となった組織は地理的に広範囲に及び、複数の業界をカバーしていたため、標的化は日和見主義的である可能性が高いという 幅広い業界のコメント を裏付けています。 特定されたエクスプロイト後の活動の被害者には、オーストラリア、チェコ共和国、ドイツ、インド、イタリア、カザフスタン、マケドニア、ネパール、スイス、ウクライナ、米国の地方自治体や中央政府、ソフトウェア、防衛、金融、IT、法律、製造組織が含まれていました。 私たちは、防衛および航空宇宙セクターにサービスを提供する米国の電子部品販売業者、戦略的防衛セクターに拠点を置くインドの重工業会社、米国とオーストラリアの地方政府、北マケドニアの政府部門など、影響を受ける可能性のあるいくつかの価値の高いターゲットを特定しました。

Insikt Groupが特定した活動は、脆弱性が公開される前の2021年3月1日に始まりました。 これは、グループがMicrosoftの開示のゼロ日前にエクスプロイトにアクセスした可能性が高いことを示しており、 ESETが行った同様の評価を裏付けています。

インフラストラクチャとマルウェアの分析

Insikt Groupは、 PTSecurity および ESETによるCalypso APTの公開レポートと重複するPlugX C2サーバーと関連インフラストラクチャのクラスターを追跡しています。 このインフラストラクチャ クラスターに関連する活動について初めてお客様に報告したのは、2020 年 8 月、アフガニスタンの通信プロバイダーと政府機関を標的とした侵入活動の疑いが特定された後でした。 識別されたクラスタの概要を次の表 1 に示します。

現在のホスティングIP
ドメイン
レジストラ
登録

91.220.203[.]197 ()

【プラグX C2】

www.membrig\[.]com
NAMECHEAP INC(インサイデント)
2018-12-13
103.30.17[.]44 ()
www.draconess\[.]com
NAMECHEAP INC(インサイデント)
2018-02-05

91.220.203[.]86 ()

【プラグX C2】

www.rosyfund\[.]com
広東省NaiSiNiKe情報技術有限公司
2018-12-13

45.144.242[.]216 ()

【プラグX C2】

www.sultris\[.]com
NAMECHEAP INC(インサイデント)
2018-02-02

91.220.203[.]86 ()

【プラグX C2】

www.yolkish\[.]com
NAMECHEAP INC(インサイデント)
2018-01-29

45.76.84[.]36

()

mail.prowesoo[.]コム
NAMECHEAP INC(インサイデント)
2018-02-02

45.76.84[.]36

()

www.waxgon\[.]com
NAMECHEAP INC(インサイデント)
2018-01-31

107.248.220[.]246

()

www.rawfuns\[.]com1
ニセニックインターナショナルグループ株式会社
2018-02-05

45.76.84[.]36

()

mail.aztecoo[.]コム
ニセニックインターナショナルグループ株式会社
2018-02-05

表1: Calypso APT インフラストラクチャ クラスターの疑い

PlugXクラスターを調査することで、Calypso APTのインフラストラクチャの戦術、技術、および手順(TTP)について、次の高レベルの観察を行うことができました。

Insikt Groupは、特定されたインフラストラクチャにリンクされた次のマルウェアサンプルを特定し、そのうち2つはESETのレポートに記載されていました。 現時点では、これらのサンプルについて広範な分析は行っていません。

ファイル名
SHA256ハッシュ
マルウェアの亜種
C2 IP/ドメイン
FORTITRAY.EXE
913FA95829BA3F77C0673F0AF5C6AFAEB6E6A2BDD0E98C186DF65F1D27B9DC1F
不明
www.yolkish\[.]com
msf.exe
F32866258B67F041DC7858A59EA8AFCD1297579EF50D4EBCEC8775C816EB2DA9
メータープレター
45.144.242[.]216
SRVCONです。OCXの
5D803A47D6BB7F68D4E735262BB7253def6AAAB03122B05FEC468865A1BABE32
PlugXローダー
卵黄[.]コム とrawfuns[.]コム
rapi.dll
ab678bbd30328e20faed53ead07c2f29646eb8042402305264388543319e949c
ホワイトバードローダー
卵黄[.]コム とrawfuns[.]コム

CalypsoによるMicrosoft Exchangeサーバーと被害者の標的

chinese-group-calypso-exploiting-microsoft-exchange-2-1.png
図 1: PlugX C2 91.220.203のタイムライン[.]86(情報源: Recorded Future)

Recorded Futureは最初にIP91.220.203[.]86 2020年11月14日にPlugX C2の疑いとして。 Recorded Future Network Traffic Analysis(NTA)を使用して、2021年3月1日以降、Microsoft Exchangeサービスをホストしている被害者のIPアドレスから、このC2サーバーにリンクされたアクティビティが大幅に増加していることを検出しました。 この活動の増加は、2021年3月2日に初めて 公開 されたMicrosoft Exchangeに影響を与える脆弱性が最近公開されたことと関連している可能性が非常に高いと考えています。

2021年3月10日、ESETは、主に中国政府が支援するさまざまな脅威活動グループが、攻撃者がインターネットに接続されたMicrosoft Exchangeサーバーに初期アクセスできるようにする事前認証リモートコード実行(RCE)脆弱性チェーンを悪用していること を報告し ました。

3 月 2 日に Microsoft によって最初に 報告 されたこれらの脆弱性の悪用は、当初、Microsoft Threat Intelligence Center(MSTIC)によって HAFNIUM として追跡されている中国を拠点とする活動グループに関連付けられていました。 ESETの 調査結果 は、2月下旬から3月上旬にかけて、Tick、LuckyMouse、Calypso APTなどの中国の他の活動グループによって脆弱性が悪用され始めたことを示しています。 この活動は、これらの脆弱性が公開される前に発生しており、これらの追加の中国の活動グループもゼロデイとしてエクスプロイトにアクセスしていたことを示唆しています。 HAFNIUMは当初、「限定的かつ標的型攻撃」で悪用しましたが、少なくとも2月27日以降、脆弱性はますます多くのグループによる大規模な悪用 の対象 となりました(123)。

この前述のPlugX C2 IP 91.220.203[.]86 現在、ドメインwww[.]卵黄[.]com、 前述のESETのMicrosoft Exchangeの脆弱性の悪用に関する レポート 内で参照されています。 このアクティビティでは、このグループがエクスプロイト後に次の場所にWebシェルをドロップしていることが確認されました。

C:\inetpub\wwwroot\aspnet_client\client.aspx

C:\inetpub\wwwroot\aspnet_client\discover.aspx

軽減策

このWebシェルアクセスを使用して、Calypso APTは、正当な実行可能ファイルを使用したDLL検索順序ハイジャックを通じて、前述のPlugXおよびWhitebirdマルウェアサンプルをロードしていることを特定しました。 Insikt Groupは、91.220.203[.]86 PlugX C2は、オーストラリア、チェコ共和国、ドイツ、インド、イタリア、カザフスタン、マケドニア、ネパール、スイス、ウクライナ、米国の地方自治体、中央政府、ソフトウェア、防衛、金融、IT、法律、製造組織など、さまざまな地域や業界に対応しています。 これらの組織のいくつかは、サイバースパイ活動の典型的な標的ではなかったため、標的の多くが日和見主義的である可能性が高いという 業界の幅広い論評 を裏付けています。

特定された Calypso APT アクティビティに関連するアクティビティを検出して軽減するには、次の対策をお勧めします。

侵害の兆候

読者は、公開されているInsikt GroupのGithubリポジトリ https://github.com/Insikt-Group/Research で、以下の指標にアクセスできます。