本レポートでは、2019年3月上旬にパキスタン政府部門と中央チベット政府を標的とした最近のScanboxキャンペーンについて概説しています。 Insikt Groupの研究者は、Recorded Future(R) Platform、Shodan、Farsight Security DNS、サードパーティのネットワークメタデータ、および一般的なOSINT技術からのデータを利用しました。

このレポートは、サイバースパイ活動家が戦略的なWeb侵害を利用してネットワーク偵察を行うことによってもたらされる脅威を理解しようとしているネットワーク防御者にとって最も興味深いものとなるでしょう。

Executive Summary

2019年3月上旬、Recorded FutureのInsikt Groupは、パキスタン移民パスポート総局(DGIP)のウェブサイトへの訪問者を標的とする戦略的なウェブ侵害と、中央チベット政府(CTA)の公式ウェブサイトのなりすましの2つの別々のScanboxキャンペーンを特定しました。 どちらの場合も、攻撃者はWebサイト訪問者のデバイスをプロファイリングして、後続の侵入を行うことを意図していた可能性があります。

Insikt Groupは、この活動を強調して、標的となるコミュニティの保護を可能にし、中国の国家支援型脅威アクターが広く使用しているScanboxなどのインメモリ偵察フレームワークがもたらすリスクに対する認識を高めることを目的としています。

主な判断

• Tibetan Scanboxの展開を分析した結果、いくつかの関連ドメインとIPが浮き彫りになり、チベットの利益に対する広範な標的化キャンペーンが明らかになりました。
• Scanboxは以前、中国のウイグル人やチベット人など、迫害されている少数民族の標的として使用されてきました。

背景

2014年初頭に初めて発表されたScanboxは、Anthem 侵害、ハッキング、 フォーブスの水飲み場 攻撃など、いくつかの注目を集める侵入で使用されており、中国を拠点とする脅威アクター、リヴァイアサン(APT40、 Temp.Periscope)、 LuckyMouse (TG-3390、Emissary Panda、Bronze Union)、 APT10 (menuPass、Stone Panda)、 APT3 (Pirpi、Gothic Panda)など、中国を拠点とする脅威アクターによって広く採用されています。
Scanboxは、攻撃者が訪問者を追跡して侵害、ハッキングWebサイトを実行し、キーロギングを実行し、後続の侵害を可能にするデータを収集できるようにする偵察フレームワークです。 また、標的のホストに二次マルウェアを配信するために 変更されたことも報告 されています。JavascriptとPHPで記述されたScanboxの展開により、マルウェアをホストデバイスにダウンロードする必要がなくなります。

2014年以降のScanboxの利用状況をまとめました。 (出典:Recorded Future)

脅威分析

パキスタン DGIP Scanbox インスタンス

2019年3月4日、Insikt Groupは、パキスタンのDGIPウェブサイト(tracking.dgip.gov[.]PK)Scanboxコードをページに展開した攻撃者による侵害、ハッキングでした。 Web サイト訪問者は、戦略的 Web 侵害、ハッキング (SWC)、別名水飲み場、オランダの IP 185.236.76 でホストされている攻撃者が制御する Scanbox サーバーにリダイレクトされました。35, 攻撃者が Scanbox の幅広い機能を展開できるようにします。
このスキャンボックスの展開の詳細については、 Trustwave が最近公開したブログをご覧ください。

パキスタンのDGIPの追跡システム用のScanboxに感染したWebポータル。

中央チベット行政スキャンボックスインスタンス

Insikt Groupの研究者は、Recorded Futureプラットフォーム内の新しいドメイン登録がtibct[.]網。 このドメインは、2019年3月6日に初めて登録されました。

Recorded Future ポータルに記録された新しいドメイン登録イベントとタイポスクワット リスク ルールのトリガー。
分析したところ、以下に示すように、このサイトは CTA の正規の Web サイトとコンテンツが類似していることが示されました。

なりすましCTAウェブサイトのtibct[.]網(左)、および正規のCTAウェブサイトチベット[.]網(右)。
その後、2019年3月7日に、tibct[.]網Web ページは、訪問者を oppo[.]ミリリットル(Cloudflare IP 104.18.36[.]192,104.18.37[.]192、および2606:4700:30::6812[:]24c0)を呼び出します。

なりすましドメインtibct[.]網。

訪問者はおそらく公式CTAウェブサイト、tibet[.]網 だまされてtibct[.]網 おそらく、スピアフィッシングの電子メールのリンクを介して、その後Scanbox C2ドメインoppo[.]ミリリットル。

スプーフィングされたドメインtibct[.]ネットでは、WHOISデータで、攻撃者がtibct[.]org(2019年3月5日登録)およびmonlamlt[.]コム (2019年3月11日登録)で、どちらもチベットに関連するリソースをホストしているか、公式のCTAドメインのタイポスクワットであるように見えます。 Farsight SecurityのDNSDBでこれらのドメインを分析すると、さらに密接に関連するインフラストラクチャが明らかになります。

今後の展望

これらのScanboxへの侵入は、Insikt Groupが数日以内に検出したもので、このツールが依然として攻撃者に人気があり、中国国家の地政学的利益と広く連携する組織に対して使用されていることを示しています。 標的となった2つの組織の身元と、中国のさまざまなAPTによるScanboxの歴史的な使用が十分に文書化されていることから、これらのScanboxの展開は中国の国家支援を受けた脅威アクターによって行われた可能性が高いと低い信頼性で評価しています。

ネットワーク防御に関する推奨事項

Recorded Futureは、この調査で文書化されているように、Scanboxのターゲティングに対して防御する際に、組織が次の対策を実装することを推奨しています。

• 侵入検知システム (IDS)、侵入防止システム (IPS)、またはネットワーク防御メカニズムを設定して、 付録 A にリストされている外部 IP アドレスとドメインからの不正な接続試行に対してアラートを発し、確認後にブロックすることを検討します。
• 付録 B に添付されている脅威ハンティングパッケージで提供されている Snort ルールを IDS および IPS アプライアンスに実装し、このレポートで概説されている TTP に類似したアクティビティに対して生成されたアラートを調査します。
• 付録 B の脅威ハンティング パッケージに記載されている Scanbox ルールについて、企業全体で定期的な YARA スキャンを実施します。
• Recorded Futureのお客様は、Insikt Groupの研究者がRecorded Futureプラットフォーム内で現在展開しているYARAルールに一致する新しいサンプルを通知できます。