中国と関係のあるTA428は、ロシアとモンゴルのIT企業を引き続き標的に
Recorded FutureのInsikt Groupは最近、中国の脅威活動グループが疑われるTA428に起因する新たな活動を特定しました。 特定された活動は、2019年にロシアと東アジアの政府の情報技術機関を標的にした「Operation LagTime IT」としてProofpointが以前に報告したTA428キャンペーンと重複しています。 特定されたインフラ、戦術、被害者組織から、TA428はロシアとモンゴルの組織を標的とした侵入活動を続けている可能性が高いと評価しています。
インフラストラクチャとターゲティング
On January 21, 2021, Insikt Group detected the PlugX C2 server 103.125.219[.]222 (Hosting provider: VPSServer[.]com) hosting multiple domains spoofing various Mongolian news entities. One of the domains, f1news.vzglagtime[.]net, previously appeared in the aforementioned Proofpoint Operation LagTime IT blog. At the time of the Proofpoint blog publication in July 2019, the vzglagtime[.]net domain was hosted on 45.76.211[.]18 through the hosting provider Vultr. According to passive DNS data, this IP address also hosted the Mongolian-themed domains at the same time, further strengthening the overlaps between these unreported suspected TA428 domains and Operation LagTime IT activity. The subdomains appear to spoof familiar news-themed names and words, both in English and in Mongolian languages. Insikt Group also identified two subdomains in this campaign with the term “Bloomberg”, a US-based news agency. However, we have no other indication that this campaign targeted US companies. The subdomains in this campaign used familiar terms to lure victims into trusting these sites. These unreported domains include the following:
| aircraft.tsagagaar[.]コム | Tsag agaar (цаг агаар) is a Mongolian word for “weather” |
| nubia.tsagagaar[.]コム | ニューウランバートル国際空港(NUBIA)になりすましている可能性が高い |
| gazar.ecustoms-mn[.]コム | モンゴルの電子税関になりすましている可能性が高い |
| govi-altai.ecustoms-mn[.]コム | モンゴルのゴビアルタイ地方を参照 |
| gogonews.organiccrap[.]コム | モンゴルの通信社GoGo Newsになりすました可能性が高い |
| niigem.olloo-ニュースコム | モンゴルの通信社Ollooになりすました可能性が高い |
| oolnewsmongol.ddns[.]情報 | モンゴルのニュースをテーマにしたドメインになりすましている可能性が高い |
| bloomberg.mefound[.]コム | ニュースをテーマにしたなりすましサブドメインを追加 |
| bloomberg.ns02[.]ビジネス | ニュースをテーマにしたなりすましサブドメインを追加 |
マルウェア分析
Insikt Groupは、新たに特定されたTA428にリンクされたインフラストラクチャと通信する複数のRoyal Road、Poison Ivy、およびPlugXのサンプルを特定しました。 これは、 Proofpoint と NTTセキュリティが 以前に報告したTA428の活動とほぼ一致しています。 特に、次のPoisonIvyサンプルは、2020年12月にマルウェアのマルチスキャンソースにアップロードされました。
15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb(ファイル名:x64.dll)
1145D39CE42761862EEB7C46500B3FC5CD0DCD9C0Fed35623B577B01D0EC3C8E (ファイル名: x86.dll)
x86.dll は 32 ビット環境用に設計されており、x64.dll は 64 ビット環境用に設計されています。 実行されると、DLLファイルは2つのファイルをドロップします:PotPlayerMini.exe、DLLハイジャックに対して脆弱な正当な実行可能ファイル、およびPotPlayer.dll、 PoisonIvyペイロード。 PotPlayerMini.exeは、悪意のあるPoisonIvyのDLLをロードするために実行され、この場合はC2ドメインnubia.tsagagaar[.]コム。 このPoisonIvyのロードシーケンスは、2020年10月に NTTセキュリティ が報告したTA428のアクティビティと直接一致します。 NTTの研究者は、グループがEternalBlueエクスプロイトを使用して横方向に移動し、ターゲットホストのlsass.exeプロセスに初期DLLファイルを注入することを発見しました。
Figure 1: Malware analysis of recent TA428 sample
また、Insikt Groupは、上記のTA428にリンクされたPoisonIvyサンプルを含むマルウェア サンドボックスのアップロード と、EternalBlueエクスプロイトツール、WinEggDropポートスキャナー、MS17-010スキャンツールを特定しました。 アップロード内にファイルパスが存在することは、マルウェアがロシアのIT企業ATOLを標的にするために使用された可能性があることを示唆しています。 この被害者像は、ロシアと東アジアの政府の情報技術機関を標的にした、以前に観測されたOperation LagtimeのIT活動とも一致しています。
Additionally, a blog post by researcher Sebdraven from November 2020 details an additional Royal Road document sample that he attributes to TA428 as a continuation of Operation Lagtime IT. The lure document spoofs the sender as Mongolian authorities and refers to the conflict between Armenia and Azerbaijan in order to lure the victim to opening the document. According to Sebdraven, the file uses Version 7 of Royal Road RTF weaponizer, which installs a very simple backdoor in memory, rewriting the EQNEDT32.EXE process. After the backdoor gathers initial information on the target machine’s disk, running processes, Windows OS version, and user privileges, it attempts to reach out to the command and control (C2) domain custom.songuulcomiss[.]com, which was hosted on the Malaysian IP address 103.106.250[.]239 at the time of discovery.
攻撃者プロファイル
TA428は、2019年にプルーフポイントの研究者によって特定され、命名された中国に関連するサイバースパイグループですが、インフラストラクチャ、被害者学、ツールの重複点から、このグループは 2013年まで活動していた可能性があるとされています。 TA428は、カスタムツールセットを使用し、IT、科学研究、内政、外交、政治プロセス、金融開発など、中国にとって戦略的価値の高い組織を対象としていると考えられています。 2021年2月、NTTの研究者は、2019年3月から2020年11月にかけて観測された「nccTrojan」と呼ばれるマルウェアを使用して、今度はロシアとモンゴルの東アジアの防衛および航空組織を対象とした 新しいキャンペーン をTA428に起因するとしました。
侵害の兆候
このキャンペーンに関連する侵害の痕跡は、こちらのInsikt Groupの GitHubリポジトリでご覧いただけます。
C2のIP
103.125.219[.]222 103.249.87[.]72 45.76.211[.]18
ツタウルシ
1145d39ce42761862eeb7c46500b3fc5cd0dcd9c0fed35623b577b01d0ec3c8e (C2: nubia.tsagagaar[.]com) 15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb (C2: nubia.tsagagaar[.]com) 33c0be46fea3a981ae94c1ae0b23c04a763f8318706bd9f7530347f579a2282e (C2: bloomberg.ns02[.]biz)
プラグX
3a5828fe5e55e52f041ad8d67b12a6fc23ec2d2d37a6adde59139d523f1dfc8b (C2: nubia.tsagagaar[.]com)
ロイヤルロードRTF
4f941e1203bf7c1cb3ec93d42792f7f971f8ec923d11017902481ccf42efaf75 (C2: 95.179.131[.]29 - previous hosted multiple vzglagtime[.]net subdomains)
WinEggDropポートスキャナー
13eaf5c0c0a22b09b9dead93c86f085b6c010e3413b0e27c0616896978871048
EternalBlueエクスプロイトツール
82b0488fd910fe428513813343bf3a9a62c7bf450d509f00f437766cdc0c7aea
MS17-010スキャナー
15585fd878af7d9efd6cac2984cf52371312439797ee2c8f8180ad149e3f8b07
TA428 リンクドメイン
aircraft.tsagagaar[.]com ecustoms-mn[.]com f1news.vzglagtime[.]net gazar.ecustoms-mn[.]com govi-altai.ecustoms-mn[.]com news.vzglagtime[.]net niigem.olloo-news[.]com nubia.tsagagaar[.]com olloo-news[.]com oolnewsmongol.ddns[.]info bloomberg.mefound[.]com bloomberg.ns02[.]biz nmcustoms.https443[.]org gogonews.organiccrap[.]com tsagagaar[.]com vzglagtime[.]net
関連ニュース&研究