RedAlpha: Neue Kampagnen gegen die tibetische Gemeinschaft entdeckt

Klicken Sie hier um die komplette Analyse als PDF herunterzuladen.

Hinweis zum Geltungsbereich: Recorded Future hat neue Schadsoftware analysiert, die auf die tibetische Gemeinschaft abzielt. Dieser Bericht enthält eine detaillierte Analyse der Schadsoftware selbst und der zugehörigen Infrastruktur. Zu den Quellen zählen die Plattform von Recorded Future, VirusTotal, ReversingLabs und Metadaten von Drittanbietern sowie allgemeine OSINT- und Netzwerk-Metadatenanreicherungen wie DomainTools Iris und PassiveTotal sowie die Zusammenarbeit von ^Forschern.1 Diese Forschung verfolgt einen zweifachen Zweck: Sie soll Indikatoren liefern, die zum Schutz möglicher Opfer eingesetzt werden können, und das Bewusstsein für eine mögliche Verschiebung gegnerischer TTPs schärfen.

Executive Summary

Die Insikt Group von Recorded Future hat zwei neue Cyberspionagekampagnen identifiziert, die sich in den letzten zwei Jahren gegen die tibetische Gemeinschaft richteten. Die Kampagnen, die wir zusammenfassend RedAlpha nennen, kombinieren leichte Aufklärung, selektives Zielen und verschiedene bösartige Werkzeuge. Wir entdeckten diese Aktivität als Folge der Abkehr von einer neuen Malware-Probe, die auf die in Indien ansässige tibetische Gemeinschaft abzielte.

Die Analyse der Insikt Group hinsichtlich der Infrastrukturüberschneidungen zwischen den neuen Kampagnen zeigt, dass neben den Regierungen Süd- und Südostasiens auch die chinesischen „Fünf Gifte“² im Visier sind. Da die Kampagne auf mit „Five Poisons“ verbundene Organisationen abzielte, es eine Überlappung der Infrastruktur gab und Links zu Malware gab, die von anderen chinesischen APTs verwendet wurde, die wir im Rahmen unserer Untersuchungen aufgedeckt haben, gehen wir mit mittlerer Sicherheit davon aus, dass die RedAlpha-Kampagnen von einer chinesischen APT durchgeführt wurden.

Hintergrund

Seit vielen Jahren sind die tibetischen und uigurischen Gemeinschaften das Ziel zahlreicher Bedrohungsakteure mit Exploits, Phishing, Watering-Hole-Angriffen und Malware, die mehrere Plattformen ausnutzt, darunter Windows, MacOS und in jüngster Zeit auch Android. Es überrascht nicht, dass sich unter den Angreifern mehrere chinesische Bedrohungsakteure befinden, darunter die ursprüngliche Winnti-Gruppe, LuckyCat und NetTraveler, aber auch andere wie MiniDuke und Equation Group. Durch die Unterstützung gezielter Communities können Forscher aufkommende bösartige Kampagnen entdecken und gleichzeitig die Opfer schützen. Allerdings hat die wiederholte Entdeckung wenig dazu beigetragen, Angreifer endgültig abzuschrecken.

Die RedAlpha-Kampagnen begannen Mitte 2017 und zielten auf die tibetische Gemeinschaft in Indien ab. Die neueste Kampagne läuft noch; Ende April 2018 wurden neue Subdomains registriert. Der Bedrohungsakteur nutzte eine sorgfältige Kombination aus Opferaufklärung und Fingerabdruckerfassung, gefolgt von selektivem Targeting mit mehrstufiger Schadsoftware. Die eingesetzte Schadsoftware wechselte von einem zuverlässigen benutzerdefinierten Toolset in der Kampagne 2017 zu einem vorsichtigeren und spartanischen Ansatz und endete 2018 mit Standard-Schadsoftware. Die Beobachtung dieser beiden Kampagnen hintereinander verdeutlicht die Entwicklung eines relativ unbekannten Bedrohungsakteurs.

Aufgezeichnete zukünftige Zeitleiste ausgewählter Aktivitäten aus den RedAlpha-Kampagnen.

Übersicht der RedAlpha-Kampagnen

Die hktechy-Kampagne 2017, benannt nach einem ihrer Command-and-Control-Server (C2), begann im Juni 2017. Dabei kamen zwei Stufen weitgehend maßgeschneiderter Schadsoftware für 32- und 64-Bit-Windows-Systeme zum Einsatz. Die erste Phase war ein einfacher Dropper, der eine Nutzlast herunterladen und ihre Persistenz als Windows-Dienst etablieren sollte. Die nächste Stufe war ein Infostealer, der darauf ausgelegt war, Systeminformationen zu sammeln, Dateien und ganze Verzeichnisse zu komprimieren und sie zu exfiltrieren. Die Schadsoftware verwendete eine duale C2-Infrastruktur, die auf einem IIS-konfigurierten Server basierte und Dateien und Informationen über POST-Anfragen an einen zweiten Server schickte.

Wir haben festgestellt, dass dieselbe E-Mail-Adresse, die zur Registrierung einer C2-Domäne für die hktechy-Kampagne 2017 verwendet wurde, auch zur Registrierung einer anderen Domäne verwendet wurde, die in eine IP aus Hongkong aufgelöst wurde. Diese IP wurde zuvor mit einer Phishing-Kampagne in Verbindung gebracht, die 2016 und 2017 gegen Tibeter durchgeführt wurde und über die Citizen Lab Anfang des Jahres berichtete . Aufgrund dieser Überschneidung in der Infrastruktur konnten wir alle drei Kampagnen demselben Bedrohungsakteur zuordnen. Die historischen Aktivitäten zeigten, dass die Gruppe ein breiteres Zielspektrum abdeckt, darunter auch Regierungsnetzwerke in süd- und südostasiatischen Ländern. Der Bericht hob außerdem hervor, dass die Gruppe westliche Webmail- und Cloud-Service-Anbieter wie Microsoft, Google und Yahoo gefälscht hatte, um Zugriff auf die Netzwerke der Opfer zu erhalten.

Citizen Lab kam zu dem Schluss, dass es sich bei dem Akteur hinter der beobachteten Kampagne möglicherweise um einen „kleinen Auftragnehmer“ handelte, der „schlampig“ vorging und eine kostengünstige Infrastruktur nutzte. Unsere Beobachtungen der hktechy-Kampagne von 2017 zeigen, dass der Angreifer von Anfang an darauf spezialisiert ist, maßgeschneiderte Malware mit redundanter Kommunikation zu verwenden, was auf ein höheres Maß an Raffinesse des Angreifers schließen lässt.

Die Internetdocss-Kampagne 2018 begann im Januar und dauerte mindestens bis Ende April 2018. Die Kampagne offenbarte eine plötzliche Abkehr vom hktechy-Toolkit, indem der benutzerdefinierte Dropper der ersten Stufe durch ein Implantat im Validator-Stil ersetzt wurde, das die Umgebung des Opfers überprüfte und grundlegende Systeminformationen an den C2 übermittelte, bevor weitere Drops versucht wurden. Anschließend setzten die Angreifer auf bestimmten Opfercomputern gezielt eine gängige Schadsoftware namens njRAT ein. Wir haben festgestellt, dass beide Phasen für alle Aspekte der Angriffskampagne, einschließlich Opferaufklärung, Drops und Exfiltration, mit einem einzigen C2-Server kommunizierten.

Der Wechsel von kundenspezifischen Tools zu Standard-Malware stellt einen umfassenderen Wandel bei den gegnerischen TTPs dar, der in der APT-Forschungsgemeinschaft beobachtet wurde. Aufgrund der verstärkten Kontrolle verlassen sich sowohl kriminelle als auch staatlich geförderte Gruppen immer stärker auf handelsübliche Schadsoftware und Tools für Penetrationstests. Diese Umstellung stellt für die Angreifer einen doppelten Mehrwert dar: Zum einen können sie ihre Operationen mit der verstärkten Nutzung gängiger Tools verschmelzen und zum anderen sinken für sie die Kosten für die Umrüstung bei Entdeckung.

Die sorgfältige und selektive Zielausrichtung der Internetdocss-Kampagne von 2018 stützt die Theorie, dass an der laufenden Kampagne ein erfahrenerer Akteur oder eine erfahrenere Organisation beteiligt ist. Unerfahrene Angreifer neigen dazu, die Institutionen ihrer Opfer gezielt anzugreifen, wobei sie dasselbe Opfer oft mehrere Male ins Visier nehmen. Außerdem verzichten sie auf Aufklärungsphasen und führen stattdessen lautstarke Einbruchsoperationen durch. Unsere Untersuchungen zeigen, dass diese Gruppe sehr gezielt angegriffen wird. Zunächst suchten die Angreifer nach einem bestimmten Opfer und leiteten es über ihren C2-Server zu einem legitimen Nachrichtenartikel weiter. So gelang es ihnen, das Betriebssystem des Opfers zu identifizieren. Wo wir diese Drops beobachtet haben, wurde nur einigen derjenigen, die bereit waren zu klicken, ein sorgfältig ausgearbeiteter Köder mit der Bitte um Hilfe für einen tibetischen Gelehrten präsentiert. Bei dem Anhang handelte es sich um ein Exploit-Dokument, das Persistenz herstellte und das Validator-Implantat der ersten Stufe einsetzte.

Als letzten Beweis für die Urteilskraft des Angreifers untersucht das Validierungsimplantat die Umgebung des Opfers auf gängige Antivirenlösungen, untersucht virtuelle Umgebungen und richtet ein wiederkehrendes Beacon ein, das grundlegende Systeminformationen des Opfers überträgt. Diese Schutzmaßnahme war im benutzerdefinierten Toolkit der hktechy-Kampagne nicht vorhanden. Anschließend wählten die Angreifer sorgfältig aus, welchen Opfern die Nutzlast der Standard-Malware njRAT ausgeliefert wird.

Mit den beiden RedAlpha-Kampagnen in Zusammenhang stehende Proben sind nach wie vor recht selten; in beiden Kampagnen wurden weniger als 20 Proben identifiziert. Benutzerdefinierte Beispiele werden in C++ codiert. Der Dropper von 2018 stützte sich auf ein seltenes plattformübergreifendes C++-Framework namens Haxe , um Teile von öffentlich verfügbarem Quellcode zusammenzufügen, der größtenteils in chinesischsprachigen Foren und Blogs zu finden war.

Wir haben eine Vielzahl miteinander verflochtener Infrastrukturen entdeckt, die während der RedAlpha-Kampagnen und möglicherweise auch für ihre älteren Operationen verwendet wurden und die wir in der folgenden Maltego-Tabelle zusammengefasst haben:

Infrastruktur der RedAlpha-Kampagne 2017–2018 (Klicken Sie auf das Bild, um es zu vergrößern).

Technische Analyse: Malware und Tools

Die Hktechy-Kampagne (Mitte 2017)

Wir gehen davon aus, dass die RedAlpha-Kampagnen Mitte 2017 mit der hktechy-Kampagne begannen. Der Infektionsvektor ist derzeit unbekannt, verwendet jedoch maßgeschneiderte mehrstufige Malware – einen einfachen Dropper und eine Payload. Der Dropper hat die Persistenz der Infostealer-Nutzlast als Windows-Dienst eingerichtet. Beide Stufen sind sowohl für 32- als auch für 64-Bit-Windows-Systeme verfügbar. Unten wird auch ein einzelnes Beispiel eines verbesserten eigenständigen 64-Bit-Infostealers (NetHelp Striker) beschrieben.

2017: Audio Droppers

Der Dropper hat versucht, seine eigene Persistenz als Startdatei einzurichten. Anschließend lud es eine Datei von http://doc.internetdocss[.]com/nethelpx86.dll herunter und speicherte sie unter <C:\Windows\nethelp.dll>. Die Persistenz dieser Payload der nächsten Stufe wurde hergestellt, indem die Datei nethelp.dll als Dienst registriert wurde, der über den Windows Service Host (svchost.exe) ausgeführt werden soll. Verfahren. Nachdem bestätigt war, dass der Dienst ordnungsgemäß ausgeführt wurde, löschte der Dropper die abgelegten Dateien und löschte sich selbst. Andernfalls versuchte es erneut, sich von http://doc.internetdocss[.]com/audiox86.exe herunterzuladen. Dadurch erhalten die Angreifer einen Aktualisierungsmechanismus, mit dem sie unvorhergesehene Komplikationen abmildern können.

Eine x86-64-Variante des Droppers hatte die gleiche Funktionalität, verwies aber stattdessen auf 64-Bit-Drops vom gleichen C2-Server.

2017: Dropper-Varianten

2017: NetHelp Infostealer

Die NetHelp-Nutzlast wurde nur für die Verwendung als Dienst entwickelt (eine Persistenzmethode, die vom Audio-Dropper mit passender Bitanzahl eingerichtet wird). Die Nutzlast verknüpft APIs zur Laufzeit dynamisch über GetProcAddress und LoadLibrary.

Das Implantat nutzte gleichzeitig zwei Kommunikationsmethoden: die Erstellung eines separaten Threads mit einem offenen Socket zum <www.hktechy[.]com> Server auf Port 80 und sendet POST-Anfragen an <index.ackques[.]com> C2-Server mit dem spezifischen User-Agent, unten abgebildet:

POST-Anforderungsvorlage, die zusammen mit dem Dateihandle und der Größe als Parameter übergeben wird.

Der hktechy-Socket wurde verwendet, um Informationen über das Opfersystem zu übertragen, während POST-Anfragen an „index.acques[.]com/index.html“ gesendet wurden. hauptsächlich hochgeladene zlib-komprimierte Dateien vom Opfersystem.

Teilweise Dekompilierung der Switch-Anweisung für die Dateidiebstahllogik.

Wie der Screenshot oben zeigt, wurde die Logik zum Dateidiebstahl in Form einer umfangreichen Switch-Anweisung in das Implantat integriert. Diese enthielt:

• Aufzählung von Dateien und Ordnern.
• Hochladen, Verschieben und Löschen einzelner Dateien.
• Verwenden Sie WinRAR^3e (rar.exe), um ganze Verzeichnisse vor dem Hochladen zu komprimieren.
• Extrahieren Sie die RAR-Datei mit vollständigen Pfaden.
• Löschen ganzer Verzeichnisse (entweder zur Bereinigung oder zum selektiven, rudimentären Löschen).
• Öffnen von Dateien oder Programmen mit bestimmten Parametern.

Der hktechy C2-Mechanismus wird verwendet, um detailliertere Informationen über das Opfersystem hochzuladen, beispielsweise Informationen über logische Datenträger und Dateilisten. Darüber hinaus können die Angreifer Dateien an die infizierte Maschine senden und bei Bedarf weitere Nutzdaten ausführen.

Eine Analyse der Laufzeit-Typidentifikationssymbole in der Binärdatei weist darauf hin, dass einige Funktionen aus dem Open-Source-Programm Gh0st RAT übernommen wurden, darunter Code für die Verwaltung von Client-Sockets, Pipes zu und von der Befehlszeilen-Shell und für den Datei-Upload. Zusätzlicher Quellcode für eine virtuelle Klasse „CUploadManager“ wurde wahrscheinlich aus einem Beitrag im „Chinese Software Developer Network“ übernommen.

2017: NetHelp Infostealer-Varianten

2017: Infostealer NetHelp Striker

Einen Monat nach den Kompilierungszeitstempeln der ursprünglichen NetHelp-Infostealer kompilierten die Angreifer eine neue Version.

Aufschlüsselung der Ähnlichkeiten der NetHelp-Varianten.

Ein Vergleich des standardmäßigen 64-Bit-NetHelp-Infostealers mit dem neueren NetHelp Striker-Implantat zeigte nur geringfügige Änderungen; weniger als 10 Prozent der Funktionen stellten völlig neue Funktionalitäten dar. Durch diese Änderungen wurde die Nutzlast eigenständig: Sie konnte ihre eigene Persistenz aufbauen, ohne dass ein anfängliches Dropper-Modul erforderlich war, und war in der Lage, Dokumentensätze zu stehlen, ohne auf Software von Drittanbietern angewiesen zu sein, die auf dem Computer des Opfers möglicherweise nicht verfügbar war.

2017: Infostealer NetHelp Striker

Vor allem ermöglichten die Updates die Installation der Nutzlast „Infostealer Striker“. Es repliziert die Persistenzfunktionalität von word(x32|x86).exe Dropper, der nethelp.dll als einen von svchost.exe ausgeführten Dienst („Windows-Internethilfe“) etablierte. Auf diese Funktionalität kann dann über einen neuen Export namens „Installieren“ zugegriffen werden.

Darüber hinaus ist diese neue Version nicht mehr auf die Verfügbarkeit von WinRar (rar.exe) angewiesen, um ganze Verzeichnisse zu komprimieren. Der Infostealer überwachte nun Änderungen der Dateigröße und schickte aktualisierte Kopien der Dateien an den C2-Server.

Schließlich wurde die Domäne hktechy durch striker.internetdocss[.]com ersetzt. woher diese Variante ihren Namen hat.

Internetdocss-Kampagne (2018–heute)

Die RedAlpha Internetdocss-Kampagne startete im Januar 2018. Ein bestätigter Infektionsvektor ist die Verwendung eines Exploit-Köderdokuments, das über eine Social-Engineering-E-Mail übermittelt wurde und in der um Hilfe für einen tibetischen Gelehrten gebeten wird. Die Kampagne basiert ausschließlich auf einem einzigen C2, minimalistischen Werkzeugen und selektiveren Infektionen. Das Exploit-Dokument installiert ein benutzerdefiniertes Implantat im Validator-Stil, das aus öffentlich verfügbarem Quellcode und einem plattformübergreifenden C++-Framework zusammengesetzt ist. Die Angreifer wählen dann aus, welche infizierten Opfer eine Nutzlast der zweiten Stufe wert sind. Der einzige in dieser Kampagne identifizierte Drop der zweiten Phase bestand aus der Ware RAT.

2018: Infektionsvektor

Das Köderdokument dient dazu, den Microsoft Office Equation Editor⁴ auszunutzen und so eine eingebettete DLL zu laden. Interessanterweise weist das Köderdokument selbst eine seltene Kombination von Sprachressourcen auf (US-Englisch, Saudi-Arabisch, Chinesisch aus der Volksrepublik China). Obwohl der Köder (siehe Abbildung unten) in unseren virtuellen Maschinen nicht richtig gerendert wurde, konnte dies die Ausführung der Malware nicht verhindern.

Falsch wiedergegebenes Köderdokument.

Nach der Ausführung lädt das Köderdokument eine eingebettete DLL (MD5: e6c0ac26b473d1e0fa9f74fdf1d01af8), die das Validator-Implantat unter dem Namen „winlogon.exe“ im Temp-Verzeichnis des Benutzers ablegt. Die Persistenz wird über einen Registrierungs-Ausführungsschlüssel hergestellt.

Validator-Implantat als „winlogon.exe“.

2018: Validator-Style Beacon

Die Schadsoftware der Internetdocss-Kampagne von 2018 unterscheidet sich von der Schadsoftware, die vom gleichen Bedrohungsakteur in der HKTECHY-Kampagne von 2017 eingesetzt wurde. In der ersten Phase handelt es sich nicht mehr um einen naiven Dropper. Stattdessen haben sich die Angreifer dafür entschieden, ihre Opfer zu validieren, bevor sie weitere Schadsoftware bereitstellen. Das Implantat durchsucht den Computer nach Antimalware-Produkten und erstellt anschließend ein Profil des betroffenen Computers. Die Beaconing-Informationen werden anschließend auf einem C2-Server gesammelt. Die Angreifer können dann gezielt ihre Nutzlast für die nächste Stufe einsetzen.

Die Codierung der Schadsoftware selbst zeichnet sich durch ihre unkomplizierte Cut-and-Splice-Effizienz aus. Es ist für C++ kompiliert und verwendet das plattformübergreifende Framework Haxe . Der größte Teil des Ausführungsflusses ist in einer einzigen Hauptfunktion zusammengefasst. Wie unten gezeigt, scheinen wesentliche Funktionen aus verschiedenen Open-Source-Codeteilen kopiert worden zu sein, die in chinesischen Blogs und Foren zu finden sind.

Betriebssystemversion ermitteln und genaue Vergleichsliste.

WMI prüft auf Sicherheitsprodukte.

Die Implantate senden in regelmäßigen Abständen leicht verschleierte Benutzerinformationen und die Betriebssystemversion an doc.internetdocss[.]com C2-Server.

2018: Kundenspezifische Dropper-Varianten

njRAT: Nutzlast der zweiten Stufe

We were able to identify a single case of a next-stage drop. Despite its scarcity, the payload turned out to be a standard version of njRAT (aka Bladabindi). This piece of commodity malware was originally highly prevalent in targeting entities in the Middle East, but variants have been observed being used against victims worldwide. The only thing that sets this payload apart from the standard njRAT is its configuration,⁵ which points to the same C2 server and subdomain as the first-stage validator: doc.internetdocss[.]com. 

Dekodierte njRAT-Ausgabe.

Ähnlichkeiten mit der von Citizen Lab beschriebenen Malware

Die von Citizen Lab in seinem Bericht beschriebene Schadsoftware weist keine direkte Codeüberschneidung mit den in der hktechy-Kampagne 2017 verwendeten Varianten von NetHelp Infostealer auf. Es weist jedoch einige Ähnlichkeiten im Codierstil mit der Internetdocss-Kampagne von 2018 auf. Wie der Internetdocss-Validator wurde die von Citizen Lab beschriebene Malware in C++ codiert und stützte sich auf ein plattformübergreifendes Framework (in diesem Fall Qt Version 4 statt Haxecpp). Zu den weiteren ähnlichen Merkmalen gehört, dass die von Citizen Lab beschriebene Schadsoftware als Filesheber agiert, mit einem einzelnen C2-Server kommuniziert, um Dateien vom Computer des Opfers zu stehlen, und sich für die Konvertierung in und aus chinesischen Schriftzeichen auf den GBK-Codec verlässt.

Infrastruktur

Die Hktechy-Kampagne (Mitte 2017)

Die hktechy-Kampagne im Jahr 2017 nutzte einen Dropper, der für die Kommunikation mit der C2-Domäne doc.internetdocss[.]com konfiguriert war. Dieser Dropper wurde genutzt, um die Payload des NetHelp Infostealer auszuliefern, der für die Kommunikation mit zwei weiteren C2-Domänen konfiguriert war, www.hktechy[.]com und index.ackques[.]com.

Zusammenfassung der Infrastruktur der hktechy-Kampagne 2017 (Klicken Sie auf das Bild, um es zu vergrößern).

Passive DNS resolutions reveal that doc.internetdocss[.]com first resolved to Japanese IP 220.218.70[.]160 on June 28, 2017, only a few weeks after the original dropper was compiled on June 11. The domain continued to resolve to the same Japanese IP until September 14, 2017, after which it was withdrawn from use until the domain reappeared again for the internetdocss campaign in 2018.

Additional domains that resolved to 220.218.70[.]160 between June 28 and September 14, 2017 are detailed below:

Hktechy[.]com was first observed on June 19, 2017, when it resolved to a Chinese IP, 198.44.172[.]97, belonging to Chinese VPS provider VPSQuan LLC. Four hashes, listed in the table below, were correlated with this IP, using the Proofpoint’s Emerging Threats data within RiskIQ.⁶ All except one of the samples were also deployed from Japanese IP 220.218.70[.]160 that hosted doc.internetdocss[.]com in 2017. While three of the hashes were positively identified in this report as being associated with the 2017 hktechy campaign, we were unable to acquire one of the samples (MD5: 1b67183acc18d7641917f4fe07c1b053) from common malware multiscanner repositories at the time of writing. We suspect this sample may be a variant of the 2017 infostealer malware.

Links between hktechy NetHelp Infostealer variants and 220.218.70[.]160.

Die Internetdocss-Kampagne (2018-laufend)

Wie bereits beschrieben, wurde der Internetdocss-Validator so konfiguriert, dass er mit doc.internetdocss[.]com kommuniziert. für C2.

Zusammenfassung der Infrastruktur der Internetdocss-Kampagne 2018 (Klicken Sie auf das Bild, um es zu vergrößern).

Forward DNS lookups reveal that doc.internetdocss[.]com currently points to Singaporean IP 45.77.250[.]80 (Choopa, LLC), and historically resolved to at least two other IPs:

DNS-Auflösungen von doc.internetdocss[.]com.

As noted earlier, doc.internetdocss[.]com was also configured as a C2 during the 2017 hktechy campaign when it resolved to Japanese IP 220.218.70[.]160. This infrastructure overlap ties the two campaigns together, increasing our confidence in attributing both to the same threat actor.

Singapore IP 45.77.250[.]80

Investigation into the 45.77.250[.]80 IP revealed several related subdomains of internetdocss[.]com:

Other domains resolving to SG IP 45.77.250[.]80.

Wir können sehen, dass viele der in der Tabelle oben aufgelisteten Domänen Begriffe enthalten, die sich auf die „Fünf Gifte“ Chinas beziehen und auf in China zensierte Themen verweisen, wie etwa die tibetische Unabhängigkeitsbewegung, Anhänger von Falun Gong oder die Demokratiebewegung. Auch das bekannte indische Medienunternehmen NDTV wird parodiert, vermutlich um die im indischen Exil lebende tibetische Gemeinschaft noch stärker ins Visier zu nehmen.

Aufgrund der Art dieser Domänenregistrierungen ist es wahrscheinlich, dass die Kampagne umfassender angelegt war und weitere traditionelle, ideologische und regionale geopolitische Ziele für China umfasste.

Japan IP 220.218.70[.]160

As briefly noted previously, Japanese IP 220.218.70[.]160 hosted doc.internetdocss[.]com between June 28, 2017 and September 14, 2017.

Additionally, u2xu2[.]com also resolved to 220.218.70[.]160 between August 20, 2017 and April 8, 2018. The full resolution history of u2xu2[.]com is noted below:

DNS-Auflösungsverlauf von u2xu2[.]com.

While conducting further research on 220.218.70[.]160, we came across the file “Microsoft_Word_97_-_2003___1.doc” (MD5: 1929db297c9d7d88a6427b8603a7145b) in VirusTotal which referenced 220.218.70[.]160 within the document body.

Preliminary analysis of this file suggest it was authored by one “AdminFuke” with the character encoding set to “Simplified Chinese GBK.” Once opened, this Word document attempts to download an HTML executable (HTA) file from the same C2 (hXXp://220.218.70[.]160/sec.hta).

This trojanized Microsoft Word document exploits CVE-2017-0199 and was first uploaded to multiscanner repositories on May 8, 2017, putting it firmly within the 57-day CNNVD publication lag for the disclosure of the CVE-2017-0199 vulnerability that was first disclosed by Recorded Future in research published in November 2017.

NetHelp Striker Infostealer und gemeinsam genutzte SSL-Zertifikate

Earlier in this report, we discussed the NetHelp Striker implant which amongst other modifications resulted in a new C2 domain being embedded into the malware — striker.internetdocss[.]com. This domain’s recent DNS resolution history differs from the wider infrastructure used by the threat actor responsible for the RedAlpha campaigns; it has never resolved to the common 45.77.250[.]80 Choopa LLC VPS like every other subdomain of internetdocss[.]com.

Striker.internetdocss[.]com currently resolves to a WebNX U.S. IP address, 142.4.62[.]249. Previously, striker.internetdocss.com resolved to HK IP 27.126.179[.]157 (Forewin Telecom Group Limited). It is important to note that this IP is in the same immediate netblock as the IP that previously hosted u2xu2[.]com (27.126.179[.]158). Furthermore, the exact same SSL cert (SHA1: c8e61a4282589c93774be2cddc109599316087b7) was observed on all Forewin Telecom registered IPs in the range 27.126.179[.]156 — 27.126.179[.]160.

Delving deeper into historical SSL certs assigned to this small netblock, we found four of the five Forewin telecom IPs had also shared SSL cert SHA1: dd3f4da890fa00b0b6032d1141f54490c093c297 in the past. This cert was active on the 27.126.179[.]159 Forewin IP when it had tk.u2xu2[.]com pointing to it. This enabled us to identify http.ackques[.]com, a sibling of the 2017 NetHelp infostealer C2 domain index.ackques[.]com, resolving to the same IP 27.126.179[.]159, thus reaffirming that 27.126.179[.]156 – 27.126.179[.]160 is a netblock likely managed by the same threat actors behind the RedAlpha campaigns. Common SSL certificates and sibling domains among the same small netblock are strong indicators that that this small netblock was administered by the same group.

Hong Kong IP 122.10.84[.]146

Wie bereits erwähnt, doc.internetdocss[.]com zwischen dem 8. Februar 2018 und dem 27. März 2018 auf diese IP in Hongkong aufgelöst. Seit dem 23. März 2018 ist die Domain sp.u2xu2[.]com beschließt es.

We assess that sp.u2xu2[.]com and doc.internetdocss[.]com are likely administered by the same threat actor because both have pointed at 122.10.84[.]146 in the past and the parent domain, u2xu2[.], resolved to the same Japanese IP 220.218.70[.]160 as doc.internetdocss[.]com also resolved to previously. There is no evidence to suggest either domain or associated IP infrastructure were reassigned or picked up by another entity in the researched timeframe.

Retrospective analysis in malware multiscanner repositories identified several files associated with the 122.10.84[.]146 IP:

• MD5: c94a39d58450b81087b4f1f5fd304add. Dies ist eine Variante des benutzerdefinierten Droppers der ersten Stufe, der in der Internetdocss-Kampagne RedAlpha 2018 verwendet wurde.
• MD5: 3a2b1a98c0a31ed32759f48df34b4bc8 („qww.exe“). Dies ist ein alternativer Validierer der ersten Stufe, der eine Nutzlast der zweiten Stufe enthält, die njRAT ablegt.
• Likely related to the “qww.exe” validator. We discovered a version of njRAT (also known as Bladibindi) hosted on the same 122.10.84[.]146 Hong Kong IP (filename serverdo7468.exe, MD5: c74608c70a59371cbf016316bebfab06).

Zielen

Die Tibeter sind nicht die einzigen Ziele

The domain registrant for RedAlpha’s 2017 campaign C2, hktechy[.]com, was steven-jain@outlook[.]com. Pivoting on this email address reveals it was also used to register a similar domain, angtechy[.]com, on June 20, 2017. Angtechy[.]com continues to resolve to Hong Kong IP 115.126.39[.]107 which has hosted over 60 domains since mid-2015. Many of these domains were spoofing specific organizations such as the Office of His Holiness the Dalai Lama (webmail-dalailama[.]com), the Sri Lankan Ministry of Defense (mail-defense[.]tk), and a Chinese online car auction site (mail-youxinpai[.]com) as shown in the table below. Other domains hosted on 115.126.39[.]107 included spoofs of generic webmail and cloud services provided by Google, Yahoo, and Microsoft.

Selection of spoofed domains hosted on 115.126.39[.]107.

115.126.39[.]107 and many of the spoofed domains were reported in research conducted by Citizen Lab in January 2018, detailing a widespread phishing campaign targeting the Tibetan community and government agencies in South and Southeast Asia. The infrastructure overlap associating the campaigns reported by Citizen Lab with the hktechy campaign provides strong evidence that the same threat actor may be responsible for the targeting of the Tibetan community and other victims from as early as 2015.

Zielt man auf Indianer?

Metadata analysis of the researched Hong Kong IP 122.10.84[.]146 revealed that between April 2 and April 23, repeated SSL connections were made with two IPs in India (103.245.22[.]117, 103.245.22[.]124) that resolve to MahaOnline services. MahaOnline is an e-portal for the Government of Maharashtra, a state in Western India for which Mumbai is the capital. The e-portal enables citizens to access civil services and hosts domains such as swayam.mahaonline.gov[.]in (a tribal development program website) and molpg.mahaonline.gov[.]in (an online payment gateway).

While we have not directly observed any malicious communications between the Hong Kong IP 122.10.84[.]146 and the Mahaonline IPs, the volume of connections from the Mahaonline IPs to port 443 on the Hong Kong C2 may indicate the successful targeting of the e-portal. In addition, there are no legitimate services hosted on the Hong Kong C2 that could explain these connections.

Bedrohungsakteur

Links zur Verwendung von FF-RAT und chinesischen APTs

As highlighted previously, a shared SSL certificate was present on Hong Kong IP 27.126.179[.]159 when it hosted tk.u2xu2[.]com. Exploring historical DNS resolutions, we found tk.u2xu2[.]com resolved to Hong Kong IP 103.20.193[.]156 between June 2016 and November 2016. This IP was registered to Shenzhen Katherine Heng Technology Information Company Ltd. During the same time window, we found that malicious MD5: 83ffd697edd0089204779f5bfb031023 was communicating with tk.u2xu2[.]com.

The ReversingLabs enrichment in Recorded Future confirmed that 83ffd697edd0089204779f5bfb031023 was first observed in the wild in June 2016, assigning it a “65” risk rating and classifying it under the Tiniwen malware family. Tiniwen is more widely known as FF-RAT which has been around since at least 2012, with public reporting of FF-RAT exclusively associating it with Chinese APT activity. In 2015, the FBI reportedly highlighted FF-RAT as “one of the more effective tools” leveraged during the successful targeting of the U.S. Office of Personnel Management (OPM), widely believed to have been conducted by a Chinese APT.

Darüber hinaus dokumentierte Cylance in seinem Forschungspapier vom Juni 2017 eine Instanz von FF-RAT, die für die Kommunikation mit C2 tk.u2xu2[.]com konfiguriert war. Auf Grundlage der hier gezogenen Assoziationen gehen wir davon aus, dass FF-RAT wahrscheinlich von denselben Bedrohungsakteuren verwendet wurde, die auch hinter RedAlpha stehen, und zwar möglicherweise bereits im Jahr 2016.

Finally, according to WHOIS data, 13316874955@163[.]com was used to register the Hong Kong IP 103.20.193[.]156. This email address has registered at least another 125 IP addresses, all at Shenzhen Katherine Heng Technology Information Company Ltd, with several of the IPs tagged for linkages⁷ to Chinese APT groups such as NetTraveler, Icefog, and DeputyDog:

• 103.30.7[.]76; NetTraveler; Kaspersky
• 103.30.7[.]77; NetTraveler; Kaspersky
• 103.20.192[.]59; NetTraveler; Kaspersky
• 103.20.195[.]140; Icefog; Kaspersky
• 103.20.192[.]4; DeputyDog; FireEye
• 103.20.192[.]248; MILE TEA campaign; Palo Alto Networks

Hinweis auf mögliche Beteiligung der PLA

One of the domains, cqyrxy[.]com, that historically resolved to 115.126.39[.]107, was registered with the contact name “ren minjie.” Interestingly, “Ren Minjie” is the English transliterated spelling of 人民 (Renmin) and 解 (Jie), with 解 (Jie) likely being the abbreviation of 解放军 (Jiefangjun). Jiefangjun is translated to “The Chinese People’s Liberation Army” (PLA), and therefore, “Ren Minjie” is likely a transliterated shorthand for the PLA. It is unclear whether this is an intentional false-flag planted in the registration details for the domain, or if it is merely the result of sloppy behavior by the threat actor unveiling the possible identity of the perpetrating organization.

Links zu Nanjing Qinglan Information Technology Co., Ltd.

Wir haben auch Verbindungen zu einem chinesischen Informationssicherheitsunternehmen namens Nanjing Qinglan Information Technology Co., Ltd (南京青苜信息技术有限公司) aufgedeckt.

Die bösartigen Domänen drive-mail-google[.]com und drive-accounts-gooogle[.]com wurden im begleitenden IOC-Deck aufgeführt, das Citizen Lab mit seinem Bericht vom Januar 2018 veröffentlichte. Beide Domänen wurden mit der QQ-E-Mail 6060841@qq[.]com registriert. Wir haben festgestellt, dass diese E-Mail-Adresse als Kontakt für eine Stellenanzeige auf der chinesischen Jobbörse www.52pojie[.]cn aufgeführt war. für einen „Informationssicherheitsingenieur“ für „Nanjing Qinglan Information Technology Co., Ltd.“ Der zugehörige Name für das QQ-Konto wurde als „Mr. „Liang.“

Laut einem offiziellen Dokument auf der Website der Provinzregierung von Nanjing ist Nanjing Qinglan Information Technology Co., Ltd. ein in Nanjing ansässiges Unternehmen, das „... Sicherheitsbewertungen, Sicherheitsverstärkung, Penetrationstests, Sicherheitsberatung, Angriffs- und Verteidigungsübungen sowie Sicherheitstraining“ anbietet. Das Unternehmen verfügt über eine anständige Webpräsenz (hXXp://www.cimer.com[.]cn). Dies deutet darauf hin, dass es sich um eine etablierte Einheit handelt. Interessant ist jedoch die Verbindung zwischen zwei bösartigen Domänen, die bei den Angriffen auf die tibetische Gemeinschaft verwendet wurden, und einem IT-Sicherheitsunternehmen, das offensive „Übungen“ durchführt.

Job advertisement on hXXps://www.52pojie[.]cn/thread-93849-1-1.html noting 6060841@qq[.]com (Click image to view larger).

Ausblick

Unsere Recherchen deckten zwei neue Kampagnen einer chinesischen APT gegen die tibetische Gemeinschaft in den Jahren 2017 und 2018 auf.

Wir verfügen derzeit nicht über genügend Beweise, um kategorisch zu beweisen, dass die RedAlpha-Kampagnen von einem neuen Bedrohungsakteur durchgeführt wurden. Abgesehen von den hervorragenden Berichten des Citizen Lab gibt es nur wenig öffentliches Material, das die in unserer Untersuchung beschriebenen Schadsoftware und TTPs mit einem bestehenden Bedrohungsakteur in Verbindung bringt. Wir haben einige vorläufige Verbindungen von Infrastrukturregistrierungen zu bestehenden chinesischen APTs aufgezeigt, für eine sichere Zuordnung sind jedoch weitere Einzelheiten zu den Personen und Organisationen erforderlich, die hinter den bösartigen Aktivitäten stehen.

The use of previously undisclosed custom malware in the hktechy campaign alongside the demonstrable evolution of their tradecraft in the internetdocss campaign indicate that the threat actor has a skillful capability development program for malware and tooling — something that is likely to be sponsored by a well-resourced nation state. We also observed the group tactically exploiting new vulnerabilities (CVE-2017-0199) during a time window in which the Chinese national vulnerability database (CNNVD) deliberately chose to delay its disclosure of the vulnerability to the public. In the past year, we have reported extensively on the influence of the Chinese Ministry of State Security (MSS) on the CNNVD which points to the withholding of high-risk vulnerabilities from public disclosure being done to possibly enable offensive cyberespionage operations.

Die Aufdeckung des möglichen OPSEC-Versagens der Täter hinter den RedAlpha-Kampagnen, bei denen sie eine Domain mit der Abkürzung der „Volksbefreiungsarmee“ registrierten, war eine faszinierende Entwicklung. Dies sowie die Infrastrukturüberschneidung mit den chinesischen APT-Gruppen Icefog, NetTraveler, DeputyDog und denen hinter der MILE TEA-Kampagne, sowie die Verbindungen zum Nanjing Qinglan Information Technology-Unternehmen deuten auf einen chinesischen Ursprung der Bedrohungsakteure hinter der RedAlpha-Aktivität hin. Ein weiterer Beleg dafür ist der wahrscheinliche Einsatz von FF-RAT, das Berichten zufolge fast ausschließlich von hochentwickelten chinesischen Bedrohungsakteuren eingesetzt wird.

Die selektiven Angriffe auf Organisationen sollten für alle Regierungen und zivilgesellschaftlichen Gruppen in der Region Anlass zur Sorge sein. Wir stellten fest, dass die Aktivitäten der Gruppe nicht die ersten gezielten Angriffe gegen die „Fünf Gifte“ waren und zweifellos auch nicht die letzten sein werden, insbesondere im Hinblick auf Bürgerinitiativen, Nichtregierungsorganisationen und Wohltätigkeitsorganisationen. Da viele dieser Organisationen nicht ausreichend in die Netzwerkverteidigung investieren, verringert sich zwangsläufig ihre Fähigkeit, sich gegen Angriffe von gut ausgestatteten und motivierten Bedrohungsakteuren zu verteidigen.

Die umfassende Überwachung und Zensur der tibetischen Gemeinschaft und der anderen „Fünf Gifte“ ist für den chinesischen Staat weiterhin von entscheidender Bedeutung. Jede wahrgenommene Bedrohung der anhaltenden Herrschaft der Kommunistischen Partei Chinas (KPCh) wird als Angelegenheit der nationalen Sicherheit behandelt. Daher ist es nicht überraschend, dass Cyber-Spionage-Operationen aufgedeckt werden, die auf solche zivilen Organisationen abzielen. Darüber hinaus deuten die damit verbundenen Angriffe auf die Regierungen benachbarter Länder im Süden und Südosten darauf hin, dass der Bedrohungsakteur an einer Ausweitung der CPC-Anforderungen arbeiten könnte, die sich je nach geopolitischen Ereignissen weiterentwickeln könnten. Die Verwendung bislang unbekannter Schadsoftware und Infrastruktur durch diesen Bedrohungsakteur sowie die spärliche öffentliche und private Berichterstattung über die in unserer Untersuchung beschriebenen TTPs lassen uns annehmen, dass wir einen kaum bekannten Bedrohungsakteur aufgedeckt haben, der wahrscheinlich dem chinesischen Staat zuzuschreiben ist.

Laden Sie den Anhang herunter, um eine vollständige Liste der zugehörigen Kompromittierungsindikatoren anzuzeigen.