>
Research (Insikt)

Das vom chinesischen Staat gesponserte Unternehmen RedJuliett intensiviert taiwanesische Cyber-Spionage durch Ausnutzung des Netzwerkperimeters

Veröffentlicht: 24. Juni 2024
Von: Insikt Group®

insikt-group-logo-aktualisiert-3-300x48.png

Von November 2023 bis April 2024 identifizierte die Insikt Group Cyberspionageaktivitäten der vermutlich vom chinesischen Staat gesponserten Gruppe RedJuliett, die sich in erster Linie gegen staatliche, akademische, technologische und diplomatische Organisationen in Taiwan richtete. RedJuliett nutzte bekannte Schwachstellen in Netzwerk-Edge-Geräten wie Firewalls, virtuellen privaten Netzwerken (VPNs) und Load Balancern für den Erstzugriff aus. Die Gruppe operiert wahrscheinlich von Fuzhou in China aus, was mit ihren anhaltenden Angriffen auf Taiwan einhergeht. Die Aktivitäten von RedJuliett zielen wahrscheinlich darauf ab, Pekings Informationsbeschaffung über Taiwans wirtschaftliche und diplomatische Beziehungen sowie die Entwicklung wichtiger Technologien zu unterstützen.

RedJuliett infografik-02.jpg

Das vom chinesischen Staat gesponserte RedJuliett intensiviert die Cyber-Spionage gegen die taiwanesische Regierung sowie den akademischen und Technologiesektor

Der Fokus von RedJuliett auf taiwanesische Unternehmen steht im Einklang mit den früheren Aktivitäten der Gruppe. Die Insikt Group hat außerdem beobachtet, dass RedJuliett seine Aktivitäten auf kompromittierende Organisationen in Hongkong, Malaysia, Laos, Südkorea, den USA, Dschibuti, Kenia und Ruanda ausweitete.

RedJuliett zielte nicht nur auf Schwachstellen in internetfähigen Geräten ab, sondern nutzte auch SQL-Injection (Structured Query Language) und Directory-Traversal-Exploits für Web- und SQL-Anwendungen. Um diesen Bedrohungen entgegenzuwirken, sollten Unternehmen routinemäßige Patches durch tiefgreifende Verteidigungsstrategien ergänzen, die sich auf die Erkennung von Persistenz, Entdeckung und lateralen Bewegungsaktivitäten nach einem Angriff konzentrieren. Unternehmen sollten außerdem regelmäßig internetfähige Geräte prüfen und deren Angriffsfläche möglichst reduzieren. Es gibt große Überschneidungen zwischen RedJuliett und der öffentlichen Berichterstattung unter den Pseudonymen Flax Typhoon und Ethereal Panda.

RedJuliett infografik-01 (1).jpg

Wichtige Erkenntnisse

  • Opferorganisationen: RedJuliett hat 24 Organisationen kompromittiert, darunter Regierungsorganisationen in Taiwan, Laos, Kenia und Ruanda. Darüber hinaus führte die Gruppe Netzwerkauskundschaften bzw. Angriffsversuche gegen über 70 akademische, staatliche, Think-Tank- und Technologieorganisationen in Taiwan sowie gegen mehrere De-facto-Botschaften auf der Insel durch.
  • Ausnutzungstechniken: RedJuliett hat in den Netzwerken der Opfer eine SoftEther VPN-Brücke oder einen SoftEther VPN-Client erstellt. Darüber hinaus führte die Gruppe Aufklärungsaktivitäten durch und versuchte, den Computer mithilfe des Acunetix Web Application Security Scanner auszunutzen. RedJuliett versuchte außerdem, SQL-Injection- und Directory-Traversal-Angriffe gegen Web- und SQL-Anwendungen durchzuführen. Nach dem Angriff nutzte die Gruppe Open-Source-Web-Shells und nutzte eine Schwachstelle zur Rechteausweitung im Linux-Betriebssystem aus.
  • Infrastruktur: RedJuliett verwaltet die Betriebsinfrastruktur mithilfe von SoftEther VPN und nutzt dabei sowohl von Bedrohungsakteuren kontrollierte geleaste Server als auch die kompromittierte Infrastruktur taiwanesischer Universitäten.
  • Auswirkungen für Taiwan: Die Aktivitäten von RedJuliett stimmen mit den Zielen Pekings überein, Informationen über Taiwans Wirtschaftspolitik, Handel und diplomatische Beziehungen zu sammeln. Darüber hinaus zielte die Gruppe auf mehrere wichtige Technologieunternehmen ab, was die strategische Bedeutung dieses Sektors für vom chinesischen Staat gesponserte Bedrohungsakteure unterstreicht.

Empfehlungen für Organisationen

Organisationen, die wahrscheinlich von RedJuliett ins Visier genommen werden, sollten die folgenden Maßnahmen ergreifen:

  1. Netzwerksegmentierung: Üben Sie die Netzwerksegmentierung, indem Sie internetbasierte Dienste in einer entmilitarisierten Zone (DMZ) isolieren.
  2. Sicherheitsüberwachung: Stellen Sie Sicherheitsüberwachungs- und Erkennungsfunktionen für alle nach außen gerichteten Dienste und Geräte sicher. Achten Sie auf Folgeaktivitäten wie die Verwendung von Webshells, Backdoors oder Reverseshells sowie laterale Bewegungen innerhalb interner Netzwerke.
  3. Öffentliche Leitlinien überprüfen: Überprüfen Sie die öffentlichen Leitlinien zur Eindämmung gängiger TTPs, die von chinesischen staatlich geförderten Gruppen verwendet werden, und den Bericht der Insikt Group zu Trends und Empfehlungen zur Eindämmung chinesischer APT-Aktivitäten im weiteren Sinne.
  4. Risikobasiertes Patchen: Stellen Sie einen risikobasierten Ansatz zum Patchen von Schwachstellen sicher und priorisieren Sie dabei Schwachstellen mit hohem Risiko und solche, die in der freien Wildbahn ausgenutzt werden, wie von Recorded Future Vulnerability Intelligence identifiziert.
  5. RCE-Schwachstellen priorisieren: Konzentrieren Sie sich auf die Behebung von Remote Code Execution (RCE)-Schwachstellen in gängigen VPN-, Mailserver-, Firewall- und Lastausgleichsgeräten, insbesondere in den Geräten F5 BIG-IP, Fortinet FortiGate und ZyXEL ZyWALL.
  6. Analyse bösartigen Datenverkehrs: Überwachen Sie die Analyse bösartigen Datenverkehrs (MTA), um Infrastrukturen, die mit bekannten RedJuliett Command-and-Control-IP-Adressen (C2) kommunizieren, proaktiv zu erkennen und entsprechende Warnungen auszugeben.
  7. Lieferketten überwachen: Verwenden Sie Recorded Future Third-Party Intelligence, um die Ausgabe in Echtzeit zu überwachen und mutmaßliche Eindringaktivitäten wichtiger Anbieter und Partner zu identifizieren.
  8. Threat Intelligence-Erweiterung: Installieren Sie die Recorded Future Threat Intelligence-Browsererweiterung für den sofortigen Zugriff auf Bedrohungsinformationen von jeder webbasierten Ressource. Dies ermöglicht eine schnellere Alarmverarbeitung im Rahmen des Sicherheitsinformations- und Ereignismanagements (SIEM) und priorisiert Schwachstellen für das Patchen.

Die Insikt Group geht davon aus, dass RedJuliett und andere vom chinesischen Staat gesponserte Bedrohungsakteure bei der Informationsbeschaffung auch weiterhin Taiwan ins Visier nehmen werden, wobei der Schwerpunkt auf Universitäten, Regierungsorganisationen, Think Tanks und Technologieunternehmen liegen wird. Es wird erwartet, dass staatlich geförderte chinesische Gruppen ihre Aufklärung und Ausnutzung öffentlich zugänglicher Geräte fortsetzen werden. Diese Taktik hat sich als effektiv erwiesen, da sie ihre Operationen ausweiten und sich so zunächst Zugang zu einer breiten Palette globaler Ziele verschaffen konnten.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Anhang A – Indikatoren für eine Gefährdung

Aktive RedJuliett-Server ab 21. Mai 2024:
38.147.190[.]192 (seit 07.04.2024)
61.238.103[.]155 (seit 23.02.2024)
122.10.89[.]230 (seit 24.01.2024)
137.220.36[.]87 (seit 09.05.2024)
140.120.98[.]115 (seit 14.11.2023)
154.197.98[.]3 (seit 14.11.2023)
154.197.99[.]202 (seit 16.12.2023)
176.119.150[.]92 (seit 2024-04-01)

Bekannte RedJuliett SoftEther TLS-Zertifikate (SHA-1-Fingerabdruck)
7992c0a816246b287d991c4ecf68f2d32e4bca18
5437d0195c31bf7cedc9d90b8cb0074272bc55df
} cc1f0cdc131dfafd43f60ff0e6a6089cd03e92f1
2c95b971aa47dc4d94a3c52db74a3de11d9ba658
0cc0ba859981e0c8142a4877f3af99d98dc0b707
9f01fc7cad8cdd8d934e2d2f033d7199a5e96e4a

Domänen:
cktime.ooguy[.]com
www.softeter[.]ml
www.dns361[.]tk



Anhang B – Mitre ATT&CK-Techniken

Taktik: Technik ATT&CK-Code
Ressourcenentwicklung: Infrastruktur erwerben: Virtueller privater Server T1583.003
Ressourcenentwicklung: Kompromissinfrastruktur: Server T1584
Aufklärung: Aktives Scannen: Schwachstellenscannen T1595.002
Erster Zugriff: Öffentliche Anwendung ausnutzen T1190
Persistenz: Externe Remotedienste T1133
Persistenz: Server-Softwarekomponente: Web Shell T1505.003
Rechteausweitung: Ausnutzung zur Rechteausweitung T1068

Verwandt