混乱にもかかわらず戻ってきた:RedDeltaは運航を再開します

Insikt Group®の研究者は、独自のRecorded Future Network Traffic AnalysisとRATコントローラーの検出を、一般的な分析手法とともに使用して、中国の国家が支援する脅威活動グループと疑われるRedDeltaの活動を追跡し続けました。

_Dataソースには、Recorded Future® Platform、Farsight SecurityのDNSDB、SecurityTrails、VirusTotal、Shodan、BinaryEdge、および一般的なOSINT手法が含まれます。 _

このレポートは、アジアに拠点を置く民間部門、公共部門、非政府組織のネットワーク擁護者だけでなく、中国の地政学に関心のある人々にとっても最も興味深いものとなるでしょう。

Executive Summary

前回のInsikt Groupの報告から2カ月間、RedDeltaは、バチカンや他のカトリック組織を標的にした広範な公開報道にほとんど動揺していない。 この報告の直後に、コマンド&コントロール(C2)ドメインの解決状況を変更することで基本的な運用上のセキュリティ対策を講じたにもかかわらず、グループの戦術、技術、手順(TTP)は一貫していました。 RedDeltaの粘り強さは、レポートの公開から2週間以内にバチカンと香港カトリック教区の両方のメールサーバーを標的にしていることで実証されています。 より広い範囲では、カトリック、チベットとラダックの関係、国連総会安全保障理事会をテーマにしたおとり文書を特徴とするPlugXサンプルの形で、このグループに起因する新しい活動や、ミャンマー政府のシステムと香港の2つの大学を標的とした追加のネットワーク侵入活動がありました。

主な判断

• RedDeltaは、中国の戦略的優先事項に沿って事業を継続しています。 これは、同グループがバチカンと香港のカトリック教区を標的にし続け、中国国内のカトリック教やチベット・ラダック関係など、中華人民共和国(中国)が懸念する時事的な地政学的問題を中心とした標的を絞ったおとり文書を、サイバースパイ活動と整合的な方法で使用していることにさらに例証されている。
• このグループが公に報告されたインフラストラクチャとTTPを再利用していることは、グループが運用上の成功を収めていることを示している可能性が高く、RedDeltaはアクセスが維持されている限り、公に知られているインフラストラクチャを使用し続けることを望んでいるという、運用上のセキュリティに対する実用的なアプローチを強調しています。

背景

2020年7月28日、Insikt Groupは、バチカンと香港カトリック教区が、中国国家が支援する脅威活動グループ「RedDelta」の標的となったカトリック教会関連組織の1つであることを示す調査結果 を発表しました 。 この一連のネットワーク侵入の疑いは、香港の中国調査団とイタリアの教皇庁外国使節団(PIME)も標的にしました。 Insikt Groupは、カトリック教会に関連する団体を標的にすることは、「地下」カトリック教会に対する支配を強化し、中国で「宗教を中国化」し、中国のカトリックコミュニティ内でのバチカンの影響力を弱めるという中国共産党(CCP)の目的を示している可能性が高いと評価しました。

Insikt Groupは、カトリック教会に関連する団体を標的にしただけでなく、インドの法執行機関や政府機関、インドネシアの政府機関、ミャンマー、香港、オーストラリアなどの未確認の標的にも影響を与えているネットワークへの侵入を特定しました。 この活動では、「RedDelta PlugX」と呼ばれるカスタマイズされたPlugXの亜種、Cobalt Strike Beacon、Poison Ivyなど、複数のマルウェアの亜種が使用されました。

脅威分析

RedDelta の公開後のクリーンアップ

2020年7月28日にRedDeltaの最初のレポートが公開された後、このグループは、特定されたコマンド&コントロール(C2)ドメインのいくつかでIP解像度を変更するなど、侵入に使用されたインフラストラクチャに関連する多くの回避措置を講じました。 たとえば、RedDeltaの研究が発表されてから1日も経たないうちに、「ポイズンアイビー/コバルトストライク」クラスター内で特定されたすべてのC2サブドメインが分解を停止しました。

表1: “Poison Ivy Cluster” domains that stopped resolving the day after report publication.

Additionally, the hosting IP for the PlugX C2 domain cabsecnow[.]com was switched from 167.88.180[.]32 to 103.85.24[.]149 on August 3, 2020. However, this was not the case for all of the identified infrastructure. Many of the PlugX C2 servers remained live and continued to be used across several of the intrusions identified within the initial report. This contrast highlights the group’s willingness to continue to use publicly known infrastructure as long as access is maintained.

RedDeltaは、バチカンと香港のカトリック教区へのターゲティングを再開します

図 1: Network traffic between Catholic Diocese of Hong Kong and RedDelta C2 infrastructure.

Recorded Future Network Traffic Analysisを使用して、標的となった組織とRedDelta C2インフラストラクチャ間の通信を分析したところ、レポートの公開直後にカトリック教会組織間のネットワーク通信が停止したことがわかりました。 しかし、これは短命で、10日以内に香港カトリック教区のメールサーバーを標的にし、14日以内にバチカンのメールサーバーを標的にしました。 これは、RedDeltaが前述の高いリスク許容度に加えて、情報を収集するためにこれらの環境へのアクセスを維持することに固執していることを示しています。

2020年9月10日、中国外務省は、2018年の中国と教皇庁の協定が「成功裏に実施された」と 発表 し、今後数週間以内に協定の更新が発表される 予定 である。 この発表のタイミングは、バチカンのネットワークを標的としたRedDeltaの活動が1週間前に停止し、8月下旬に中国の王毅外相が ローマを訪問し たことに続くもので、グループの諜報任務要件が達成されたか、もはや必要とされていない可能性があることを示唆しています。 前回の報告からの暫定的な期間に、グループがバチカンのネットワークへのアクセスを首尾よく回復できたかどうかは不明です。 しかし、そうしようとする試みと、それに続くカトリック教会をテーマにした新しいおとり文書の出現は、中国共産党が中国国内のカトリックコミュニティの監視を強化することに重点を置いていることを再び浮き彫りにしている。

図 2: Timeline of Recent RedDelta activity. (Source: Recorded Future)

中国の戦略的利益に沿ったさらなるターゲティング

RedDeltaは、中国の戦略的および地政学的利益に合致する組織を標的にし続けています。 前回のレポートでは、2018年の中国と教皇庁の協定の更新が予定されている両国間の協議に先立って行われた、いくつかのカトリック教会組織を標的とした一連のネットワーク侵入とフィッシングの試みをこのグループに関連付けました。 その間、このグループは、中国国内のカトリック教徒、チベットとラダックの関係、国連総会の安全保障理事会など、追加のおとりを使って、PlugXを標的のマシンにロードしようと試みました。

図 3: “History of Tibet-Ladakh Relations and Their Modern Implications” PlugX decoy document.

The first sample is loaded in a similar manner as the samples described within the previous RedDelta report. The first-stage DLL side-loading phase again uses a legitimate Microsoft Word executable to side-load a first-stage DLL loader, with both files initially stored inside a zip file. On this occasion, the zip file appears to have been stored on Google Drive, with the user likely directed to download it via a spearphishing link. Following the first DLL side-loading phase, an encrypted PlugX DAT payload is retrieved from http://103.85.24[.]161/8.dat.

表2: Contents of “History of Tibet-Ladakh Relations and Their Modern Implications.zip” for first stage DLL side-loading.

以前に特定されたRedDelta PlugXサンプルとは異なり、このサンプルは、以前に分析されたサンプルで使用された正規のAdobe実行可能ファイルではなく、2番目のDLLサイドローディングフェーズに正規のアバストプロキシ実行可能ファイルを使用します。 メモリにロードされると、PlugXペイロードは www.systeminfor[.]コマンド &コントロールのcomは、カトリック教会をテーマにしたPlugXのサンプルで使用されているのと同じドメインです。 新たに分析された4つのサンプルすべてにおいて、第1段階のDLLローダーファイルは、以前に観測された第1段階のRedDelta PlugX DLLと同一で一般的ではないインポートハッシュとリッチヘッダーを共有しています。 ロードされたPlugXペイロードは、前述のカスタムRedDelta PlugXバリアントとも一致し、同じハードコードされたRC4パスフレーズと構成ブロックデコード機能を備えたC2通信にRC4暗号化を使用します。

このサンプルでは、図3に示すように、「チベットとラダックの関係の歴史とその現代的影響」というタイトルのおとり文書がユーザーに示されています。 このサンプルの具体的な標的は不明ですが、チベットが中国の国家支援によるサイバースパイ活動の標的として頻繁に行われている一方で、この地域全体で中国とインドの間の国境緊張が最近高まっていることを考えると、ラダックへの言及が含まれていることは特に興味深いことです。 他のいくつかのRedDeltaサンプルと同様に、おとり文書の内容は正当な情報源、この場合はアジア太平洋地域の時事ニュースサイトであるThe Diplomatによる2020年7月の記事から取得されています。

図 4: “Advance version of the 2020 Report of the Secretary-General on Peacebuilding and Sustaining Peace” PlugX decoy document snippet.

The second PlugX sample is loaded in an almost identical manner to the Tibet-Ladakh one above, in this case retrieving the encrypted PlugX DAT payload from http://103.85.24[.]158/eeas.dat. The sample uses the same Adobe executable vulnerable to DLL side-loading seen in one of the Catholic church PlugX samples, and uses the Avast Proxy executable seen in the above Tibet-Ladakh sample for the second stage side-loading. On this occasion, the zip file appears to have been stored on Dropbox, and again, was likely delivered through spearphishing containing a malicious link. This PlugX sample again uses www.systeminfor[.]com for command and control.

表3: Contents of “Advance version of the 2020 Report of the Secretary-General on Peacebuilding and Sustaining Peace.zip” for first stage DLL side-loading.

このサンプルで使用されている18ページのおとり文書(図4を参照)は、国連総会事務総長が執筆した「平和構築と持続的平和に関する事務総長の2020年報告書」の未編集の高度なコピーであると主張しています。 しかし、正当な報告書はおそらく国連 のウェブサイト から入手され、「Advanced Unedited Edition」の分類を追加し、日付を変更するために改ざんされたものです。 正当な報告書は、10月に開催される予定の第75回国連総会に先立つ2020年8月4日に発表されました。国連はウェブサイトで、この論文が2020年の国連平和構築アーキテクチャのレビューへの主要なインプットとなり、報告書は国連機関の中核グループによって作成されている と述べています 。

この特定のサンプルの具体的なターゲットは不明ですが、時事的な地政学的な問題に基づく公開文書をデコイとして使用することは、以前に複数のRedDeltaルアーで見られました。 さらに、このサンプルに見られる DAT ペイロードのファイル名 (eeas.dat) は、欧州連合の外交官であり、外務省と防衛省が統合されている欧州対外行動局 (EEAS) を指している可能性があります。 密接に重複する脅威活動グループであるMustang Pandaも、歴史的な活動で国連安全保障理事会をテーマにしたルアー を使用した ことがあります。

図 5: “How Catholics Adapt to Changes in China: A Missiological Perspective” (Left) and “Catholic Bishops call for urgent Cameroon peace talks” (Right) PlugX decoy document snippets.

The final two RedDelta PlugX samples again closely resemble the others, both retrieving the DAT payload from http://103.85.24[.]158/hk097.dat, before ultimately using quochoice[.]com for command and control. This domain is currently hosted on the 2EZ Network IP 167.88.177[.]179, with all of the newly identified infrastructure following a previously noted trend in favoured hosting providers. One of the samples, titled “How Catholics Adapt to Changes in China: A Missiological Perspective,” is taken from the writings of a Chinese Catholic scholar and focuses on Christianity in China, while the other is taken from a February 2020 article by Independent Catholic News. This again highlights RedDelta’s tasking in gathering intelligence on organizations and individuals associated with the Catholic church.

表4: Contents of “How Catholics Adapt to Changes in China A Missiological Perspective.zip” for first-stage DLL side-loading.

テーブル5: Contents of “Catholic Bishops call for urgent Cameroon peace talks.zip” for first-stage DLL side-loading.

ミャンマーと香港のRedDelta

In our previous RedDelta reporting, we observed a wide range of network communications between IP addresses assigned to Myanmar and Hong Kong telecommunication providers and RedDelta C2 infrastructure. Both Hong Kong and Myanmar have been historical targets of the closely overlapping group Mustang Panda (1,2). In the interim period, we identified PlugX (C2 103.85.24[.]149) network intrusions likely targeting government systems in Myanmar that we attribute to RedDelta. This included a VPN login portal for a Myanmar government electronic document management system. We believe RedDelta conducted this activity from August 4 (and possibly earlier) through at least September 2, 2020. Access to these systems would likely be a valuable intelligence source for accessing electronic documents stored on the system.

In addition to this new victim within Myanmar, we identified additional PlugX (C2 85.209.43[.]21 network intrusions likely targeting two Hong Kong universities. This IP address currently hosts the domain ipsoftwarelabs[.]com, which was previously noted within reporting on activity targeting Hong Kong using an older PlugX variant. While metadata alone does not confirm a compromise, we believe that both the high volume and repeated communications from hosts within these targeted organizations to these C2s are sufficient to indicate a likely intrusion.

軽減策

• 侵入検知システム (IDS)、侵入防止システム (IPS)、またはネットワーク防御メカニズムを設定して、 付録 A にリストされている外部 IP アドレスとドメインからの不法な接続の試みを警告し、確認した上でブロックを検討してください。
• 内部および外部からアクセス可能なシステムの両方のシステム構成(アクセス制御を含む)が適切に評価され、すべてのシステムで強力なパスワードが使用されていることを確認してください。
• ネットワークセグメンテーションを実践し、多要素認証や、内部ネットワーク経由でのみアクセス可能なシステム上でのアクセスとストレージの極端に制限など、機密情報に対する特別な保護が存在することを確認します。
• 基本認証とレガシ認証は、攻撃者がインプレースセキュリティ対策をバイパスする可能性があるため、可能な場合は無効にします。
• すべてのソフトウェアとアプリケーション、特にオペレーティングシステム、ウイルス対策ソフトウェア、コアシステムユーティリティを最新の状態に保ちます。
• 電子メールの通信をフィルタリングし、添付ファイルにマルウェアがないか精査する。
• ホストベースの制御を採用する。攻撃を阻止するための最良の防御策と警告信号の1つは、クライアントベースのホストロギングと侵入検出機能を実行することである。
• ネットワーク IDS、NetFlow 収集、ホスト ロギング、Web プロキシなどの基本的なインシデント対応と検出のデプロイと制御を実装するとともに、検出ソースを人間が監視します。

今後の展望

RedDeltaが公的に報告されたインフラストラクチャとTTPを再利用していることは、中国の国家が支援する脅威活動グループ間のリスク選好度の違いを浮き彫りにしています。 APT41やRedDeltaなど、大規模な公開報告にもかかわらず、非常に活発な活動を続けているグループがある一方で、APT3のように、公開報告に対応して行動を劇的に変えたり、活動を減らしたりするグループもあります。すべての場合において、コンピュータネットワークエクスプロイト(CNE)作戦によって提供されるもっともらしい否認により、中国は、過去の証拠にもかかわらず、RedDeltaのケースを含め、そのような活動への関与 を定期的に否定しています( 1,2 )。

広範な公開報道にもかかわらずRedDeltaの活動が続いていることを考えると、グループはTTPの微調整を伴いながら、高い運用テンポで運営を続けると予想しています。 前回のレポートでは、このグループが宗教団体や非政府組織(NGO)などの団体を標的にしていることを強調しましたが、これらの団体はセキュリティや検出対策に十分な投資を行う能力や意志が不足していることが多いとされています。 このことが、公に知られているインフラやTTPを再利用しようとするグループの意欲をさらに高めている可能性があります。