Die staatlich geförderte chinesische Terrorgruppe TAG-22 nimmt Nepal, die Philippinen und Taiwan mit Winnti und anderen Mitteln ins Visier
Recorded Future hat eine mutmaßlich vom chinesischen Staat gesponserte Gruppe identifiziert, die wir als Threat Activity Group 22 (TAG-22) verfolgen. Sie zielt auf Telekommunikations-, Hochschul-, Forschungs- und Entwicklungs- sowie Regierungsorganisationen in Nepal, den Philippinen, Taiwan und – historisch gesehen – Hongkong ab. Bei dieser jüngsten Aktivität nutzte die Gruppe wahrscheinlich kompromittierte GlassFish-Server und Cobalt Strike für erste Zugriffsoperationen, bevor sie für einen langfristigen Zugriff auf die maßgeschneiderten Hintertüren Winnti, ShadowPad und Spyder wechselte und dabei eine dedizierte, von den Akteuren bereitgestellte Befehls- und Kontrollinfrastruktur verwendete.
Hintergrund
Im September 2020 erhielten Kunden von Recorded Future einen Bericht über Aktivitäten, die mit einem Benutzer der gemeinsam genutzten benutzerdefinierten Backdoors Winnti und ShadowPad in Verbindung standen. Diese Aktivität zielte auf eine Universität und einen Flughafen in Hongkong. Die bei diesen Einbrüchen verwendete Infrastruktur und Schadsoftware überschneiden sich direkt mit früheren Berichten von ESET und der NTT Group zur Aktivität der Winnti Group. Darüber hinaus gibt es zahlreiche Überschneidungen zwischen der Infrastruktur und der Schadsoftware mit Aktivitäten, die kürzlich von Avast gemeldet wurden. Avast beschrieb dort ein mit der Hintertür Cobalt Strike ausgestattetes Installationsprogramm, das auf der offiziellen Website von MonPass, einer großen Zertifizierungsstelle (CA) in der Mongolei, gefunden wurde. Sowohl die ShadowPad- als auch die Winnti-Hintertüren werden von mehreren chinesischen Aktivitätsgruppen gemeinsam genutzt. Insbesondere Winnti wurde in der Vergangenheit sowohl von APT41/Barium als auch von APT17 verwendet und wird allgemein mit Aktivitäten in Verbindung gebracht , die mit mehreren Gruppen lose verbundener privater Auftragnehmer zusammenhängen, die im Auftrag des chinesischen Ministeriums für Staatssicherheit (MSS) agieren. In diesem Fall verfolgt die Insikt Group den in diesem und unserem vorherigen Bericht beschriebenen Aktivitätscluster unter dem vorläufigen Namen Threat Activity Group 22 (TAG-22). Dabei stellen wir gewisse historische Überschneidungen mit Aktivitäten fest, die von FireEye bzw. Microsoft als APT41 und Barium gruppiert werden.
Viktimologie und Nutzung der kompromittierten GlassFish-Infrastruktur
Die Insikt Group verfolgt bekannte Infrastrukturen und Domänen, die mit TAG-22 verknüpft sind, mithilfe einer Kombination aus passiven DNS-Daten und gegnerischen C2-Erkennungstechniken für ShadowPad, Winnti und die Spyder-Hintertür. Im Juni 2021 identifizierten wir anhand von Recorded Future Network Traffic Analysis (NTA)-Daten TAG-22-Eindringlinge, die auf die folgenden Organisationen in Taiwan, Nepal und den Philippinen abzielten:
- Das Industrial Technology Research Institute (ITRI) in Taiwan
- Nepal Telecom
- Ministerium für Informations- und Kommunikationstechnologie (Philippinen)
Besonders bemerkenswert ist, dass das ITRI ins Visier genommen wurde, da es eine Einrichtung für technologische Forschung und Entwicklung ist, die zahlreiche taiwanesische Technologieunternehmen gegründet und gefördert hat. Der Website des ITRI zufolge konzentriert sich die Organisation besonders auf Forschungs- und Entwicklungsprojekte in den Bereichen intelligentes Wohnen, hochwertige Gesundheitsversorgung, nachhaltige Umwelt und Technologie. Viele dieser Projekte entsprechen den Entwicklungsprioritäten des 14. Fünfjahresplans Chinas und wurden bereits zuvor von der Insikt Group als mögliche Bereiche künftiger chinesischer Wirtschaftsspionage-Bemühungen hervorgehoben. In den letzten Jahren haben chinesische Gruppen zahlreiche Unternehmen in der taiwanesischen Halbleiterindustrie ins Visier genommen , um an Quellcode, Software Development Kits und Chipdesigns zu gelangen.
Obwohl wir davon ausgehen, dass diese vier Organisationen wahrscheinlich die beabsichtigten Ziele der TAG-22-Einbruchsaktivität waren, haben wir außerdem mehrere mutmaßlich kompromittierte GlassFish-Server identifiziert, die mit der TAG-22-C2-Infrastruktur kommunizieren. Dies steht im Einklang mit den jüngsten Berichten von NTT, wonach die Gruppe die GlassFish Server-Softwareversion 3.1.2 ausnutzte. und darunter und Verwendung der kompromittierten Infrastruktur für weitere Eindringungsaktivitäten, insbesondere durch Scannen mit dem Acunetix-Scanner und Einsatz des offensiven Sicherheitstools (OST) Cobalt Strike. Den NTT-Forschern zufolge nutzte die Gruppe diese Infrastruktur wahrscheinlich in den frühen Phasen der Eindringlinge, bevor sie zu einer dedizierten Infrastruktur für die Steuerung der ShadowPad-, Spyder- und Winnti-Implantate überging. Für seine dedizierte Infrastruktur verwendete TAG-22 zum Hosting hauptsächlich über Namecheap registrierte Domänen und virtuelle private Server (VPS) von Choopa (Vultr).
Fallstudie zu Nepal Telecom Tradecraft
Durch Abfragen der TAG-22 C2-Domäne vt.livehost[.]live in der Recorded Future Threat Intelligence Platform haben wir Links zu den Shadowpad- und Spyder-Backdoors identifiziert, die Recorded Future C2-Erkennungen und passive DNS-Daten kombinieren.
Abbildung 1: Bewertung der bösartigen Infrastruktur für vt.livehost[.]com (Quelle: Aufgezeichnete Zukunft)
Dies ermöglicht uns, die TAG-22-IP-Adresse 139.180.141[.]227 zu identifizieren. von dem wir festgestellt haben, dass es von der Gruppe sowohl für die Shadowpad- als auch für die Spyder-Befehls- und -Kontrolle verwendet wird.
Abbildung 2: Intelligenzkarte für TAG-22 C2 139.180.141[.]227 (Quelle: Aufgezeichnete Zukunft)
Abbildung 3: Beispiel eines Exfiltrationsereignisses von Nepal Telecom zur TAG-22 C2-Infrastruktur (Quelle: Recorded Future)
Mithilfe von Network Traffic Analysis Events konnten wir nicht nur weitere damit verbundene bösartige Infrastrukturen identifizieren, sondern auch bestimmte Opfer der TAG-22-Aktivität ausfindig machen. Der Screenshot oben zeigt ein Exfiltrationsereignis von der Nepal Telecom IP zur Shadowpad- und Spyder-Backdoor C2 139.180.141[.]227. das zum Zeitpunkt der Exfiltration die Domäne vt.livehost[.]live hostete. Obwohl die IP-Adresse des Opfers Nepal Telecom zugewiesen wird, reicht dies bei Telekommunikationsunternehmen häufig nicht aus, um die wahre Organisation des Opfers zu identifizieren, da der Großteil der Infrastruktur im Besitz dieser Unternehmen ist und an ihre Kunden vermietet oder ihnen zur Verfügung gestellt wird. In diesem Fall können wir neben anderen Erweiterungen das neue, proprietäre VPN und die Erweiterung „Geografische Informationen“ verwenden, um zu versuchen, das Opfer dieser Aktivität zu identifizieren.
Abbildung 4: VPN- und Geographical Information-Erweiterung für Nepal Telecom IP 202.70.66[.]146 (Quelle: Aufgezeichnete Zukunft)
Indem wir innerhalb der VPN- und Geographical Information-Erweiterung für diese IP-Adresse auf die Google Maps-Ansicht klicken, können wir einen Standort bestimmen und bestätigen, dass Nepal Telecom wahrscheinlich das Opfer dieser Aktivität ist – der Standort verweist direkt auf die Zentrale von Nepal Telecom in Kathmandu.
Abbildung 5: VPN- und Geographical Information-Erweiterung für Nepal Telecom IP 202.70.66[.]146 (Quelle: Aufgezeichnete Zukunft)
Malware-Analyse
Durch die Analyse der identifizierten operativen Infrastruktur von TAG-22 haben wir mehrere Cobalt-Strike-Proben identifiziert, die wahrscheinlich von der Gruppe verwendet wurden, um erstmals in der Zielumgebung Fuß zu fassen. Die Gruppe verwendete außerdem einen benutzerdefinierten Cobalt Strike-Loader, den die Malware-Autoren offenbar Fishmaster nannten, basierend auf einer in mehreren Samples vorhandenen Debugging-Zeichenfolge:
(C:\Benutzer\test\Desktop\fishmaster\x64\Release\fishmaster.pdb)
Die Zeichenfolge „fish_master“ war auch bei anderen vorhanden.
Für den ersten Zugriff verwendete die Gruppe typischerweise doppelte Erweiterungen für Fishmaster Portable Executable (PE)-Dateien, um sie wie Microsoft Office- oder PDF-Dateien aussehen zu lassen:
- 2af96606c285542cb970d50d4740233d2cddf3e0fe165d1989afa29636ea11db - Werbekooperation - DUKOU ICU.pdf.exe
- C2df9f77b7c823543a0528a28de3ca7acb2b1d587789abfe40f799282c279f7d – 履歷-王宣韓.docx.exe
In jedem Fall wird dem Benutzer nach der Ausführung ein Scheindokument angezeigt, beispielsweise der unten gezeigte Lebenslauf eines vermutlich taiwanesischen Staatsbürgers. In anderen Fällen verwendete die Gruppe bösartige Makros, um den Fishmaster-Loader zu deaktivieren. Da beide Lockdokumente in traditionellen chinesischen Schriftzeichen verfasst sind, im Lebenslauf eine taiwanesische Universität erwähnt wird und die Gruppe Taiwan stärker ins Visier genommen hat, gehen wir davon aus, dass mit diesen speziellen Lockmitteln wahrscheinlich taiwanesische Organisationen ins Visier genommen wurden.
Abbildung 6: Bei der TAG-22-Aktivität verwendete Lockdokumente
Viele der von TAG-22 in dieser Kampagne verwendeten Cobalt Strike Beacon-Nutzlasten wurden mit dem formbaren Backoff-C2-Profil konfiguriert, das die folgenden allgemeinen Netzwerkverkehrsmerkmale enthält:
Benutzeragent: „Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0"
HTTP-POST-URI (Mehrfachauswahl): /windebug/updcheck.php /aircanada/dark.php /aero2/fly.php /windowsxp/updcheck.php /hallo/flash.php HTTP GET URI: /Aktualisierung |
Alle Konfigurationen enthalten das Wasserzeichen 305419896, das einer geknackten Version von Cobalt Strike zugeordnet ist.
Ausblick
Derzeit verfolgt die Insikt Group weiterhin die Aktivitäten von TAG-22 als unabhängigen Aktivitätscluster, der sich mit der größeren Gruppe überschneidet, die von ESET als Winnti Group definiert wurde. TAG-22 verwendet gemeinsam genutzte, benutzerdefinierte Hintertüren, die wahrscheinlich nur bei staatlich geförderten chinesischen Gruppen vorkommen, darunter ShadowPad und Winnti, und setzt außerdem Open-Source- oder offensive Sicherheitstools wie Cobalt Strike und Acunetix ein. Die fortgesetzte Nutzung der öffentlich gemeldeten Infrastruktur durch TAG-22 ist ein Hinweis darauf, dass die Gruppe trotz der breiten öffentlichen Berichterstattung über ihre Aktivitäten einen hohen operativen Erfolg verzeichnet. Die Insikt Group hat TAG-22 vor allem als in Asien aktiven Akteur identifiziert. Abgesehen von dieser Kampagne verfügt die Gruppe jedoch über einen relativ breiten Zielbereich sowohl geografisch als auch branchenbezogen. Dieser breitere Zielbereich, gepaart mit der Verwendung der Winnti-Hintertür, ist typisch für mehrere mutmaßliche MSS-Auftragnehmer, darunter APT17und APT41.
Eine vollständige Liste der Indikatoren für eine Kompromittierung finden Sie im Github-Repository der Insikt Group.
Verwandt