>
Research (Insikt)

RedHotel: Eine produktive, vom chinesischen Staat geförderte Gruppe mit globalem Geschäftsmodell

Veröffentlicht: 8. August 2023
Von: Insikt Group

insikt-group-logo-aktualisiert-3-300x48.png

Eine neue Studie der Insikt Group untersucht RedHotel, eine vom chinesischen Staat gesponserte Bedrohungsgruppe, die sich durch ihre Hartnäckigkeit, operative Intensität und globale Reichweite auszeichnet. Von 2021 bis 2023 war die Gruppe RedHotel in 17 Ländern in Asien, Europa und Nordamerika tätig. Ihre Ziele umfassen die Bereiche Wissenschaft, Luft- und Raumfahrt, Regierung, Medien, Telekommunikation und Forschung. RedHotel konzentriert sich insbesondere auf südostasiatische Regierungen und private Unternehmen in bestimmten Sektoren. Die Infrastruktur von RedHotel für die Steuerung, Aufklärung und Ausnutzung von Malware verweist auf die Verwaltung in Chengdu, China. Ihre Methoden entsprechen denen anderer Auftragnehmergruppen, die mit dem chinesischen Ministerium für Staatssicherheit (MSS) in Verbindung stehen, was auf eine Verknüpfung von Cyber-Talenten und Aktivitäten in Chengdu hindeutet.

Schematische Darstellung des mehrstufigen C2-Infrastrukturnetzwerks von RedHotel Schematische Darstellung des mehrstufigen C2-Infrastrukturnetzwerks von RedHotel

Seit mindestens 2019 steht RedHotel beispielhaft für den unerbittlichen Umfang und das Ausmaß umfassenderer staatlich geförderter Cyberspionageaktivitäten in der VR China, indem es ein hohes Betriebstempo beibehielt und Organisationen des öffentlichen und privaten Sektors weltweit ins Visier nahm. Die Gruppe hat eine zweifache Aufgabe: Nachrichtenbeschaffung und Wirtschaftsspionage. Sie nimmt sowohl Regierungsstellen für traditionelle Geheimdienste als auch Organisationen ins Visier, die an der COVID-19-Forschung sowie der technologischen Forschung und Entwicklung beteiligt sind. Bemerkenswert ist, dass sie im Jahr 2022 eine Legislative eines US-Bundesstaates kompromittierte, was ihre erweiterte Reichweite unterstreicht. Bei der Mehrheit der beobachteten Opferorganisationen handelte es sich um Regierungsorganisationen, darunter die Büros von Ministerpräsidenten, Finanzministerien, gesetzgebende Körperschaften und Innenministerien, was mit dem wahrscheinlichen Spionageauftrag der Gruppe übereinstimmt. Bei einigen Gelegenheiten, wie zum Beispiel bei den Angriffen der Gruppe auf das Industrial Technology Research Institute (ITRI) in Taiwan, über die im Juli 2021 berichtet wurde, oder bei COVID-19-Forschungen, war die wahrscheinliche Motivation jedoch Industrie- und Wirtschaftsspionage. Die Tatsache, dass die Gruppe in der Vergangenheit die Online-Glücksspielindustrie, die den chinesischen Markt bedient, ins Visier genommen hat, ist auch bezeichnend für breitere Trends bei in China ansässigen Cyberspionage-Akteuren, die von der Insikt Group beobachtet wurden, und dient wahrscheinlich zum Teil dazu, Informationen zu sammeln, um ein breiteres Vorgehen der chinesischen Regierung gegen Online-Glücksspiele zu unterstützen.

Tech-Stack von RedHotel

RedHotel verwendet eine mehrstufige Infrastruktur mit einem ausgeprägten Schwerpunkt auf Aufklärung und langfristigen Netzwerkzugriff über Command-and-Control-Server. Die mehrstufige Infrastruktur der Gruppe besteht aus einer großen Anzahl bereitgestellter virtueller privater Server (VPS), die so konfiguriert sind, dass sie als Reverse-Proxys für C2-Verkehr fungieren, der mit den verschiedenen von der Gruppe verwendeten Malware-Familien in Zusammenhang steht. Diese Reverse-Proxy-Server sind in der Regel so konfiguriert, dass sie an standardmäßigen HTTP(s)-Ports (z. B. TCP 80, 443, 8080 und 8443) lauschen und den Datenverkehr an vorgelagerte, von Akteuren kontrollierte Server umleiten. Diese Upstream-Server werden dann wahrscheinlich direkt von dem Bedrohungsakteur verwaltet, der die Open-Source-Software SoftEther für virtuelle private Netzwerke (VPN) verwendet.

Die Gruppe nutzt häufig eine Mischung aus offensiven Sicherheitstools, gemeinsam genutzten Fähigkeiten und maßgeschneiderten Tools, darunter Cobalt Strike, Brute Ratel C4, Winnti, ShadowPad und die Hintertüren FunnySwitch und Spyder. In den Jahren 2022 und 2023 verfolgte die Insikt Group über 100 von RedHotel verwendete C2-IP-Adressen und bevorzugte dabei bestimmte Hosting-Anbieter, darunter AS-CHOOPA (Vultr), G-Core Labs SA und Kaopu Cloud HK Limited. Die Präferenz von Bedrohungsakteuren für bestimmte Hosting-Anbieter wird wahrscheinlich von Faktoren wie Kosten, Zuverlässigkeit, einfache Einrichtung, Standorte von Rechenzentren, wahrgenommener Grad der Zusammenarbeit mit Regierungen und Organisationen des privaten Sektors sowie die Geschwindigkeit und Bereitschaft, mit der Hosting-Anbieter auf die böswillige Nutzung ihrer Dienste reagieren, beeinflusst.

Die Insikt Group von Recorded Future beobachtet verschiedene vom chinesischen Staat geförderte Cyberbedrohungen, wobei RedHotel durch sein breites Spektrum und seine Intensität der Aktivitäten hervorsticht. Zu den Kampagnen von RedHotel gehören Innovationen wie die Ausnutzung eines gestohlenen Code-Signatur-Zertifikats und die Inbesitznahme der Infrastruktur der vietnamesischen Regierung. Obwohl RedHotel in der Öffentlichkeit steht, deutet der mutige Ansatz darauf hin, dass die Gruppe an ihren Aktivitäten festhalten wird.

Verteidigungsstrategien

Unternehmen können sich gegen RedHotel-Aktivitäten schützen, indem sie der Härtung und dem Patchen von Schwachstellen bei Geräten mit Internetzugang (insbesondere VPN, Mailserver und Netzwerkgeräte des Unternehmens) Vorrang einräumen, diese Geräte protokollieren und überwachen und eine Netzwerksegmentierung implementieren, um die Gefährdung und das Potenzial für Seitwärtsbewegungen in interne Netzwerke zu begrenzen.

Hinweis: Diese Berichtszusammenfassung wurde erstmals am 8. August 2023 veröffentlicht und am 29. Oktober 2024 aktualisiert. Die ursprüngliche Analyse und die Ergebnisse bleiben unverändert.

Um die gesamte Analyse mit Endnoten zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Anhang A – Indikatoren für eine Gefährdung

Domänen:
dga[.]asien
kb.dga[.]asien
video.dga[.]asia
sc.dga[.]asia
dgti.dga[.]asia
nhqdc[.]com
msdn.microsoft.nhqdc[.]com
icoreemail[.]com
demo.icoreemail[.]com
officesuport[.]com
kiwi.officesuport[.]com
cdn.officesuport[.]com
test.officesuport[.]com
mail.officesuport[.]com
ntpc.officesuport[.]com
main.officesuport[.]com
excel.officesuport[.]com
remote.officesuport[.]com
ismtrsn[.]club
lrm.ismtrsn[.]club
tgoomh.ismtrsn[.]club
news.ismtrsn[.]club
icarln.ismtrsn[.]club
liveonlin[.]com
npgsql.liveonlin[.]com
public.liveonlin[.]com
tech.liveonlin[.]com
main.liveonlin[.]com
cctv.liveonlin[.]com
alexa-api[.]com
www.alexa-api[.]com
ngndc[.]com
air.ngndc[.]com
spa.ngndc[.]com
mkn.ngndc[.]com
ekaldhfl[.]club
ts.ekaldhfl[.]club
ist.ekaldhfl[.]club
downloads.ekaldhfl[.]club
pps.ekaldhfl[.]club
plt.ekaldhfl[.]club
tlt.ekaldhfl[.]club
thy.ekaldhfl[.]club
us.ekaldhfl[.]club
asien-cdn[.]asien
report.asia-cdn[.]asia
freehighways[.]com
map.freehighways[.]com
iredemail[.]com
index.iredemail[.]com
demo.iredemail[.]com
öffnen.iredemail[.]com
api.iredemail[.]com
full.iredemail[.]com
bbs.iredemail[.]com
0nenote[.]com
keep.0nenote[.]com
asien-cdn[.]asien
api.asia-cdn[.]asia
speedtest.asia-cdn[.]asia
cyberoams[.]com
checkip.cyberoams[.]com
ekaldhfl[.]club
pps.ekaldhfl[.]club
usa.ekaldhfl[.]club
mtlklabs[.]co
conhostsadas[.]website
itcom666[.]live
qbxlwr4nkq[.]itcom666[.]live
8kmobvy5o[.]itcom666[.]live
itcom888[.]live
bwlgrafana[.]itcom888[.]live
itsm-uat-app[.]itcom888[.]live
dkxvb0mf[.]itcom888[.]live
nvw3tdetwx[.]itcom888[.]live
0j10u9wi[.]itcom888[.]live
yt-sslvpn[.]itcom888[.]live
vappvcsa[.]itcom888[.]live
94ceaugp[.]itcom888[.]live
sibersystems[.]xyz
fyalluw0[.]sibersystems[.]xyz
sijqlfnbes.sibersystems[.]xyz
jmz8xhxen3.sibersystems[.]xyz
2h3cvvhgtf.sibersystems[.]xyz
3tgdtyfpt9.sibersystems[.]xyz
n71qtqemam.sibersystems[.]xyz
711zm77cwq.sibersystems[.]xyz
R77wu4s847.sibersystems[.]xyz
caamanitoba[.]us
jw7uvtodx4.caamanitoba[.]us
xdryqrbe.caamanitoba[.]us
b1k10pk9.caamanitoba[.]us
6hi6m62bzp.caamanitoba[.]us
livehost[.]live
sci.livehost[.]live

C2-IP-Adressen (gesehen von Mai bis Juni 2023)
1.13.82[.]101
5.188.33[.]188
5.188.33[.]254
5.188.34[.]164
5.188.34[.]173
38.54.16[.]131
38.54.16[.]179
38.60.199[.]87
38.60.199[.]208
45.76.186[.]26
45.77.153[.]197
61.238.103[.]165
64.227.132[.]226
92.38.169[.]222
92.38.176[.]128
92.38.178[.]40
92.38.178[.]60
92.223.90[.]133
95.85.91[.]50
103.140.239[.]41
103.157.142[.]95
108.61.158[.]179
139.180.193[.]182
140.82.7[.]72
141.164.63[.]244
154.212.129[.]132
156.236.114[.]202

TLS-Zertifikat (SHA256-Fingerabdrücke):
f8cd64625f8964239dad1b2ce7372d7a293196455db7c6b5467f7770fd664a61
294fb8f21034475198c3320d01513cc9917629c6fd090af76ea0ff8911e0caa3
9c8e5f6e5e843767f0969770478e3ad449f8a412dad246a17ea69694233884b9
29ed44228ed4a9883194f7e910b2aac8e433ba3edd89596353995ba9b9107093
b02aed9a615b6dff2d48b1dd5d15d898d537033b2f6a5e9737d27b0e0817b30e

Kobalt Strike Loader
5cba27d29c89caf0c8a8d28b42a8f977f86c92c803d1e2c7386d60c0d8641285
48e81b1c5cc0005cc58b99cefe1b6087c841e952bb06db5a5a6441e92e40bed6
25da610be6acecfd71bbe3a4e88c09f31ad07bdd252eb30feeef9debd9667c51
233bb85dbeba69231533408501697695a66b7790e751925231d64bddf80bbf91
aeceaa7a806468766923a00e8c4eb48349f10d069464b53674eeb150e0a59123

Brute Ratel Loader
6e3c3045bb9d0db4817ad0441ee3c95b8fe3e087388d1ceefb9ebbd2608aef16

c00991cfeafc055447d7553a14be2303e105b6a97ab35ecf820b9dbd42826f9d

Winnti
5861584bb7fa46373c1b1f83b1e066a3d82e9c10ce87539ee1633ef0f567e743
69ff2f88c1f9007b80d591e9655cc61eaa4709ccd8b3aa6ec15e3aa46b9098bd
2f1321c6cf0bc3cf955e86692bfc4ba836f5580c8b1469ce35aa250c97f0076e
f1dcf623a8f8f4b26fe54fb17c8597d6cc3f7066789daf47a5f1179bd7f7001a

Spyder
7a61708f391a667c8bb91fcfd7392a328986059563d972960f8237a69e375d50
5d3a6f5bd0a72ee653c6bdad68275df730b836d6f9325ee57ec7d32997d5dcef
1ded9878f8680e1d91354cbb5ad8a6960efd6ddca2da157eb4c1ef0f0430fd5f
e053ca5888fb0d5099efed76e68a1af0020aaaa34ca610e7a1ac0ae9ffe36f6e
24d4089f74672bc00c897a74664287fe14d63a9b78a8fe2bdbbf9b870b40d85c

Lustiger Schalter
7056e9b69cc2fbc79ba7a492906bcc84dabc6ea95383dff3844dfde5278d9c7a
ede0c1f0d6c3d982f63abbdd5f10648948a44e5fa0d948a89244a06abaf2ecfe
9eb0124d822d6b0fab6572b2a4445546e8029ad6bd490725015d49755b5845a4


Anhang B – Mitre ATT&CK-Techniken

Taktik: Technik ATT&CK-Code Beobachtbar
Aufklärung: Aktives Scannen: Schwachstellenscannen T1595.002 RedHotel hat Schwachstellen-Scan-Tools wie Acunetix verwendet, um nach außen gerichtete Geräte auf Schwachstellen zu scannen.
Ressourcenentwicklung: Infrastruktur erwerben: Domänen T1583.001 RedHotel hat Domains gekauft, hauptsächlich über Namecheap.
Ressourcenentwicklung: Infrastruktur erwerben: Virtueller privater Server T1583.003 RedHotel hat akteurgesteuerte VPS bereitgestellt, mit einer Präferenz für die Anbieter Choopa (Vultr), G-Core und Kaopu Cloud HK Limited.
Ressourcenentwicklung: Kompromissinfrastruktur: Server T1584.004 RedHotel hat außerdem kompromittierte GlassFish-Server als Cobalt Strike C2s und zum Scannen von Zielnetzwerken verwendet.
Erster Zugriff: Öffentliche Anwendung ausnutzen T1190 RedHotel hat für den Erstzugriff öffentlich zugängliche Anwendungen ausgenutzt, darunter Zimbra Collaboration Suite (CVE-2022-24682, CVE-2022-27924, CVE-2022-27925 verkettet mit CVE-2022-37042 und CVE-2022-30333), Microsoft Exchange (ProxyShell) und die Log4Shell- Schwachstelle in Apache Log4J.
Erster Zugriff: Spearphishing: Spearphishing-Anhang T1566.001 RedHotel hat Archiv-Spearphishing-Anhänge verwendet, die Verknüpfungsdateien (LNK) enthalten, die remote gehostete Skripte (HTA, VBScript) abrufen. Diese Skripte werden dann verwendet, um Infektionsketten auszulösen, die die Suchreihenfolge von DLLs kapern, und um den Benutzern Lockvogeldokumente anzuzeigen.
Persistenz: Server-Softwarekomponente: Web Shell T1505.003 RedHotel nutzte Webshells in den Umgebungen der Opfer und interagierte mit kompromittierten GlassFish-Servern
Persistenz:: Geplante Aufgabe/Job: Geplante Aufgabe T1053.005 RedHotel hat geplante Aufgaben zur Persistenz der Spyder-Hintertür der Gruppe verwendet:

C:\Windows\System32\schtasks.exe /RUN /TN PrintWorkflow_10e3b

Persistenz: Booten oder Anmelden Autostart Ausführung: Registry Run Keys / Autostart-Ordner T1547.001 Der ScatterBee ShadowPad-Loader bleibt über den Registrierungsschlüssel „Run“ bestehen und speichert auch die verschlüsselte ShadowPad-Nutzlast in der Registrierung.
Umgehung der Verteidigung: Verschleierung von Dateien oder Informationen T1027 RedHotel hat das Tool ScatterBee verwendet, um ShadowPad-Nutzdaten zu verschleiern. Die Gruppe hat außerdem wiederholt verschlüsselte oder kodierte Nutzdaten in Dateien mit dem Namen bin.config gespeichert.
Umgehung der Verteidigung: Dateien oder Informationen entschlüsseln/dekodieren T1140
Umgehung der Verteidigung: Untergraben von Vertrauenskontrollen: Code-Signierung T1553.002 RedHotel hat bösartige Binärdateien mit gestohlenen Codesignaturzertifikaten (wie etwa dem referenzierten WANIN International-Zertifikat) signiert.
Umgehung der Verteidigung: Hijack-Ausführungsfluss: Hijacking der DLL-Suchreihenfolge T1574.001 RedHotel hat mehrere legitime ausführbare Dateien für die Entführung der DLL-Suchreihenfolge missbraucht, darunter vfhost.exe. mcods.exe, und BDReinit.exe.
Umgehung der Verteidigung: Maskierung: Übereinstimmung mit legitimem Namen oder Standort T1036.005 RedHotel hat legitime Dateinamen in Verbindung mit der Entführung der DLL-Suchreihenfolge verwendet, um schädliche DLLs zu laden.
Befehl und Kontrolle: Proxy: Externer Proxy T1090.002 RedHotel hat VPS C2s verwendet, um den Datenverkehr stromaufwärts an von Akteuren kontrollierte Server weiterzuleiten.
Befehl und Steuerung: Anwendungsschichtprotokoll: Webprotokolle T1071.001 Die in diesem Bericht referenzierten RedHotel Brute Ratel- und Cobalt Strike-Beispiele kommunizieren über HTTPS.
Exfiltration: Exfiltration über C2-Kanal T1041 RedHotel hat Daten über Malware-C2-Kanäle exfiltriert.

Verwandt