>
Insiktレポート

中国の国家支援活動グループTAG-22がWinntiなどのツールを使ってネパール、フィリピン、台湾を標的に

投稿: 2021年7月8日
作成者 : Insikt Group

insikt-logo-blog.png

Recorded Futureは、ネパール、フィリピン、台湾、そして歴史的には香港の通信、学界、研究開発、政府機関を標的とするThreat Activity Group 22(TAG-22)として追跡している、中国の国家支援グループが疑われるグループを特定しました。 この最新の活動では、グループは初期アクセス操作で侵害されたGlassFishサーバーとCobalt Strikeを使用した後、特注のWinnti、ShadowPad、Spyderバックドアに切り替えて、アクターがプロビジョニングした専用のコマンド&コントロールインフラストラクチャを使用して長期アクセスを行った可能性があります。

背景

2020年9月、Recorded Futureのクライアントは、共有カスタムバックドアWinntiとShadowPadのユーザーに関連する活動に関するレポートを受け取りました。 この活動は、香港の大学と空港を対象としていました。 これらの侵入で使用されたインフラストラクチャとマルウェアは、Winnti Groupの活動に関する ESET および NTTグループ による以前のレポートと直接重複しています。 また、 Avastが最近報告した活動と重複するインフラストラクチャとマルウェアが多数あり、モンゴルの主要な認証機関(CA)であるMonPassの公式WebサイトでCobalt Strikeでバックドアされたインストーラーが説明されています。 ShadowPadとWinntiのバックドアはどちらも、複数の中国の活動グループで共有されています。 特にWinntiは、歴史的にAPT41/BariumとAPT17の両方で使用されており、一般的には、中国国家安全部(MSS)に代わって活動する緩やかなつながりを持つ民間請負業者の複数のグループに関連する活動に関連しています。この場合、Insikt Groupは、本レポートと前回のレポートで説明したアクティビティのクラスタをThreat Activity Group 22(TAG-22)という仮名で追跡していますが、FireEyeとMicrosoftがそれぞれAPT41とBariumとしてクラスタ化したアクティビティと歴史的に重複していることに注目しています。

被害者学と侵害されたGlassFishインフラストラクチャの利用

Insikt Groupは、ShadowPad、Winnti、Spyder BackdoorのパッシブDNSデータと敵対者C2検出技術を組み合わせて、TAG-22に関連する既知のインフラストラクチャとドメインを追跡しています。 2021 年 6 月、Recorded Future Network Traffic Analysis(NTA)データを使用して、台湾、ネパール、フィリピンの次の組織を標的とした TAG-22 侵入を特定しました。

  • 台湾の工業技術研究院(ITRI)
  • ネパールテレコム
  • 情報通信技術省(フィリピン)

特に、ITRIのターゲットは、複数の台湾のテクノロジー企業を設立およびインキュベートした技術研究開発機関としての役割により注目に値します。 ITRI のウェブサイトによると、同組織は特にスマートリビング、質の高い健康、持続可能な環境、技術に関連する研究開発プロジェクトに注力しており、その多くは中国の第14次5カ年計画の開発優先事項にマッピングされており、以前にInsikt Groupが将来の中国の経済スパイ活動の可能性が高い分野として強調していた。 近年、中国のグループは、ソースコード、ソフトウェア開発キット、およびチップ設計を取得するために、台湾の半導体業界の複数の組織 を標的 にしています。

これら 4 つの組織が TAG-22 侵入活動の意図された最終標的であった可能性が高いと考えていますが、TAG-22 C2 インフラストラクチャと通信している侵害された可能性のある GlassFish サーバーもいくつか特定しました。 これは、GlassFish Serverソフトウェアバージョン3.1.2を悪用しているグループを特定した最近のNTT の報告と一致しています 以下、侵害されたインフラストラクチャを使用して侵入活動、特にAcunetixスキャナーを使用したスキャン、およびCobalt Strike攻撃セキュリティツール(OST)の展開を行います。 NTTの研究者によると、このグループは侵入の初期段階でこのインフラストラクチャを使用してから、ShadowPad、Spyder、Winntiインプラントを制御するための専用インフラストラクチャに移行した可能性が高いとのことです。 TAG-22は、専用のインフラストラクチャとして、主にNamecheapおよびChoopa(Vultr)仮想プライベートサーバー(VPS)を介して登録されたドメインをホスティングに使用しました。

Nepal Telecom Tradecraftのケーススタディ

TAG-22 C2ドメインvt.livehost[.]Recorded Future Threat Intelligence Platformでライブ配信を行い、Recorded Future C2検出とパッシブDNSデータを組み合わせたShadowpadとSpyderのバックドアへのリンクを特定しました。

chinese-group-tag-22-targets-nepal-philippines-taiwan-1-1.png 図 1: vt.livehost[.]コム (出典:Recorded Future)

これにより、TAG-22 IPアドレス139.180.141[.]227, これは、グループがShadowpadとSpyderの両方のコマンドと制御に使用していることを検出しました。

chinese-group-tag-22-targets-nepal-philippines-taiwan-2-1.png 図 2: TAG-22 C2 139.180.141[.]227 (出典:Recorded Future)

chinese-group-tag-22-targets-nepal-philippines-taiwan-3-1.png 図 3: ネパールテレコムからTAG-22 C2インフラストラクチャへのサンプル流出イベント(出典:Recorded Future)

Network Traffic Analysis Eventsを使用して、関連する悪意のあるインフラストラクチャをさらに特定するだけでなく、TAG-22アクティビティの特定の被害者を特定することもできました。 上のスクリーンショットは、Nepal Telecom IPからShadowpadおよびSpyderバックドアC2 139.180.141[.]227, vt.livehost[.]脱出時に生きています。 被害者のIPアドレスはNepal Telecomに割り当てられていますが、通信会社の場合、これらのエンティティが所有するインフラストラクチャの大部分が顧客にリースまたは提供されているため、真の被害者組織を特定するには不十分であることがよくあります。 この場合、新しい独自のVPNおよび地理情報拡張機能を他のエンリッチメントと一緒に使用して、このアクティビティの被害者を特定しようとすることができます。

chinese-group-tag-22-targets-nepal-philippines-taiwan-4-1.png 図 4: ネパールテレコムIPのVPNおよび地理情報拡張202.70.66[.]146 (出典:Recorded Future)

このIPアドレスのVPNおよび地理情報拡張機能内のGoogleマップビューをクリックすると、場所を特定し、ネパールテレコムがこの活動の被害者である可能性が高いことを確認できます—その場所は直接カトマンズにあるネパールテレコムの本社を指しています。

chinese-group-tag-22-targets-nepal-philippines-taiwan-5-1.png 図 5: ネパールテレコムIPのVPNおよび地理情報拡張202.70.66[.]146 (出典:Recorded Future)

マルウェア分析

特定されたTAG-22の運用インフラストラクチャを分析することにより、グループがターゲット環境で最初の足場を築くために使用したと思われるいくつかのCobalt Strikeサンプルを特定しました。 また、このグループは、マルウェアの作者がいくつかのサンプルに存在するデバッグ文字列に基づいてFishmasterと呼んだと思われるカスタムのCobalt Strikeローダーも使用していました。

(C:\Users\test\Desktop\fishmaster\x64\Release\fishmaster.pdb)

文字列 "fish_master" は、他の文字列にも存在していました。

最初のアクセスでは、グループは通常、Fishmaster Portable Executable(PE)ファイルに二重の拡張子を使用して、Microsoft OfficeまたはPDFファイルのように見せかけました。

  • 2af96606c285542cb970d50d4740233d2cddf3e0fe165d1989afa29636ea11db - 広告協力 - DUKOU ICU.pdf.exe
  • C2df9f77b7c823543a0528a28de3ca7acb2b1d587789abfe40f799282c279f7d - 履歷-王宣韓.docx.exe

いずれの場合も、実行後、ユーザーには、台湾国民と思われる人物について以下に示す履歴書のようなおとり文書が表示されます。 また、悪意のあるマクロを使用して Fishmaster ローダーをドロップした例もあります。 サンプルのルアードキュメントはどちらも繁体字中国語で書かれており、履歴書には台湾の大学が取り上げられており、グループが台湾をより広くターゲットにしていることから、これらの特定のルアーのターゲットは台湾の組織である可能性が高いと考えています。

chinese-group-tag-22-targets-nepal-philippines-taiwan-6-1.png 図 6: TAG-22活動で使用したおとり文書

このキャンペーンでTAG-22が使用したCobalt Strikeビーコンペイロードの多くは、 Backoff可鍛性C2プロファイルを使用して設定されており、これには次の高レベルのネットワークトラフィック特性が含まれています。

ユーザーエージェント: "Mozilla/5.0 (Windows NT 6.1;rv:24.0) Gecko/20100101 Firefox/24.0インチ

HTTP POST URI (複数選択):

/windebug/updcheck.php

/エアカナダ/dark.php

/aero2/fly.php

/windowsxp/updcheck.php

/こんにちは/flash.php

HTTP GET URI です。

/最新情報

すべての構成には、Cobalt Strike のひびの入ったバージョンに関連付けられている透かし305419896が含まれています。

今後の展望

現時点では、Insikt Groupは、ESET by Winnti Groupとして定義された広範なグループと重複する独立したアクティビティクラスターとして、TAG-22アクティビティを追跡し続けています。 TAG-22は、ShadowPadやWinntiなど、中国の国家支援グループに固有の共有カスタムバックドアを使用する一方で、Cobalt StrikeやAcunetixなどのオープンソースまたは攻撃的なセキュリティツールも採用しています。 TAG-22が公に報告されたインフラストラクチャを継続的に使用していることは、その運用に関する広範な公開報告にもかかわらず、グループが高度な運用成功を経験していることを示しています。 インシクトグループは、主にアジア内で活動しているTAG-22を特定しています。 しかし、このキャンペーン以外にも、このグループは地理的にも業界的にも比較的広い範囲にターゲットを絞っています。 この広範な標的範囲は、Winntiバックドアの使用と相まって、 APT17や APT41など、いくつかの疑わしいMSS請負業者に典型的です。

侵害の兆候の完全なリストについては、 Insikt GroupのGithubリポジトリを参照してください。

関連