_Scope 注: Recorded Future の Insikt Group は、英国を拠点とするエンジニアリング企業を標的とした侵入インシデントに関連する侵害のネットワーク指標と TTP を分析しました。 ソースには、Recorded Futureの製品であるVirusTotal、ReversingLabs、DomainTools Iris、PassiveTotalのほか、サードパーティのメタデータと一般的なOSINT技術が含まれます。

このレポートは、米国、欧州、日本のハイテクエンジニアリング業界の組織や、中国の国家支援型cyberespionage._を調査している組織にとって、最も興味深いものとなるでしょう

Executive Summary

2018年7月上旬に発生したスピアフィッシングキャンペーンの標的となったのは、英国を拠点とするエンジニアリング企業の従業員でした。 このキャンペーンは、カンボジアを拠点にカンボジアの政治、人権、中国の発展を取材するフリーランスのジャーナリストのものと思われるメールアドレスも標的にしていた。 どちらの攻撃も、中国の脅威アクターであるTEMPによって報告されたキャンペーンと同じインフラストラクチャを使用したと考えています。Periscope(別名Leviathan)は、2018年7月の選挙を前にカンボジアの企業を標的にしました。 重要なのは、TEMP.Periscopeが標的とした英国のエンジニアリング会社に関心を持つようになったのは、2017年5月の侵入未遂事件にさかのぼります。

本レポートで概説した入手可能なデータと証拠に基づき、Recorded Futureは、中国の脅威アクターであるTEMP.Periscopeは、ロシアの脅威グループであるDragonflyとAPT28が公開で報告した高度なTTPを再利用して、英国のエンジニアリング会社を標的にしており、機密性の高い独自の技術やデータにアクセスできる可能性があります。 私たちはTEMPを信じています。Periscopeは、公開されたTTPを再利用して、グループが被害者ネットワークへのアクセスを成功させる可能性を高めるか、研究者を混乱させるための偽のフラグを立ててアトリビューションを回避しました。

選択したAPT28、Dragonfly、およびTEMPのタイムライン。PeriscopeのTTPの開示と活動。

主な判断

• 攻撃者はコマンド&コントロール(C2)ドメインscsnewstoday[.]com 、これは最近の TEMP. カンボジア政府を狙った潜望鏡キャンペーン。
• 攻撃者は、中国の電子メールクライアントであるFoxmailを使用して、スピアフィッシング攻撃を送信しました。
• この攻撃では、重要インフラを標的にするトンボTTP(戦術・技術・手順)として文書化された独自の手法が使用されました。この手法は、悪意のある C2 を呼び出すスピアフィッシュの「file://」パスを使用して、SMB 認証情報の取得を試みます。
• この攻撃は、NBT-NSポイズナーとしてオープンソースツールResponderのバージョンを使用したと思われます。 APT28は、2017年にホテルに滞在する旅行者に対する攻撃でレスポンダーを使用しました。
• 英国のエンジニアリング会社は以前、TEMPの標的でした。Periscope in a May 2017 キャンペーン Proofpoint の Leviathan レポートで詳述されているように、2017 年 9 月後半に米国のエンジニアリングおよび学術エンティティをターゲットにしたのと同じ C2 インフラストラクチャを使用します。

背景

一時。Periscope は、2017 年 10 月にリヴァイアサンと呼ばれるグループに関する報告が浮上したときに 初めて世間に注目を集めた 、国家支援の中国の脅威アクターです。リヴァイアサンは、スパイ目的で海事産業と防衛産業を標的にするために、ユニークでオープンな情報源ツールを組み合わせて使用しました。 報告書は、少なくとも2014年にさかのぼるグループの詳細な報道を行っている。

(脅威についての)レポート作成 は数カ月後に発表され、主に米国と欧州の企業を標的とした海事および防衛部門に対するさらなる活動を強調し、グループのTTP(戦術・技術・手順)に関する詳細を含んでいた。 このアクティビティには、新しい脅威アクター名 TEMP.Periscope、しかしレポートの著者らは、リヴァイアサンとTEMP.ペリスコープも同じグループだった。

ハイテク海洋工学の標的化の増加 エンティティ 南シナ海(SCS)の領土の大部分に対する中国の領有権主張をめぐる地域の緊張の高まりと一致しました。 南シナ海近隣諸国を標的とした中国のサイバースパイ活動は2018年もエスカレートし続け、TEMP. 2018年7月の選挙を前にカンボジアを標的にしたPeriscope。さらに、 2018年初頭に米海軍の請負業者に対する攻撃が発覚し、潜水艦ベースの超音速対艦ミサイルの開発計画を含む大量の機密性の高いデータが盗まれたことは、中国が米国との技術格差を埋めるために最先端の海軍技術を標的にし続けていることを示している。

脅威分析

感染ベクトル

私たちが調査した侵入未遂は、専門的なエンジニアリングソリューションを提供する英国企業のネットワークを標的にしていました。 英国のエンジニアリング会社は、スピアフィッシング未遂の詳細をRecorded Futureと共有し、以下のIOCが調査の出発点となりました。

電子メールのヘッダーによると、スピアフィッシュは2018年7月6日午前9時30分(UTC)にFoxmail経由で送信されたことが明らかになりました。Foxmail は、中国 3 大インターネット サービス企業の 1 つである Tencent によって開発されたフリーウェアの電子メール クライアントです。Foxmail は中国で毎日 300 万人以上のユーザーを誇り、以前は 中国の APT 活動と関係がありました。

同じスピアフィッシングは、英国のエンジニアリング会社の従業員のメールアドレスに加えて、カンボジアに拠点を置くジャーナリストのものと思われるメールアドレスにも送信されました。 送信者のアカウントは、カンボジアの民事・社会問題などについて執筆し、プノンペン・ポスト紙に寄稿しているオーストラリアのジャーナリスト兼弁護士になりすましていた。

2018年7月のカンボジアの選挙を標的としたスピアフィッシングキャンペーンで、中国の脅威アクターTEMP.Periscopeは送信者アドレスを偽装し、カンボジアの非政府組織(NGO)の職員になりすました。

標的となった英国のエンジニアリング会社が共有したスピアフィッシングメールのスニペット。

このメールには、2つの悪意のあるリンクが含まれていました。 最初の「file://」リンクをクリックすると、SMBセッションが生成されます。 2 番目のリンクは .url でした 送信 SMB 接続を作成するようにも構成されたファイル。

この脅威アクターは、カンボジアの記者になりすまし、被害者にさらなる情報を彼女の「レポートWebサイト」にアップロードするよう要求しました。 しかし、メッセージ内のスペルや句読点の誤りにより、被害を受けた組織のネットワーク防御者に警告されました。

電子メールのヘッダーに含まれるメタデータの分析と、その後のSMBを介したファイル共有との制御された相互作用により、侵入の試みのいくつかの興味深い特徴が明らかになりました。

レスポンダー: 「NetBIOS ポイズンアー」

まず、SMBファイルパスリンクを分析しました。C2 82.118.242[.]PRH492RQAFV243SMB 認証情報 被害者のネットワークから取得しようとしたとき。 次に、ホスト名 WIN-PRH492RQAFV が GitHub の Responder と呼ばれる Python ハックツールのいくつかのフォーク バージョン内にハードコードされていることに気づきました。無料のファイルアップロードサービスであるBeeBinにアップロードされたP4wnP1¹ のビルドで、このホスト名のResponderの1つのバージョンが見つかり、 PiBunny内で同じホスト名の別のバージョンが見つかりました。

WIN-PRH492RQAFV GitHub の Responder の修正バージョン内に存在する文字列。

レスポンダーは2014年1月に発売された。公式の GitHub リポジトリにリストされている README ファイルには次のように説明されています。「レスポンダーは LLMNR、NBT-NS、および MDNS ポイズナーです。名前のサフィックスに基づいて特定の NBT-NS (NetBIOS ネーム サービス) クエリに応答します ( 参照: http://support.microsoft.com/kb/163409)。既定では、このツールは SMB 用のファイル サーバー サービス要求にのみ応答します。この背後にあるコンセプトは、私たちの答えをターゲットにし、ネットワーク上でよりステルスになることです...」

Responder の悪意のある使用は、2017 年 8 月 11 日に APT28 (Fancy Bear) によって使用されていることが初めて公に文書化されました。 このツールは、ホテルの訪問者に対してNetBiosリソースのなりすましに使用されました。 被害者はUDPポート137に接続するように強制され、SMB経由でAPT28に資格情報を開示し、脅威アクターはそれを使用してネットワークへの昇格されたアクセス権を取得しました。

ロシアからのその他の教訓:「file://」パスを使用したSMBクレデンシャルハーベスティング

Responderの使用に基づいて、脅威アクターは、別のロシアの脅威アクターであるDragonfly(Energetic BearまたはCrouching Yetiとしても知られる)から発信された手法を借用しているようにも見えました。

パス「file://82.118.242[.]243/[編集済み]」スピアフィッシュで使用された は、ホストが SMB 経由で取得しようとする目に見えないイメージ タグを作成することで、攻撃者にユーザーの NTLM パスワードのハッシュ値を与えることで、SMB 認証情報を盗む可能性があります。 コードを実行すると、ブラウザは目に見えない画像タグ を作成し 、「file://」プロトコル スキームを使用して URL を攻撃サーバーに設定し、ユーザーのログイン NTLM ハッシュも送信します。これにより、潜在的な被害者を指紋で識別し、収集するための効果的な水飲み場ができあがりました 認証情報 その後のターゲット ネットワークへの侵入に備えます。

「file://」パスを利用してSMB接続をトリガーするこの手法は、2018年3月15日に US-CERT によって、Dragonflyの脅威アクターとみられるロシア政府関係者がエネルギー業界やその他の重要インフラ部門を標的にした高度な手法として初めて公開されました。

SWC 82.118.242[.]243?

82.118.242[.]243は、上記のSMB認証情報の盗難に関連するIPであり、決定的ではないことが証明されました。 WHOISは、英国のISPであるVirgin Mediaに登録されている大規模な範囲(82.0.0.0 - 82.47.255.255)内のIPを参照しています。 しかし、MaxMindはIPをブルガリアのホスティングプロバイダーであるHistate Global Corp.に解決しました。

Shodanに記載されている脆弱性とマシンのスキャン結果に基づくと、82.118.242[.]242 は、Windows インターネット インフォメーション サービス (IIS) 7.5 を実行している可能性が高い Web サーバーです。 ポート 22、80、88、443、445、587、902、および 5985 が開いています。

82.118.242[.]243.

同じ /24 CIDR 範囲内にある別の IP アドレス 82.118.242[.]124,は、2018年7月に89という異常に高いリスクスコアでRecorded Futureにフラグが立てられました。これは、 Cisco Talos による IOC リスト に VPNFilter ボットネットに関連する第 2 段階のマルウェアとして IP が表示されたことによるものです。このボットネットは、 米国司法省によってAPT28に起因しています。

Webサーバー82.118.242[.]243 また、被害者をIPに誘導する「file://」SMB資格情報窃取手法を使用することで、脅威アクターはWebサーバーを侵害し、このキャンペーン中に被害者からSMB資格情報を不正に取得するための標的型水飲み場として使用したと考えています。

WIN-AB2I27TG6FKと中国の脅威アクターTEMP.潜望鏡

ホスト名WIN-AB2I27TG6FKは、VPNのIPアドレス193.180.255[.]2.

オープン情報源 ホスト名 WIN-AB2I27TG6FK の調査により、URL scsnewstoday[.]com/news/ は、ファイル名にホスト名を含む複数のファイルをホストしていました (以下のドメインのスナップショットを参照)。 このドメインは以前、中国の脅威アクター TEMP によって使用された C2 として 報告 されていました。PeriscopeはAIRBREAKダウンローダーを配信します。Orz としても知られる AIRBREAK は、侵害、ハッキング Web ページ、正規のサービス上の攻撃者が制御するプロファイルの隠し文字列からコマンドを取得する JavaScript ベースのバックドアです。

http://scsnewstoday\\[.]com/newsです。

AIRBREAK に加えて、scsnewstoday C2 サーバーは TEMP に関連する 他のマルウェアとログをホストしていたと報告されています 。カンボジアの選挙に向けてカンボジアのエンティティを標的にしたPeriscopeの悪意のある活動。 英国のエンジニアリング会社に対するスピアフィッシュは、このキャンペーンが活動していたのと同時期、つまり2018年7月初旬に発生しました。オープンディレクトリ内のファイル名に採用されている命名規則から判断すると、C2S と S2C は、ホスト名 WIN-AB2I27TG6FK のクライアント間およびサーバー間接続に関連している可能性が高く、これは scsnewstoday[.]comC2.ファイル名のホスト名が TEMP の標的となったクライアントまたは被害者に関連している場合は、さらに多くのファイルがリストされることが予想されます。潜望鏡。

scsnewstoday [.] .comのドメインは、米国IP 68.65.123 [.] 230でホストされていました2018年7月11日まで、ドメインホスティングサービスNamecheapに登録しています。C2ドメインの詳細はちょうど1日前に公開されたため、Temp.Periscopeのオペレーターは不安になり、削除された可能性があります。残念ながら、オープンディレクトリにアクセスできなくなったため、WIN-AB2I27TG6FKのホスト名を含む3つのファイルの正確な性質を理解することができませんでした。

業界 (脅威についての)レポート作成によると、中国のスパイ組織TEMP.Periscope は、少なくとも 2013 年以来、大規模なフィッシング、侵入、リモート アクセス トロイの木馬 (RAT)、およびデータ流出活動を実施してきました。 ターゲティングは主に、エンジニアリング、海運、輸送、製造、防衛、官公庁、研究大学など、複数の業界にわたる海事関連のエンティティに焦点を当ててきました。 しかし、このグループは、専門およびコンサルティングサービス、ハイテク産業、ヘルスケア、メディアおよび出版もターゲットにしています。

Spearphishの発信元IP 193.180.255[.]2

このIPは、メールヘッダー情報にX-Forwarded-For IPとして表示され、スピアフィッシュの送信者の発信元IPアドレスであることを示しています。WHOISの登録データによると、193.180.255 [.] 2は、人気のある商用VPNサービスであるPrivateVPNの正式会社名であるPrivat Commununikation Sverige ABに登録されています。同社によれば、TCP/UDP、L2TP、IPSEC、PPTP、IKEv2プロトコルを介したOpenVPNをサポートしているとのことです。

Recorded Futureは、193.180.255[.]2 2018年6月30日から7月1日までのIP。 3つの接続はすべて、バングラデシュのIP 103.198.138[.]187.

さらに、2018年7月3日から7月10日の間に、193.180.255[.]2 悪意のあるSMB認証情報収集C2 82.118.242[.]243. 興味深いことに、これらの接続は、スピアフィッシュが送信された7日間の期間中に行われました。

TEMPによる英国エンジニアリング会社の歴史的なターゲティング。潜望鏡

7月のこの試みに先立ち、同じ英国のエンジニアリング会社が2017年5月に標的にされていました。 このキャンペーンでは、ETERNALBLUEエクスプロイトと独自のDNSトンネラーバックドアが使用されました。 攻撃で使用されたDNSトンネラーは、thyssenkrupp-marinesystems[.]組織。 このドメインは、海洋工学を専門とするドイツの防衛請負業者ティッセンクルップ・マリン・システムズ社を明らかに偽装していた。 なりすましドメインをホストするだけでなく、オランダを拠点とするHostSailor VPS IP 185.106.120[.]206 また、脅威アクターが使用するマルウェアとツールを含むオープンディレクトリをホストしていましたが、これはTEMPと似ています。ペリスコープ scsnewstoday[.]コム C2 とオープン ディレクトリのセットアップ。

Recorded Futureなりすましドメインの分析 、このサーバーが SeDll Javascript ローダー SHA256: 146aa9a0ec013aa5bdba9ea9d29f59d48d43bc17c6a20b74bb8c521dbb5bc6f4 をホストしていることが判明しました。 Periscope)を使用して、別のJavascriptバックドアであるAIRBREAKを実行します。重要なのは、リヴァイアサンが中国の脅威アクターとして初めて言及されたのは、2017年10月、つまりTEMPを意味することです。Periscopeは、6か月前に同じインフラストラクチャを使用して英国のエンジニアリング会社を標的にしていました。

2017年11月には、Microsoft Equation Editorの脆弱性CVE-2017-11882を悪用した別のスピアフィッシングが、英国のエンジニアリング会社に送信されました。 この攻撃は、Cobalt Strikeのペイロードを配信しました。

結論と見通し

このスピアフィッシングの試みにより、APT28、Dragonfly、TEMPなど、いくつかの異なる脅威アクターの最近の活動に関連する一連のTTPが明らかになりました。潜望鏡。 この攻撃で観測された主要なTTPを時系列でリストアップしたのは、これらのTTPが公に開示された報告から技術がコピーされる可能性に注意を喚起するためです。 これらを次の表にまとめます。

攻撃で使用された観測されたTTPの概要と、類似のAPT TTPへのリンク。

リストされているAPT28、Dragonfly、およびTEMPのほとんどを考えると。ペリスコープTTPはすでに公開されており、観測された活動には3つのシナリオがあると考えています。

• ロシアの脅威アクターが責任者であり、TEMPを借りました。ペリスコープTTP。
• 一時。Periscopeはロシアの脅威アクターのTTPを担当し、借用しました。
• 別の脅威アクターは、ロシアのグループとTEMPのTTPを使用した責任者でした。潜望鏡。

上記の3つの仮説のうち、どれが我々の観察結果を最もよく説明しているかを評価するために、我々はこのレポートで詳述された蓄積された証拠を評価した。

まず、攻撃者はIPアドレス193.180.255[.]2 IPアドレスがスウェーデンのVPNサービスPrivateVPNに解決されるため、スピアフィッシングを送信するためのVPNエンドポイントとして。 また、スピアフィッシングを送信したデバイスがWIN-AB2I27TG6FKホスト名に関連付けられていたことも確かです。 さらに、このホスト名は、既知のTEMPでホストされているいくつかのファイルのファイル名に使用されたと述べることができます。Periscope C2は、ディレクトリを開いていました。 このレポートで前述したように、スピアフィッシングの送信者であるWIN-AB2I27TG6FKは、おそらくTEMPのホスト名であると考えています。Periscopeのオープンディレクトリはscsnewstoday[.]コム。

スピアフィッシュは2018年7月6日に送信されました。 そのわずか数日後、FireEyeはTEMPについて報告しました。2018年7月のカンボジアの選挙を対象としたPeriscopeキャンペーンで、scsnewstoday[.]com を C2 として使用します。 報告書は、少なくとも2017年4月から同じインフラが稼働していた可能性が高いと指摘しています。

第二に file://、C2 82.118.242[.]243SMB経由で認証情報を盗むように設計されました。 この手法は、観測された攻撃のほぼ4か月前の 2018年3月に、US-CERTによってDragonfly 脅威アクターTTP(戦術・技術・手順)として公に文書化されました。

82.118.242[.]243 IPはWIN-PRH492RQAFVで、GitHubのフォークされたResponderスクリプトにハードコードされていることがわかりました。 2017年8月に発表されたレポートによると、元のResponderスクリプトは、以前に別のロシアの脅威アクターであるAPT28によって使用されていました。

選択したAPT28、Dragonfly、およびTEMPのタイムライン。PeriscopeのTTPの開示と活動。

一時。Periscopeは、2017年8月にAPT28のResponderの使用がFireEyeによって開示されてから2か月後の、少なくとも2017年10月から研究コミュニティによって積極的にフォローされています。²それ以来、TEMPで (脅威についての)レポート作成 が相次いでいます。2018年の潜望鏡活動、 キャンペーン アメリカとヨーロッパの海事エンジニアリング会社とカンボジア政府に対して。 ここで、私たちが観察したスピアフィッシュは、カンボジアに拠点を置くジャーナリストの名前を含む電子メールアカウントにも送信され、以前にカンボジアのトピックについて報道したオーストラリア人ジャーナリストになりすましたアカウントから送信されたことに注意する必要があります。

したがって、TEMPの開示に先立って、ロシアの工具のタイムラインが公表されたことは、もっともらしい。Periscopeキャンペーン、TEMP.Periscopeは、アトリビューションの取り組みを妨げるか、単に効果的と思われる手法を使用するようにTTPを適応させました。

scsnewstoday[.]コム C2ドメインも重要です。このドメインは、FireEyeによってTEMPによって使用されていると公開されました。Periscopeは、スピアフィッシングが英国のエンジニアリング会社に送信されてからわずか数日後であったため、別の脅威アクターがC2を侵害した可能性は非常に低いです。 さらに、TEMP.少なくとも2017年5月以降のPeriscopeは、このグループがアクセスを試み続けていることを浮き彫りにしています。

本レポートで概説した入手可能なデータと証拠に基づき、Recorded Futureは、中国の脅威アクターであるTEMP.Periscopeは、他の脅威グループのTTPを再利用して英国のエンジニアリング会社を標的にしており、その機密性の高い独自の技術やデータにアクセスできる可能性があります。 一時。Periscopeは、APT28やDragonflyなどの他のグループから学習するようにTTPを迅速に適応させる能力を実証しており、被害者ネットワークへのアクセスを成功させる可能性を高めたり、アトリビューションの試みを難読化したりしています。

Recorded FutureはTEMPを期待しています。Periscopeは、ハイテク、防衛、エンジニアリング分野の組織を引き続き対象としています。 中国が南シナ海の領土を支配しようとしているため、特に海洋工学における先端技術の開発という中国の戦略的要件は、依然として大きな焦点となっている。 私たちはTEMPを信じています。Periscopeは、依然として広く成功しており、比較的低コストで使用できるコモディティマルウェアを引き続き使用します。 彼らは、被害者のネットワークにアクセスするために、公に報告された手法を悪用して使用する「トレンド」の脆弱性を引き続き観察します。

最後に、Recorded Futureは、脅威アクターが互いに積極的にエミュレートし、インフラストラクチャを保護し、ライバルアクターが使用している手法を監視するために、出版物とデータソースを監視していると考えています。 敵対者は、技術的な手段( オリンピック・デストロイヤー・キャンペーンで観察されたように)または技術エミュレーションのいずれかを使用して、偽旗を仕掛け続けると予想しています。 検出手段が劇的に向上したため、コードの重複の公開識別とTTPのマッピングは、適切に調整された運用の手に委ねられ、今ではアトリビューションの調査結果が曖昧になる可能性があります。 レポートに記載されているサンプルと手法は、これらの問題に関する公開レポートの量が多いため、新しいキャンペーンや進行中のキャンペーンに迅速に置き換えることができます。 この濁った水面下では、ターゲットを絞ったキャンペーンがノイズにうまく溶け込み、敵対者グループ間の境界線を曖昧にしようとすることができます。

ネットワーク防御に関する推奨事項

Recorded Futureは、TEMPに対する防御において、組織が以下の対策を講じることを推奨しています。Periscopeが認証情報を盗んでネットワークにアクセスしようとする試み:

• 侵入検知システム (IDS)、侵入防止システム (IPS)、またはネットワーク防御メカニズムを設定して、付録 A にリストされている外部 IP アドレスとドメインからの不法な接続の試みを警告し、確認した上でブロックを検討してください。
• 付録 B に提供されている Snort ルールを IDS および IPS アプライアンスに含めて、SMB クレデンシャルの盗難の試みを検出します。 また、該当する場合は、付録 B で提供されている Bro クエリを使用して、TEMP の兆候を探します。このレポートで詳しく説明されているネットワーク上のPeriscopeのTTP。
• Recorded FutureのAPIを使用して、このレポート(付録A)にリストされているインジケーターをエンドポイント検出および応答(EDR)プラットフォームにインポートします。
• エンドポイントの検出と応答のトラフィックを構成して、付録 A のインジケーターへの接続をアラートとブロックします。
• 付録Cで提供されているYaraルールを利用して、組織に送信されたスピアフィッシュの証拠をネットワークで検索します。
• ネットワーク全体のSMBトラフィック、特にSMBを介した外部認証の試みを監視および制限します。

関連する侵害の指標の完全なリストを表示するには 、付録をダウンロードしてください。

¹P4wnP1は、Raspberry Pi Zeroコンピュータをベースにした高度にカスタマイズ可能なUSB攻撃プラットフォームです。

² エフセキュアは、2016年8月に、TEMPに起因するとされているNanHaiShu RATの調査に関する調査結果を発表しました。潜望鏡(リヴァイアサン)。