Mit China verbundene TA428 nimmt weiterhin IT-Unternehmen in Russland und der Mongolei ins Visier

Die Insikt Group von Recorded Future hat vor Kurzem erneute Aktivitäten festgestellt, die der mutmaßlichen chinesischen Bedrohungsgruppe TA428 zugeschrieben werden. Die festgestellte Aktivität überschneidet sich mit einer TA428-Kampagne, die Proofpoint zuvor als „Operation LagTime IT“ gemeldet hatte und die sich 2019 gegen russische und ostasiatische IT-Behörden richtete. Aufgrund der ermittelten Infrastruktur, Taktiken und Opferorganisation gehen wir davon aus, dass TA428 wahrscheinlich weiterhin Eindringaktivitäten durchführt, die auf Organisationen in Russland und der Mongolei abzielen.

Infrastruktur und Targeting

On January 21, 2021, Insikt Group detected the PlugX C2 server 103.125.219[.]222 (Hosting provider: VPSServer[.]com) hosting multiple domains spoofing various Mongolian news entities. One of the domains, f1news.vzglagtime[.]net, previously appeared in the aforementioned Proofpoint Operation LagTime IT blog. At the time of the Proofpoint blog publication in July 2019, the vzglagtime[.]net domain was hosted on 45.76.211[.]18 through the hosting provider Vultr. According to passive DNS data, this IP address also hosted the Mongolian-themed domains at the same time, further strengthening the overlaps between these unreported suspected TA428 domains and Operation LagTime IT activity. The subdomains appear to spoof familiar news-themed names and words, both in English and in Mongolian languages. Insikt Group also identified two subdomains in this campaign with the term “Bloomberg”, a US-based news agency. However, we have no other indication that this campaign targeted US companies. The subdomains in this campaign used familiar terms to lure victims into trusting these sites. These unreported domains include the following:

aircraft.tsagagaar[.]com	Tsag agaar (цаг агаар) is a Mongolian word for “weather”
nubia.tsagagaar[.]com	Wahrscheinlich Spoofing des New Ulaanbaatar International Airport (NUBIA)
gazar.ecustoms-mn[.]com	Wahrscheinlich eine Fälschung des mongolischen elektronischen Zolls
govi-altai.ecustoms-mn[.]com	Bezieht sich auf die Region Govi-Altai in der Mongolei
gogonews.organiccrap[.]com	Wahrscheinlich eine Spoofing-Aktion gegen die mongolische Nachrichtenagentur GoGo News
niigem.olloo-news[.]com	Wahrscheinlich eine Spoofing-Aktion gegen die mongolische Nachrichtenagentur Olloo
oolnewsmongol.ddns[.]info	Wahrscheinlich eine Fälschung einer mongolischen Nachrichten-Domain
bloomberg.mefound[.]com	Zusätzliche gefälschte Subdomain mit Nachrichtenthema
bloomberg.ns02[.]biz	Zusätzliche gefälschte Subdomain mit Nachrichtenthema

Malware-Analyse

Die Insikt Group hat mehrere Royal Road-, Poison Ivy- und PlugX-Proben identifiziert, die mit der neu identifizierten, mit TA428 verknüpften Infrastruktur kommunizieren. Dies stimmt weitgehend mit früheren Berichten von Proofpoint und NTT Security zur TA428-Aktivität überein. Insbesondere wurde das folgende PoisonIvy-Beispiel im Dezember 2020 auf eine Malware-Multi-Scanning-Quelle hochgeladen:

15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb (Dateiname: x64.dll)

1145d39ce42761862eeb7c46500b3fc5cd0dcd9c0fed35623b577b01d0ec3c8e (Dateiname: x86.dll)

Die x86.dll ist für eine 32-Bit-Umgebung und die x64.dll für eine 64-Bit-Umgebung konzipiert. Nach der Ausführung hinterlässt die DLL-Datei zwei Dateien: PotPlayerMini.exe, eine legitime ausführbare Datei, die anfällig für DLL-Hijacking ist, und PotPlayer.dll, eine PoisonIvy-Nutzlast. PotPlayerMini.exe wird ausgeführt, um die bösartige PoisonIvy-DLL zu laden, die in diesem Fall so konfiguriert ist, dass sie mit der C2-Domäne nubia.tsagagaar[.]com kommuniziert. Diese PoisonIvy-Ladesequenz stimmt direkt mit der von NTT Security im Oktober 2020 beschriebenen TA428-Aktivität überein. Die Forscher von NTT fanden heraus, dass die Gruppe den EternalBlue-Exploit nutzte, um sich seitlich vorzuarbeiten und die ursprünglichen DLL-Dateien in den lsass.exe-Prozess auf dem Zielhost einzuschleusen.

Figure 1: Malware analysis of recent TA428 sample

Die Insikt Group hat außerdem einen Malware- Sandbox-Upload identifiziert, der das oben gezeigte, mit TA428 verknüpfte PoisonIvy-Beispiel sowie ein EternalBlue-Exploit-Tool, den WinEggDrop-Port-Scanner und ein MS17-010-Scan-Tool enthält. Das Vorhandensein von Dateipfaden im Upload lässt darauf schließen, dass die Malware möglicherweise verwendet wurde, um das russische IT-Unternehmen ATOL anzugreifen. Diese Viktimologie steht auch im Einklang mit den zuvor beobachteten IT-Aktivitäten der Operation Lagtime, in deren Rahmen russische und ostasiatische IT-Behörden ins Visier genommen wurden. 

Additionally, a blog post by researcher Sebdraven from November 2020 details an additional Royal Road document sample that he attributes to TA428 as a continuation of Operation Lagtime IT. The lure document spoofs the sender as Mongolian authorities and refers to the conflict between Armenia and Azerbaijan in order to lure the victim to opening the document. According to Sebdraven, the file uses Version 7 of Royal Road RTF weaponizer, which installs a very simple backdoor in memory, rewriting the EQNEDT32.EXE process. After the backdoor gathers initial information on  the target machine’s disk, running processes, Windows OS version, and user privileges, it attempts to reach out to the command and control (C2) domain custom.songuulcomiss[.]com, which was hosted on the Malaysian IP address 103.106.250[.]239 at the time of discovery.

Angreiferprofil

TA428 ist eine mit China verbundene Cyber-Spionage-Gruppe, die 2019 von Proofpoint-Forschern identifiziert und benannt wurde. Einige Überschneidungen hinsichtlich Infrastruktur, Viktimologie und Tools deuten jedoch darauf hin, dass diese Gruppe möglicherweise bereits 2013 aktiv war. TA428 verwendet vermutlich maßgeschneiderte Toolsets und zielt auf Organisationen mit hohem strategischem Wert für China ab, unter anderem in den Bereichen IT, wissenschaftliche Forschung, Innenpolitik, Außenpolitik, politische Prozesse und Finanzentwicklung. Im Februar 2021 schrieben NTT-Forscher TA428 eine neue Kampagne zu, die sich diesmal gegen ostasiatische Verteidigungs- und Luftfahrtorganisationen in Russland und der Mongolei richtete. Die Schadsoftware verwendeten sie nccTrojan und wurden zwischen März 2019 und November 2020 beobachtet.

Indikatoren für eine Gefährdung

Indikatoren für eine Kompromittierung im Zusammenhang mit dieser Kampagne finden Sie hier im GitHub-Repository der Insikt Group.

C2-IPs

103.125.219[.]222 103.249.87[.]72 45.76.211[.]18

Giftiger Efeu

1145d39ce42761862eeb7c46500b3fc5cd0dcd9c0fed35623b577b01d0ec3c8e (C2: nubia.tsagagaar[.]com) 15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb (C2: nubia.tsagagaar[.]com) 33c0be46fea3a981ae94c1ae0b23c04a763f8318706bd9f7530347f579a2282e (C2: bloomberg.ns02[.]biz)

SteckerX

3a5828fe5e55e52f041ad8d67b12a6fc23ec2d2d37a6adde59139d523f1dfc8b (C2: nubia.tsagagaar[.]com)

Royal Road RTF

4f941e1203bf7c1cb3ec93d42792f7f971f8ec923d11017902481ccf42efaf75 (C2: 95.179.131[.]29 - previous hosted multiple vzglagtime[.]net subdomains)

WinEggDrop-Portscanner

13eaf5c0c0a22b09b9dead93c86f085b6c010e3413b0e27c0616896978871048

EternalBlue Exploit-Tool

82b0488fd910fe428513813343bf3a9a62c7bf450d509f00f437766cdc0c7aea

MS17-010 Scanner

15585fd878af7d9efd6cac2984cf52371312439797ee2c8f8180ad149e3f8b07

TA428-verknüpfte Domänen

aircraft.tsagagaar[.]com ecustoms-mn[.]com f1news.vzglagtime[.]net gazar.ecustoms-mn[.]com govi-altai.ecustoms-mn[.]com news.vzglagtime[.]net niigem.olloo-news[.]com nubia.tsagagaar[.]com olloo-news[.]com oolnewsmongol.ddns[.]info bloomberg.mefound[.]com bloomberg.ns02[.]biz nmcustoms.https443[.]org gogonews.organiccrap[.]com tsagagaar[.]com vzglagtime[.]net