範囲注記: Recorded Future は、チベットコミュニティを標的とした新しいマルウェアを分析しました。このレポートには、マルウェア自体と関連するインフラストラクチャの詳細な分析が含まれています。情報源には、 Recorded Futureのプラットフォーム、VirusTotal、ReversingLabs、サードパーティのメタデータのほか、DomainTools Iris や PassiveTotal などの一般的な OSINT およびネットワーク メタデータ エンリッチメント、研究者のコラボレーションが含まれます^。1 この研究の推進力は、被害者の可能性が高い保護に活用するための指標を提供することと、攻撃者、犯罪組織TTP(戦術・技術・手順)の変化の可能性についての意識を高めることの2つです。

Executive Summary

Recorded FutureのInsikt Groupは、過去2年間にチベット人コミュニティを標的とした2つの新たなサイバースパイ活動を特定しました。 私たちが総称してRedAlphaと名付けているキャンペーンは、光の偵察、選択的なターゲティング、および多様な悪意のあるツールを組み合わせたものです。 この活動は、インドに拠点を置くチベット人コミュニティを標的に観察された新しいマルウェアサンプルからピボットした結果として発見されました。

Insikt Groupが新しいキャンペーンのインフラストラクチャの重複を分析したところ、南アジアと東南アジアの政府に加えて、中国の「5つの毒」²をより広く標的にしていることが明らかになりました。 このキャンペーンが「Five Poisons」関連組織を対象としていること、重複するインフラストラクチャ、調査中に明らかになった他の中国のAPTが使用したマルウェアへのリンクに基づいて、RedAlphaキャンペーンは中国のAPTによって行われたと中程度の信頼性で評価しています。

主な判断

• 新たに発見された2つのRedAlphaキャンペーンは、2017年と2018年にチベット人コミュニティを対象に行われました。 参照を容易にするために、コマンドアンドコントロール(C2)サーバーにちなんで、「2017 hktechy」キャンペーンと「2018 internetdocss」キャンペーンと呼ぶことにします。
• 攻撃者は、2017 年のカスタムドロッパーと NetHelp インフォスティーラー インプラントで構成される特注のマルウェアから、2018 年のカスタム バリデーターと njRAT コモディティ マルウェアへと進化しました。 2018年のinternetdocsキャンペーンでは、スケールダウンしたインフラストラクチャを活用して、ディスカバリーの影響を軽減し、独自のツールの損失やインフラストラクチャの維持にコストがかかることを回避しました。
• どちらのキャンペーンも、複数のC2サーバーで構成されたペイロードの使用を含んでいました。しかし、両キャンペーンのマルウェアはdoc.internetdocss[.]コム C2ドメインであるため、両方のキャンペーンが結び付けられます。
• CVE-2017-0199を悪用した悪意のあるMicrosoft Word文書も、RedAlphaキャンペーン中に使用されました。 このサンプルは、以前のRecorded Futureの調査で強調された57日間のCNNVD脆弱性公開の遅れ中に初めて確認され、CNNVDによる公開の遅れが中国の脅威アクターがエクスプロイトを運用できるようにするためであるという説をさらに裏付けています。
• これまでの活動との興味深いつながりとしては、FF-RATの歴史的な使用や、NetTraveler、Icefog、DeputyDog APTが使用した共通インフラストラクチャ、MILE TEAキャンペーンなどがあります。

背景

チベット人とウイグル人のコミュニティは、 長 年にわたり、エクス プロイト 、 フィッシング 、 水飲み場攻撃 、Windows、 MacOS 、そして最近では Android などの複数のプラットフォームを悪用するマルウェアを通じて、多くの脅威アクターの標的となってきました。当然のことながら、攻撃者には複数の中国の脅威アクターが含まれており、その中には元の Winnti グループ、 LuckyCat、 NetTraveler だけでなく、 MiniDuke や Equation Group などの他の攻撃者も含まれています。標的となったコミュニティを支援することで、研究者は被害者を保護しながら新たな悪意のあるキャンペーンを発見できますが、繰り返し発見しても最終的に攻撃者を抑止することはほとんど役に立ちません。

RedAlphaキャンペーンは、2017年半ばにインドのチベット人コミュニティをターゲットにして始まりました。 最新のキャンペーンは現在も進行中で、2018年4月下旬に新しいサブドメインが登録されました。 この脅威アクターは、被害者の偵察とフィンガープリントを慎重に組み合わせ、その後、多段階のマルウェアによる選択的なターゲティングを利用しました。 利用されたマルウェアは、2017年のキャンペーンでは信頼性の高いカスタムツールセットから、より慎重で控えめなアプローチに変わり、2018年にはコモディティマルウェアで終わりました。 これら2つのキャンペーンを連続して観察すると、比較的知られていない脅威アクターの進化が明らかになります。

RedAlphaキャンペーンから選択したアクティビティの将来のタイムラインを記録しました。

RedAlphaキャンペーンの概要

2017年のhktechyキャンペーンは、そのコマンドアンドコントロール(C2)サーバーの1つにちなんで名付けられ、2017年6月に開始されました。 32ビットと64ビットの両方のWindowsシステムに対して、主にカスタムマルウェアの2つのステージを採用しました。 最初の段階は、ペイロードをダウンロードし、Windowsサービスとしての永続性を確立するように設計された単純なドロッパーでした。 次の段階は、システム情報を収集し、ファイルとディレクトリ全体を圧縮して、それらを盗み出すように設計されたインフォスティーラーでした。 このマルウェアは、IISが設定されたサーバーに依存するデュアルC2インフラストラクチャを使用し、POSTリクエストを介してファイルと情報を2番目のサーバーに送信していました。

2017 hktechy キャンペーンの C2 ドメインの登録に使用したのと同じ電子メール アドレスが、別のドメインの登録にも使用され、香港の IP に解決されることがわかりました。 このIPは、2016年と2017年にチベット人に対して行われたフィッシングキャンペーンに関連していたことが、今年初めにCitizen Labによって 報告 されました。このインフラストラクチャの重複により、3つのキャンペーンすべてを同じ脅威アクターに帰属させることができました。この歴史的な活動は、南アジア諸国や東南アジア諸国の政府ネットワークを含む、同グループのより広範な標的プロファイルを示した。報告書はまた、このグループが被害者のネットワークにアクセスするために、Microsoft、Google、Yahooなどの欧米のWebメールやクラウドサービスプロバイダーになりすましていたことも強調しました。

シチズンラボは、彼らが観察したキャンペーンの背後にいるアクターは、「ずさんな」手口を示し、安価なインフラストラクチャを利用した「低レベルの請負業者」であった可能性があると評価しました。 2017年のhktechyキャンペーンの観察では、攻撃者が最初から冗長な通信を備えたカスタムマルウェアの使用に習熟していることが示されており、攻撃者の巧妙さのレベルが高まっていることを示唆しています。

2018年のinternetdocssキャンペーンは1月に始まり、少なくとも2018年4月下旬まで続いた。 このキャンペーンでは、hktechyツールキットからの突然の脱却が明らかになり、カスタムの第1段階ドロッパーが、被害者の環境をチェックし、C2に基本的なシステム情報をビーコンで送信してからさらにドロップを試みるバリデータースタイルのインプラントに置き換えられました。 その後、攻撃者はコモディティマルウェアであるnjRATを選択的に特定の被害者のマシンに展開しました。 その結果、どちらの段階も、被害者の偵察、ドロップ、流出など、攻撃キャンペーンのすべての側面で単一のC2サーバーと通信していることがわかりました。

カスタム ツールからコモディティ マルウェアへの移行は、APT 研究コミュニティで観察されている攻撃者、犯罪組織 TTP(戦術・技術・手順)の広範な変化を表しています。 より厳しい監視に直面して、 犯罪 グループと 国家支援グループ の両方が、コモディティマルウェアと侵入テストツールへの依存度を高めています。この変化は、攻撃者にとって、攻撃者の業務を一般的なツールのより多く使用することに溶け込むこと、そして第二に、発見時の再編成コストを削減することという2つの付加価値を意味します。

2018年のinternetdocssキャンペーンで示された慎重で選択的なターゲティングは、より経験豊富なアクターまたは組織が進行中のキャンペーンに関与しているという理論を裏付けています。 未熟な攻撃者は、被害者の機関にスプレーをかける傾向があり、多くの場合、同じ被害者を複数回標的にし、偵察フェーズを先取りして、騒々しいスマッシュアンドグラブスタイルの操作を好みます。 私たちの調査によると、このグループのターゲティングは細心の注意を払っています。 攻撃者は、目的の被害者を偵察することから始めて、C2サーバーを介して正当なニュース記事に誘導することで、被害者のオペレーティングシステムの指紋を採取することができました。 私たちがこれらのドロップを観察したところでは、クリックする意思のある人の一部だけが、チベット人学者の支援を求める慎重に細工されたルアーで提供されました。 添付ファイルは、永続性を確立し、第 1 段階のバリデーター インプラントをデプロイするエクスプロイト ドキュメントでした。

攻撃者の識別力を示す最後のショーとして、バリデーターインプラントは、一般的なウイルス対策ソリューションについて被害者の環境を調査し、仮想環境を調査し、基本的な被害者のシステム情報を送信する定期的なビーコンを確立します。 この保護措置は、hktechyキャンペーンのカスタムツールキットには存在していませんでした。 次に、攻撃者は、njRATコモディティマルウェアペイロードを配信する被害者を慎重に選択しました。

どちらの RedAlpha キャンペーン に関連するサンプルも非常にまれで、2 つのキャンペーンで確認されたサンプルは 20 未満です。 カスタム サンプルは C++ でコーディングされます。2018 年のドロッパーは、 Haxe と呼ばれる珍しい C++ クロスプラットフォーム フレームワークに依存して、主に中国語のフォーラムやブログで見られる公開されている情報源コードの一部をつなぎ合わせました。

私たちは、RedAlphaキャンペーン中、そしておそらく彼らの古い作戦に使用された無数の絡み合ったインフラストラクチャを発見しました。これらは、以下のMaltegoチャートにまとめられています。

RedAlphaキャンペーンインフラストラクチャ2017–2018(画像をクリックすると拡大表示されます)。

テクニカル分析:マルウェアとツール

Hktechyキャンペーン(2017年半ば)

RedAlphaキャンペーンは、2017年半ばのhktechyキャンペーンから始まったと評価しています。 感染経路は現在不明ですが、カスタムのマルチステージマルウェア(単純なドロッパーとペイロード)が使用されています。 ドロッパーは、インフォスティーラーペイロードの永続性をWindowsサービスとして確立しました。 どちらのステージも、32 ビットと 64 ビットの両方の Windows システムで使用できます。 改良されたスタンドアロンの 64 ビット インフォスティーラー (NetHelp Striker) の 1 つのサンプルについても、以下で説明します。

2017年:オーディオドロッパー

ドロッパーは、スタートアップファイルとして独自の永続性を確立しようとしました。 次に、 http://doc.internetdocss[.]com/nethelpx86.dll 0 として保存し、<C:\Windows\nethelp.dll> として保存しました。 この次の段階のペイロードの永続性は、Windows Service Host(svchost.exe)を介して実行されるサービスとしてnethelp.dllを登録することによって確立されました 過程。 サービスが効果的に実行されていることを確認すると、ドロッパーはドロップされたファイルを削除して自己削除しました。 それ以外の場合は、 http://doc.internetdocss[.]com/audiox86.exe、 したがって、攻撃者は予期しない問題を軽減するための更新メカニズムを提供します。

ドロッパーのx86-64バリアントは同じ機能を持っていましたが、代わりに同じC2サーバーからの64ビットドロップを参照していました。

2017年:ドロッパーバリアント

2017年:NetHelp Infostealer

NetHelp ペイロードは、サービスとしてのみ機能するように設計されています (一致するビット数のオーディオドロッパーによって確立される永続化方法)。 ペイロードは、実行時に GetProcAddress と LoadLibrary を介して API を動的にリンクします。

インプラントは同時に2つの通信方法に依存していました:<www.hktechy[.]コム> ポート80のサーバー、および<index.ackques[.]コム> 特定のUser-Agentを持つC2サーバー(下の写真を参照)。

POST 要求テンプレートは、ファイル ハンドルとサイズと共にパラメーターとして渡されます。

hktechy ソケットは、被害者のシステムに関する情報を送信するために使用され、POST リクエストは "index.acques[.]com/index.html」 主に被害者のシステムからzlib圧縮ファイルをアップロードしました。

ファイル・スティーリング・ロジックのswitch文の部分的な逆コンパイル。

上のスクリーンショットが示すように、ファイル窃取ロジックは、以下を含む広範なswitchステートメントの形でインプラントに組み込まれています。

• ファイルとフォルダの列挙。
• 個々のファイルのアップロード、移動、削除。
• WinRAR ^3e (rar.exe)を使用して、アップロード前にディレクトリ全体を圧縮します。
• フルパスでRARファイルを抽出します。
• ディレクトリ全体を削除する(クリーンアップまたは基本的なワイプを選択するため)。
• 特定のパラメータを持つファイルまたはプログラムを開く。

hktechy C2メカニズムは、論理ボリュームやファイルリストに関する情報など、被害者のシステムに関するより詳細な情報をアップロードするために使用されます。 また、攻撃者は感染したマシンにファイルを送信し、必要に応じてさらにペイロードを実行することもできます。

バイナリ内の実行時型識別シンボルの分析は、クライアントソケット、コマンドラインシェルとの間のパイプ、およびファイルのアップロードを管理するためのコードなど、いくつかの機能がオープン情報源 Gh0st RATから持ち上げられたことを示しています。 仮想クラス「CUploadManager」の追加情報源コードは、「Chinese Software Developer Network」の投稿から抜粋された可能性があります。

2017年:NetHelp Infostealer のバリエーション

2017年:NetHelpストライカーインフォスティーラー

元の NetHelp インフォスティーラーのコンパイルタイムスタンプから 1 か月後、攻撃者は新しいバージョンをコンパイルしました。

NetHelpバリアントの類似性の内訳。

標準の 64 ビット NetHelp インフォスティーラーと新しい NetHelp Striker インプラントの差分では、いくつかの小さな変更が示されました。関数の 10% 未満がまったく新しい機能を表していました。 これらの変更により、ペイロードは自立するようになり、最初のドロッパーモジュールを必要とせずに独自の永続性を確立することができ、被害者のマシンでは利用できない可能性のあるサードパーティのソフトウェアに頼らずに一連のドキュメントを盗むことができるようになりました。

2017年:NetHelpストライカーインフォスティーラー

最も注目すべきは、このアップデートにより、Infostealer Strikerペイロードがそれ自体をインストールできたことです。 これは、単語(x32|x86)の永続性機能を複製しました.exe ドロッパーは、svchost.exeが運営するサービスとしてのnethelp.dll(「Windowsインターネットヘルプ」)を確立しました。 その機能には、「install」という名前の新しいエクスポートを介してアクセスできます。

さらに、この新しいバージョンでは、ディレクトリ全体を圧縮するためにWinRar(rar.exe)の可用性に依存しなくなりました。 インフォスティーラーは、ファイルサイズの変更を監視し、更新されたファイルのコピーをC2サーバーに送信するようになりました。

最終的に、hktechyドメインはstriker.internetdocss[.]コム このバリアントの名前の由来です。

Internetdocssキャンペーン(2018年〜現在)

RedAlpha internetdocssキャンペーンは2018年1月に始まりました。 確認された感染経路は、チベット人学者の助けを求めるソーシャルエンジニアリングの電子メールで配信されるエクスプロイトルアー文書の使用です。 このキャンペーンは、単一のC2、最小限のツール、およびより選択的な感染のみに依存しています。 エクスプロイトドキュメントは、公開されているソースコードからつなぎ合わせたカスタムバリデータースタイルのインプラントと、クロスプラットフォームのC ++フレームワークをインストールします。 次に、攻撃者は、感染した被害者のうち、第2段階のペイロードに値するものを選択します。 このキャンペーンで特定された唯一の第2段階の下落は、コモディティRATで構成されていました。

2018年:感染ベクター

おとり文書は、埋め込まれたDLLをロードするためにMicrosoft Office Equation Editor⁴ を悪用するために武器化されています。 興味深いことに、おとりドキュメント自体には、言語リソース (米国英語、サウジアラビア アラビア語、中国語) の珍しい組み合わせがあります。 ルアー(下の写真)は仮想マシンで適切にレンダリングされませんでしたが、マルウェアの実行を防ぐことはできませんでした。

ルアー ドキュメントが誤ってレンダリングされました。

実行されると、ルアードキュメントは埋め込みDLL(MD5:e6c0ac26b473d1e0fa9f74fdf1d01af8)をロードし、バリデータインプラントを「winlogon.exe」という名前でユーザーの「Temp」ディレクトリにドロップします。 永続性は、レジストリ実行キーによって確立されます。

バリデーターの埋め込みを「winlogon.exe」として入力します。

2018年:バリデータースタイルのビーコン

2018年のinternetdocssキャンペーンのマルウェアは、2017年のhktechyキャンペーンで同じ脅威アクターが使用したマルウェアとは一線を画しています。 最初の段階はもはやナイーブなドロッパーではなく、攻撃者はさらにマルウェアを展開する前に被害者を検証することを選択しました。 このインプラントは、マシンのマルウェア対策製品を調査し、被害者のマシンをプロファイリングし、ビーコン情報をC2サーバーで収集します。 その後、攻撃者は次の段階のペイロードを選択的に活用できます。

マルウェア自体のコーディングは、その洗練されていないカットアンドスプライスの効率で注目に値します。Haxe クロスプラットフォーム フレームワークを使用して、C++ 用にコンパイルされています。実行フローのほとんどは、1 つのメイン関数にまとめられています。重要な機能は、以下に示すように、中国のブログやフォーラムにあるさまざまなオープンな情報源コードからコピーされたようです。

OSのバージョンと正確な比較リストの決定。

WMI はセキュリティ製品をチェックします。

このインプラントは、軽く難読化されたユーザー情報とOSバージョンを一定の間隔でdoc.internetdocss[.]コム C2 サーバー。

2018年:カスタムドロッパーバリアント

njRAT: 第 2 段階ペイロード

次の段階のドロップの1つの症例を特定することができました。希少性にもかかわらず、ペイロードは njRAT (別名 Bladabindi) の標準バージョンであることが判明しました。このコモディティ マルウェアはもともと中東の エンティティ を標的にして非常に普及していましたが、世界中の 被害者 に対して亜種が使用されていることが観察されています。 このペイロードを標準の njRAT と区別する唯一の点は、その構成 ⁵ であり、これは第 1 段階のバリデーターと同じ C2 サーバーとサブドメインを指しています: doc.internetdocss[.]comです。

njRATデコードされた出力。

Citizen Labが説明したマルウェアとの類似性

Citizen Labがレポートで説明している マルウェア は、2017年のhktechyキャンペーンで使用されたNetHelp Infostealerの亜種と直接的なコードの重複を共有していません。 ただし、コーディングスタイルには2018 internetdocss キャンペーンとの類似点がいくつかあります。 internetdocss バリデーターと同様に、Citizen Lab によって記述されたマルウェアは C++ でコーディングされ、クロスプラットフォーム フレームワーク (この場合は Haxecpp ではなく Qt バージョン 4) に依存していました。さらに同様の特徴としては、Citizen Labが説明したマルウェアは、単一のC2サーバーと通信して被害者のマシンからファイルを盗むファイルスティーラーとして機能し、漢字との変換にGBKコーデックに依存していることが含まれます。

インフラ

Hktechyキャンペーン(2017年半ば)

2017年のhktechyキャンペーンでは、C2ドメインdoc.internetdocss[.]コム。 このドロッパーは、さらに2つのC2ドメイン( www.hktechy[.]コム および index.ackques[.]コム。

2017年のhktechyキャンペーンインフラストラクチャの概要(画像をクリックすると拡大表示されます)。

パッシブDNS解決は、doc.internetdocss[.]コム 最初に日本語のIP 220.218.70[.]160 は 2017 年 6 月 28 日で、6 月 11 日に元のドロッパーがコンパイルされてからわずか数週間後のことでした。 このドメインは、2017年9月14日まで同じ日本のIPに解決され続け、その後、2018年のinternetdocssキャンペーンで再びドメインが出現するまで使用が取り消されました。

220.218.70[.] に解決された追加のドメイン2017年6月28日から9月14日までの160件について、以下に詳しく説明します。

Hktechy[.]comは2017年6月19日に初めて観測され、中国のIPアドレス198.44.172[.]97, 中国のVPSプロバイダーVPSQuanLLCに属しています。 以下の表に示す4つのハッシュは、RiskIQ内のProofpointのEmerging Threatsデータを使用して、このIPと相関しました。⁶ 1つのサンプルを除くすべてのサンプルも、日本のIP 220.218.70[.]doc.internetdocss[.] をホストしていた160comを2017年に公開しました。 このレポートでは、ハッシュのうち3つが2017年のhktechyキャンペーンに関連していると明確に特定されましたが、執筆時点では、一般的なマルウェアマルチスキャナーリポジトリからサンプルの1つ(MD5:1b67183acc18d7641917f4fe07c1b053)を取得することができませんでした。 このサンプルは、2017年のインフォスティーラーマルウェアの亜種である可能性があると思われます。

hktechy NetHelp Infostealer の亜種と 220.218.70[.] とのリンク160.

Internetdocssキャンペーン(2018-進行中)

前に詳述したように、internetdocssバリデータはdoc.internetdocss[.]コム C2の場合。

2018年のinternetdocssキャンペーンインフラストラクチャの概要(画像をクリックすると拡大表示されます)。

DNSルックアップを転送すると、doc.internetdocss[.]コム 現在、シンガポールのIP 45.77.250[.]80 (Choopa, LLC)、そして歴史的に少なくとも2つの他のIPに解決されました。

doc.internetdocss[.]コム。

前述のように、doc.internetdocss[.]コム また、2017年のhktechyキャンペーンで日本のIP 220.218.70[.]160. このインフラストラクチャの重複により、2つのキャンペーンが結び付けられ、両方を同じ脅威アクターに帰属させる自信が高まっています。

シンガポールのIP 45.77.250[.]80

45.77.250[.]80 IPは、internetdocss[.]com:

SG IP 45.77.250[.] に解決される他のドメイン80.

上の表にリストされているドメインの多くには、チベット独立運動、法輪功信者、民主化運動など、中国で検閲されたトピックを参照する中国の 五毒に関連する用語が含まれていることがわかります。インドの著名なメディアであるNDTVもなりすましされており、おそらくインドに亡命したチベット人コミュニティをさらに標的にできるようにしている。

これらのドメイン登録の性質から、このキャンペーンは、中国の伝統的な、イデオロギー的な、地域的な地政学的なターゲットを包含し、より広範なものとなることを意図していたと思われます。

日本IPアドレス 220.218.70[.]160

前に簡単に述べたように、日本のIP 220.218.70[.]160 ホストされたdoc.internetdocss[.]コム 2017年6月28日から2017年9月14日まで。

さらに、u2xu2[.]コム また、220.218.70[.]2017 年 8 月 20 日から 2018 年 4 月 8 日までの間に 160 件。 u2xu2[.]com は以下に記載されています。

u2xu2[.]コム。

220.218.70[.]160, 「Microsoft_Word_97_-_2003___1.doc」というファイルを見つけました (MD5: 1929db297c9d7d88a6427b8603a7145b) は VirusTotal で 220.218.70[.] を参照しています。160 ドキュメント本文内。

このファイルの予備的な分析では、文字エンコーディングが「簡体字中国語GBK」に設定された「AdminFuke」という人物によって作成されたことが示唆されています。 このWord文書を開くと、同じC2(hXXp://220.218.70[.]160/sec.hta)。

このトロイの木馬化されたMicrosoft Word文書はCVE-2017-0199を悪用し、2017年5月8日に初めてマルチスキャナーリポジトリにアップロードされたため、 2017年11月にRecorded Futureが発表した調査で初めて公開されたCVE-2017-0199の脆弱性がCNNVDで公開されるまでの57日間の遅れにしっかりと収まっています。

NetHelp Striker Infostealer と共有 SSL 証明書

このレポートの前半では、NetHelp Strikerインプラントについて説明しましたが、その結果、マルウェアに新たなC2ドメインが埋め込まれるという新しいC2ドメインがマルウェアに埋め込まれました。コム。 このドメインの最近のDNS解決履歴は、RedAlphaキャンペーンの責任者である脅威アクターが使用した広範なインフラストラクチャとは異なります。それは決して共通の45.77.250[.]80 Choopa LLC VPSは、internetdocssの他のすべてのサブドメインと同様に[.]コム。

ストライカー.インターネットドキュメント[.]コム 現在、WebNX U.S. IPアドレス142.4.62[.]249. 以前は、striker.internetdocss.com HK IP 27.126.179[.]157 (Forewin Telecom Group Limited)。 この IP は、以前に u2xu2[.] をホストしていた IP と同じ即時ネットブロック内にあることに注意してください。コム (27.126.179[.]158). さらに、27.126.179[.]156 — 27.126.179[.]160.

この小さなネットブロックに割り当てられた過去のSSL証明書を深く掘り下げると、5つのForewin通信IPのうち4つが、過去にSSL証明書SHA1(dd3f4da890fa00b0b6032d1141f54490c093c297)も共有していたことがわかりました。 この証明書は、27.126.179[.]159 tk.u2xu2[.]コム それを指差します。 これにより、http.ackques[.]com、 2017年のNetHelpインフォスティーラーC2ドメインindex.ackques[.]com、 同じIPアドレス 27.126.179[.]159, したがって、27.126.179[.]156 – 27.126.179[.]160は、RedAlphaキャンペーンの背後にいるのと同じ脅威アクターによって管理されている可能性が高いネットブロックです。 同じ小さなネットブロック内の共通のSSL証明書と兄弟ドメインは、この小さなネットブロックが同じグループによって管理されていたことを強く示しています。

香港のIP 122.10.84[.]146

前に述べたように、doc.internetdocss[.]コム 2018年2月8日から2018年3月27日の間にこの香港のIPに解決しました。 しかし、2018年3月23日以降、ドメインsp.u2xu2[.]コム それに解決します。

sp.u2xu2[.]コム および doc.internetdocss[.]コム どちらも122.10.84[.]過去に146個あり、親ドメインであるu2xu2[.]、 同じ日本語IPアドレス220.218.70[.]160 as doc.internetdocss[.]コム 以前にも解決しました。 調査対象の期間内に、ドメインまたは関連するIPインフラストラクチャが別のエンティティによって再割り当てまたは取得されたことを示す証拠はありません。

マルウェアマルチスキャナーリポジトリのレトロスペクティブ分析により、122.10.84[.]146 IPアドレス:

• MD5: c94a39d58450b81087b4f1f5fd304add. これは、RedAlpha 2018 internetdocss キャンペーンで使用されたカスタムの 1 段階目のドロッパーの亜種です。
• MD5: 3a2b1a98c0a31ed32759f48df34b4bc8 ("qww.exe")。 これは、njRATをドロップする第2ステージのペイロードを含む代替の第1ステージバリデータです。
• 「qww.exe」に関連している可能性が高い バリデーター。 私たちは、同じ122.10.84[.]146 香港のIP(ファイル名serverdo7468.exe、 MD5: c74608c70a59371cbf016316bebfab06)。

ターゲット

チベット人だけが標的ではない

RedAlphaの2017年キャンペーンC2のドメイン登録者、hktechy[.]com、 スティーブン・jain@outlookでした。コム。 このメールアドレスを軸にすると、同様のドメインであるangtechy[.]com、 2017年6月20日に。 アンテック[.]コム 引き続き香港のIP 115.126.39[.]107は、2015年半ば以降、60以上のドメインをホストしています。 これらのドメインの多くは、ダライ・ラマ法王のオフィス(webmail-dalailama[.]com)、スリランカ国防省(mail-defense[.]tk)、 中国のオンライン自動車オークションサイト(mail-youxinpai[.]com) 次の表に示すように。 115.126.39[.] でホストされている他のドメイン107 これには、Google、Yahoo、Microsoftが提供する一般的なWebメールおよびクラウドサービスのなりすましが含まれていました。

115.126.39[.]107.

115.126.39[.]107 そして、なりすましドメインの多くは、 2018年1月にCitizen Labが実施した調査で報告されており、南アジアと東南アジアのチベット人コミュニティと政府機関を標的とした広範なフィッシングキャンペーンが詳細に説明されています。関連するインフラストラクチャの重複 キャンペーン によって報告された キャンペーン hktechy キャンペーン 同じ脅威アクターが、早くも2015年からチベット人コミュニティやその他の被害者を標的にした原因である可能性があるという強力な証拠を提供します。

インドのターゲティング?

調査対象の香港IPのメタデータ分析122.10.84[.]1464月2日から4月23日の間にインドの2つのIPでSSL接続が繰り返されたことが明らかになりました(103.245.22[.]117,103.245.22[.]124)MahaOnlineサービスに解決します。MahaOnlineは、ムンバイが首都であるインド西部の マハラシュトラ州政府向けの電子ポータルです。電子ポータルにより、市民は公務員にアクセスし、swayam.mahaonline.gov[.]で(部族開発プログラムのウェブサイト)と molpg.mahaonline.gov[.]で(オンライン支払いゲートウェイ)。

香港のIPアドレス122.10.84[.]146およびMahaonline IPs、Mahaonline IPから香港C2のポート443への接続量は、eポータルのターゲティングが成功したことを示している可能性がある。 さらに、香港C2でホストされている正当なサービスで、これらの接続を説明できるものはありません。

脅威アクター

FF-RATの使用と中国のAPTへのリンク

前に強調したように、共有SSL証明書は香港のIP 27.126.179[.]159 tk.u2xu2[.]コム。 歴史的なDNS解決を調査したところ、tk.u2xu2[.]コム 香港のIP 103.20.193[.]2016年6月から2016年11月までの間に156件。 このIPは、Shenzhen Katherine Heng Technology Information Company Ltd.に登録されました。 同じ時間帯に、悪意のあるMD5: 83ffd697edd0089204779f5bfb031023がtk.u2xu2[.]コム。

Recorded Future の ReversingLabs エンリッチメント により、83ffd697edd0089204779f5bfb031023 が 2016 年 6 月に初めて実際に観測されたことが確認され、リスク評価が「65」に割り当てられ、Tiniwen マルウェア ファミリに分類されました。Tiniwen は、少なくとも 2012 年から存在している FF-RAT としてより広く知られており、FF-RAT の公開 (脅威についての)レポート作成は、FF-RAT を中国の APT 活動とのみ関連付けています。 2015年、FBIはFF-RATを、中国のAPTによって実施されたと広く信じられている米国人事管理局(OPM)の標的化に成功した際に活用された「より効果的なツールの1つ」として強調した と伝えられている 。

さらに、Cylanceは2017年6月の 研究 論文で、C2 tk.u2xu2[.]comです。ここで描かれた関連性に基づいて、FF-RATは、おそらく2016年には、RedAlphaの背後にいる同じ脅威アクターによって使用されていた可能性が高いと評価しています。

最後に、WHOISデータによると、13316874955@163[.]コム 香港のIP 103.20.193[.]156. このメールアドレスには、少なくとも 125 の IP アドレスが登録されており、すべて Shenzhen Katherine Heng Technology Information Company Ltd にあり、そのうちのいくつかには、NetTraveler、Icefog、DeputyDog などの中国の APT グループへのリンク⁷ のタグが付けられています。

• 103.30.7[.]76; ネットトラベラー;カスペルスキー
• 103.30.7[.]77; ネットトラベラー;カスペルクシー
• 103.20.192[.]59; ネットトラベラー;カスペルスキー
• 103.20.195[.]140; アイスフォッグ;カスペルスキー
• 103.20.192[.]4; 副犬;ファイアアイ
• 103.20.192[.]248;マイルティーキャンペーン。 パロアルトネットワークス

中国人民解放軍の関与の可能性を示す指標

ドメインの1つであるcqyrxy[.]com、それは歴史的に115.126.39[.]107は、連絡先名「ren minjie」で登録されました。 興味深いことに、「Ren Minjie」は「Renmin」と「解」(Jie)の英語の音訳綴りで、「解」(Jie)は「解放军(Jiefangjun)」の略語である可能性が高いです。 「解放君」は「中国人民解放軍」(PLA)と訳されているため、「任民傑」は人民解放軍の音訳された略語である可能性が高い。 これがドメインの登録詳細に埋め込まれた意図的な偽フラグなのか、それとも脅威アクターが加害組織の身元の可能性を明らかにするためのずさんな行動の結果にすぎないのかは不明です。

Nanjing Qinglan Information Technology Co., Ltd.へのリンク

また、南京青苜信息技术有限公司(Nanjing Qinglan Information Technology Co., Ltd)という中国の情報セキュリティ企業とのつながりも明らかになりました。

悪意のあるドメイン drive-mail-google[.]comおよびdrive-accounts-gooogle[.]comは、Citizen Labが2018年1月のレポートでリリースした付属のIOCデッキに掲載されました。 どちらのドメインもQQの電子メール6060841@qq[.]コム。 このメールアドレスは、中国の求人サイト www.52pojie[.]cn、 「南京青蘭情報技術有限公司」の「情報セキュリティエンジニア」 QQアカウントの関連付けられた名前は、「Mr. リャン」

南京省政府のウェブサイトに掲載されている公式文書によると、Nanjing Qinglan Information Technology Co., Ltd.は南京を拠点とする企業で、「...セキュリティ評価、セキュリティ強化、侵入テスト、セキュリティコンサルティング、攻撃的および防御的訓練、セキュリティトレーニング。」 同社はまともなウェブプレゼンスを持っています(hXXp:// www.cimer.com[.]cn) しかし、それが確立されたエンティティであることを示していますが、チベット人コミュニティを標的にするために使用される2つの悪意のあるドメインが、攻撃的な「訓練」を行う情報セキュリティ企業に関連付けられていることは興味深いです。

hXXps:// www.52pojie[.]cn/thread-93849-1-1.html 6060841@qq[.]com(画像をクリックすると拡大表示されます)。

今後の展望

私たちの調査では、2017年と2018年に中国のAPTがチベット人コミュニティに対して実施した2つの新しいキャンペーンが明らかになりました。

現在、RedAlphaキャンペーンが新しい脅威アクターによって行われたことを断定的に証明するのに十分な証拠はありません。 Citizen Labの優れたレポートを除けば、私たちの調査で詳述されたマルウェアとTTPを既存の脅威アクターと関連付ける公開資料は不足しています。 既存の中国のAPTへのインフラストラクチャ登録を通じて、いくつかの暫定的なつながりを概説しましたが、確固たる帰属を得るには、悪意のある活動の背後にいる個人や組織についてさらに詳細にする必要があります。

hktechyキャンペーンでこれまで公開されていなかったカスタムマルウェアの使用と、internetdocssキャンペーンでの彼らのトレードクラフトの明らかな進化は、脅威アクターがマルウェアとツールの巧みな能力開発プログラムを持っていることを示しています。 また、このグループが新たな脆弱性(CVE-2017-0199)を巧妙に悪用しているのも確認されました。この時間帯には、中国の国家脆弱性データベース(CNNVD)が脆弱性の公開を意図的に遅らせることを選択した時期でした。 昨年、私たちは中国国家安全部(MSS)がCNNVD に与えた影響 について広範囲に報告してきましたが、これは、攻撃的なサイバースパイ活動を可能にするために 、リスクの高い脆弱性 を公開から遠ざけることを指し示しています。

RedAlphaキャンペーンの背後にいる加害者が「人民解放軍」の略語を使用してドメインを登録したOPSECの失敗の可能性を明らかにすることは、興味深い展開でした。 このことは、中国のAPTグループであるIcefog、NetTraveler、DeputyDog、MILE TEAキャンペーンの背後にいる人々とのインフラストラクチャの重複に加えて、南京青蘭情報技術会社へのリンクとともに、RedAlpha活動の背後にいる脅威アクターの起源が中国であることを示しています。 さらに、彼らがFF-RATを使用している可能性が高いことも示されており、これは中国の高度な脅威アクターによってほぼ独占的に使用されていると報告されています。

組織を選択的に標的にすることは、その地域に拠点を置くすべての政府と市民団体にとって懸念の原因となるべきです。 私たちは、このグループの活動がファイブ・ポイズンに対する最初の標的型攻撃ではなく、特に市民団体、NGO、慈善団体の場合、間違いなく最後ではないことがわかりました。 このような組織の多くがネットワーク防御への投資を怠っているため、リソースが豊富で意欲的な脅威アクターからの攻撃に対する防御能力が必然的に低下します。

チベット人コミュニティやその他の五毒に対する広範な監視と検閲は、中国国家にとって引き続き極めて重要である。 中国共産党(CPC)の継続的な支配に対する脅威は、国家安全保障の問題として扱われます。したがって、このような民間組織を標的としたサイバースパイ活動が明らかになることは驚くことではありません。 さらに、隣接する南と南東部の政府を標的にしていることから、脅威アクターは、地政学的なイベントに応じて進化する可能性のあるCPC要件を拡大しようとしている可能性があります。 この脅威アクターがこれまで公開されていなかったマルウェアやインフラストラクチャを使用していること、そして私たちの調査で概説したTTPに関連する公的および私的な報告が不足していることから、私たちは、中国国家に起因する可能性が高い、あまり知られていない脅威アクターを発見したと考えています。

関連する侵害の指標の完全なリストを表示するには 、付録をダウンロードしてください。

¹Insikt Groupは、この研究を支援しているVirusTotalおよびKasperskyのGReATとの緊密な協力に感謝します。

²「五毒」とは、ウイグル人、チベット人、法輪功、中国の民主化運動、台湾の独立運動など、中国共産党が自国の安定を脅かす脅威である。

³WinRARはインプラント自体の本体には含まれていません。 開発者は、被害者のシステムにこの一般的なソフトウェアがインストールされていると想定するか、別の手段で被害者のシステムにドロップすることができます。

⁴VirusTotal マルチスキャナーは、これらのエクスプロイトを CVE-2017-11882 および CVE-2018-0802 としてタグ付けします。 悪用された脆弱性の正確な精度は未定のままです。

⁵Kevin BreenのnjRATデコーダを使用してデコード。

⁶http://blog.passivetotal.org/hashes-or-it-didnt-happen/ and https://www.proofpoint.com/us/resources/data-sheets/emerging-threats-intelligence/

⁷名RiskIQの指標OSINTエンリッチメントを使用します。