Mit China verbundene TA428 nimmt weiterhin IT-Unternehmen in Russland und der Mongolei ins Visier
Die Insikt Group von Recorded Future hat vor Kurzem erneute Aktivitäten festgestellt, die der mutmaßlichen chinesischen Bedrohungsgruppe TA428 zugeschrieben werden. Die festgestellte Aktivität überschneidet sich mit einer TA428-Kampagne, die Proofpoint zuvor als „Operation LagTime IT“ gemeldet hatte und die sich 2019 gegen russische und ostasiatische IT-Behörden richtete. Aufgrund der ermittelten Infrastruktur, Taktiken und Opferorganisation gehen wir davon aus, dass TA428 wahrscheinlich weiterhin Eindringaktivitäten durchführt, die auf Organisationen in Russland und der Mongolei abzielen.
Infrastruktur und Targeting
Am 21. Januar 2021 entdeckte die Insikt Group den PlugX C2-Server 103.125.219[.]222 (Hosting-Anbieter: VPSServer[.]com) hostet mehrere Domänen, die verschiedene mongolische Nachrichtenagenturen vortäuschen. Eine der Domänen, f1news.vzglagtime[.]net, erschien zuvor im oben erwähnten Proofpoint Operation LagTime IT- Blog. Zum Zeitpunkt der Veröffentlichung des Proofpoint-Blogs im Juli 2019 war das vzglagtime[.]net Die Domain wurde auf 45.76.211[.]18 gehostet. über den Hosting-Anbieter Vultr. Passiven DNS-Daten zufolge hostete diese IP-Adresse gleichzeitig auch die Domänen mit mongolischem Thema, was die Überschneidungen zwischen diesen nicht gemeldeten mutmaßlichen TA428-Domänen und der IT-Aktivität der Operation LagTime weiter verstärkt. Die Subdomains scheinen bekannte, aus dem Nachrichtenbereich bekannte Namen und Wörter sowohl auf Englisch als auch auf Mongolisch zu fälschen. Insikt Group identifizierte in dieser Kampagne auch zwei Subdomains mit dem Begriff „Bloomberg“, einer US-amerikanischen Nachrichtenagentur. Ansonsten liegen uns allerdings keine Hinweise darauf vor, dass sich diese Kampagne gegen US-Unternehmen richtete. Die Subdomains dieser Kampagne verwendeten vertraute Begriffe, um die Opfer dazu zu verleiten, diesen Sites zu vertrauen. Zu diesen nicht gemeldeten Domänen gehören die folgenden:
| aircraft.tsagagaar[.]com | Tsag agaar (цаг агаар) ist ein mongolisches Wort für „Wetter“. |
| nubia.tsagagaar[.]com | Wahrscheinlich Spoofing des New Ulaanbaatar International Airport (NUBIA) |
| gazar.ecustoms-mn[.]com | Wahrscheinlich eine Fälschung des mongolischen elektronischen Zolls |
| govi-altai.ecustoms-mn[.]com | Bezieht sich auf die Region Govi-Altai in der Mongolei |
| gogonews.organiccrap[.]com | Wahrscheinlich eine Spoofing-Aktion gegen die mongolische Nachrichtenagentur GoGo News |
| niigem.olloo-news[.]com | Wahrscheinlich eine Spoofing-Aktion gegen die mongolische Nachrichtenagentur Olloo |
| oolnewsmongol.ddns[.]info | Wahrscheinlich eine Fälschung einer mongolischen Nachrichten-Domain |
| bloomberg.mefound[.]com | Zusätzliche gefälschte Subdomain mit Nachrichtenthema |
| bloomberg.ns02[.]biz | Zusätzliche gefälschte Subdomain mit Nachrichtenthema |
Malware-Analyse
Die Insikt Group hat mehrere Royal Road-, Poison Ivy- und PlugX-Proben identifiziert, die mit der neu identifizierten, mit TA428 verknüpften Infrastruktur kommunizieren. Dies stimmt weitgehend mit früheren Berichten von Proofpoint und NTT Security zur TA428-Aktivität überein. Insbesondere wurde das folgende PoisonIvy-Beispiel im Dezember 2020 auf eine Malware-Multi-Scanning-Quelle hochgeladen:
15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb (Dateiname: x64.dll)
1145d39ce42761862eeb7c46500b3fc5cd0dcd9c0fed35623b577b01d0ec3c8e (Dateiname: x86.dll)
Die x86.dll ist für eine 32-Bit-Umgebung und die x64.dll für eine 64-Bit-Umgebung konzipiert. Nach der Ausführung hinterlässt die DLL-Datei zwei Dateien: PotPlayerMini.exe, eine legitime ausführbare Datei, die anfällig für DLL-Hijacking ist, und PotPlayer.dll, eine PoisonIvy-Nutzlast. PotPlayerMini.exe wird ausgeführt, um die bösartige PoisonIvy-DLL zu laden, die in diesem Fall so konfiguriert ist, dass sie mit der C2-Domäne nubia.tsagagaar[.]com kommuniziert. Diese PoisonIvy-Ladesequenz stimmt direkt mit der von NTT Security im Oktober 2020 beschriebenen TA428-Aktivität überein. Die Forscher von NTT fanden heraus, dass die Gruppe den EternalBlue-Exploit nutzte, um sich seitlich vorzuarbeiten und die ursprünglichen DLL-Dateien in den lsass.exe-Prozess auf dem Zielhost einzuschleusen.
Abbildung 1: Malware-Analyse der aktuellen TA428-Probe
Die Insikt Group hat außerdem einen Malware- Sandbox-Upload identifiziert, der das oben gezeigte, mit TA428 verknüpfte PoisonIvy-Beispiel sowie ein EternalBlue-Exploit-Tool, den WinEggDrop-Port-Scanner und ein MS17-010-Scan-Tool enthält. Das Vorhandensein von Dateipfaden im Upload lässt darauf schließen, dass die Malware möglicherweise verwendet wurde, um das russische IT-Unternehmen ATOL anzugreifen. Diese Viktimologie steht auch im Einklang mit den zuvor beobachteten IT-Aktivitäten der Operation Lagtime, in deren Rahmen russische und ostasiatische IT-Behörden ins Visier genommen wurden.
Darüber hinaus beschreibt ein Blogbeitrag des Forschers Sebdraven vom November 2020 ein weiteres Dokumentbeispiel von Royal Road, das er TA428 als Fortsetzung der Operation Lagtime IT zuordnet. Das Lockdokument gibt den Absender als mongolische Behörden vor und verweist auf den Konflikt zwischen Armenien und Aserbaidschan, um das Opfer zum Öffnen des Dokuments zu verleiten. Laut Sebdraven verwendet die Datei Version 7 des Royal Road RTF Weaponizer, der eine sehr einfache Hintertür im Speicher installiert und den Prozess EQNEDT32.EXE umschreibt. Nachdem die Backdoor erste Informationen über die Festplatte des Zielcomputers, laufende Prozesse, die Windows-Betriebssystemversion und Benutzerrechte gesammelt hat, versucht sie, die Befehls- und Kontrolldomäne (C2) custom.songuulcomiss[.]com zu erreichen. die auf der malaysischen IP-Adresse 103.106.250[.]239 gehostet wurde zum Zeitpunkt der Entdeckung.
Angreiferprofil
TA428 ist eine mit China verbundene Cyber-Spionage-Gruppe, die 2019 von Proofpoint-Forschern identifiziert und benannt wurde. Einige Überschneidungen hinsichtlich Infrastruktur, Viktimologie und Tools deuten jedoch darauf hin, dass diese Gruppe möglicherweise bereits 2013 aktiv war. TA428 verwendet vermutlich maßgeschneiderte Toolsets und zielt auf Organisationen mit hohem strategischem Wert für China ab, unter anderem in den Bereichen IT, wissenschaftliche Forschung, Innenpolitik, Außenpolitik, politische Prozesse und Finanzentwicklung. Im Februar 2021 schrieben NTT-Forscher TA428 eine neue Kampagne zu, die sich diesmal gegen ostasiatische Verteidigungs- und Luftfahrtorganisationen in Russland und der Mongolei richtete. Die Schadsoftware verwendeten sie nccTrojan und wurden zwischen März 2019 und November 2020 beobachtet.
Indikatoren für eine Gefährdung
Indikatoren für eine Kompromittierung im Zusammenhang mit dieser Kampagne finden Sie hier im GitHub-Repository der Insikt Group.
C2-IPs
103.125.219[.]222 103.249.87[.]72 45.76.211[.]18
Giftiger Efeu
1145d39ce42761862eeb7c46500b3fc5cd0dcd9c0fed35623b577b01d0ec3c8e (C2: nubia.tsagagaar[.]com) 15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb (C2: nubia.tsagagaar[.]com) 33c0be46fea3a981ae94c1ae0b23c04a763f8318706bd9f7530347f579a2282e (C2: Bloomberg.ns02[.]biz)
SteckerX
3a5828fe5e55e52f041ad8d67b12a6fc23ec2d2d37a6adde59139d523f1dfc8b (C2: nubia.tsagagaar[.]com)
Royal Road RTF
4f941e1203bf7c1cb3ec93d42792f7f971f8ec923d11017902481ccf42efaf75 (C2: 95.179.131[.]29 - zuvor mehrere vzglagtime[.]net gehostet Subdomänen)
WinEggDrop-Portscanner
13eaf5c0c0a22b09b9dead93c86f085b6c010e3413b0e27c0616896978871048
EternalBlue Exploit-Tool
82b0488fd910fe428513813343bf3a9a62c7bf450d509f00f437766cdc0c7aea
MS17-010 Scanner
15585fd878af7d9efd6cac2984cf52371312439797ee2c8f8180ad149e3f8b07
TA428-verknüpfte Domänen
aircraft.tsagagaar[.]com ecustoms-mn[.]com f1news.vzglagtime[.]net gazar.ecustoms-mn[.]com govi-altai.ecustoms-mn[.]com news.vzglagtime[.]net niigem.olloo-news[.]com nubia.tsagagaar[.]com olloo-news[.]com oolnewsmongol.ddns[.]info bloomberg.mefound[.]com bloomberg.ns02[.]biz nmcustoms.https443[.]org gogonews.organiccrap[.]com tsagagaar[.]com vzglagtime[.]net
Verwandt