>
Insiktレポート

中国と関係のあるTA428は、ロシアとモンゴルのIT企業を引き続き標的に

投稿: 2021年3月17日
作成者 : Insikt Group

insikt-logo-blog.png

Recorded FutureのInsikt Groupは最近、中国の脅威活動グループが疑われるTA428に起因する新たな活動を特定しました。 特定された活動は、2019年にロシアと東アジアの政府の情報技術機関を標的にした「Operation LagTime IT」としてProofpointが以前に報告したTA428キャンペーンと重複しています。 特定されたインフラ、戦術、被害者組織から、TA428はロシアとモンゴルの組織を標的とした侵入活動を続けている可能性が高いと評価しています。

インフラストラクチャとターゲティング

2021年1月21日、Insikt GroupはPlugX C2サーバー103.125.219[.]222 (ホスティングプロバイダー:VPSServer[.]com)は、モンゴルのさまざまなニュースエンティティになりすました複数のドメインをホストしています。 ドメインの1つであるf1news.vzglagtime[.]網 以前、前述の Proofpoint Operation LagTime IT ブログに掲載されました。 2019年7月にProofpointのブログが公開された時点で、vzglagtime[.]網 ドメインは45.76.211[.]18 ホスティングプロバイダー のVultrを通じて。 パッシブDNSのデータによると、このIPアドレスはモンゴルをテーマにしたドメインも同時にホストしており、これらの未報告の疑わしいTA428ドメインとOperation LagTime ITアクティビティとの重複がさらに強化されています。 これらのサブドメインは、ニュースをテーマにしたお馴染みの名前や単語を、英語とモンゴル語の両方で偽装しているように見えます。 Insikt Groupは、このキャンペーンで、米国を拠点とする通信社である「Bloomberg」という用語で2つのサブドメインも特定しました。 しかし、このキャンペーンが米国企業を標的にしたという兆候は他にありません。 このキャンペーンのサブドメインは、おなじみの用語を使用して、被害者をこれらのサイトを信頼するように誘導しました。 これらの未報告のドメインには、次のものが含まれます。

aircraft.tsagagaar[.]コム ツァグ・アガール (цаг агаар)はモンゴル語で「天気」を意味します 
nubia.tsagagaar[.]コム ニューウランバートル国際空港(NUBIA)になりすましている可能性が高い
gazar.ecustoms-mn[.]コム モンゴルの電子税関になりすましている可能性が高い
govi-altai.ecustoms-mn[.]コム モンゴルのゴビアルタイ地方を参照
gogonews.organiccrap[.]コム モンゴルの通信社GoGo Newsになりすました可能性が高い
niigem.olloo-ニュースコム モンゴルの通信社Ollooになりすました可能性が高い
oolnewsmongol.ddns[.]情報 モンゴルのニュースをテーマにしたドメインになりすましている可能性が高い
bloomberg.mefound[.]コム ニュースをテーマにしたなりすましサブドメインを追加
bloomberg.ns02[.]ビジネス ニュースをテーマにしたなりすましサブドメインを追加

マルウェア分析

Insikt Groupは、新たに特定されたTA428にリンクされたインフラストラクチャと通信する複数のRoyal Road、Poison Ivy、およびPlugXのサンプルを特定しました。 これは、 ProofpointNTTセキュリティが 以前に報告したTA428の活動とほぼ一致しています。 特に、次のPoisonIvyサンプルは、2020年12月にマルウェアのマルチスキャンソースにアップロードされました。

15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb(ファイル名:x64.dll)

1145D39CE42761862EEB7C46500B3FC5CD0DCD9C0Fed35623B577B01D0EC3C8E (ファイル名: x86.dll)

x86.dll は 32 ビット環境用に設計されており、x64.dll は 64 ビット環境用に設計されています。 実行されると、DLLファイルは2つのファイルをドロップします:PotPlayerMini.exe、DLLハイジャックに対して脆弱な正当な実行可能ファイル、およびPotPlayer.dll、 PoisonIvyペイロード。 PotPlayerMini.exeは、悪意のあるPoisonIvyのDLLをロードするために実行され、この場合はC2ドメインnubia.tsagagaar[.]コム。 このPoisonIvyのロードシーケンスは、2020年10月に NTTセキュリティ が報告したTA428のアクティビティと直接一致します。 NTTの研究者は、グループがEternalBlueエクスプロイトを使用して横方向に移動し、ターゲットホストのlsass.exeプロセスに初期DLLファイルを注入することを発見しました。

china-linked-ta428-threat-group-1-1.jpeg 図1:最近のTA428サンプルのマルウェア分析

また、Insikt Groupは、上記のTA428にリンクされたPoisonIvyサンプルを含むマルウェア サンドボックスのアップロード と、EternalBlueエクスプロイトツール、WinEggDropポートスキャナー、MS17-010スキャンツールを特定しました。 アップロード内にファイルパスが存在することは、マルウェアがロシアのIT企業ATOLを標的にするために使用された可能性があることを示唆しています。 この被害者像は、ロシアと東アジアの政府の情報技術機関を標的にした、以前に観測されたOperation LagtimeのIT活動とも一致しています。 

さらに、2020年11月に研究者のSebdravenが投稿した ブログ記事 では、TA428がOperation Lagtime ITの継続であるとする追加のRoyal Road文書サンプルについて詳しく説明しています。 このおとり文書は、送信者をモンゴル当局に偽装し、アルメニアとアゼルバイジャンの紛争を参照して、被害者を文書を開くように誘惑します。 Sebdraven氏によると、このファイルはRoyal Road RTF兵器化装置のバージョン7を使用しており、メモリに非常に単純なバックドアをインストールし、EQNEDT32.EXEプロセスを書き換えます。 バックドアは、ターゲットマシンのディスク、実行中のプロセス、Windows OSのバージョン、およびユーザー権限に関する初期情報を収集した後、コマンド&コントロール(C2)ドメインcustom.songuulcomiss[.]com、 これはマレーシアのIPアドレス103.106.250[.]239 発見時。

攻撃者プロファイル

TA428は、2019年にプルーフポイントの研究者によって特定され、命名された中国に関連するサイバースパイグループですが、インフラストラクチャ、被害者学、ツールの重複点から、このグループは 2013年まで活動していた可能性があるとされています。 TA428は、カスタムツールセットを使用し、IT、科学研究、内政、外交、政治プロセス、金融開発など、中国にとって戦略的価値の高い組織を対象としていると考えられています。 2021年2月、NTTの研究者は、2019年3月から2020年11月にかけて観測された「nccTrojan」と呼ばれるマルウェアを使用して、今度はロシアとモンゴルの東アジアの防衛および航空組織を対象とした 新しいキャンペーン をTA428に起因するとしました。

侵害の兆候

このキャンペーンに関連する侵害の痕跡は、こちらのInsikt Groupの GitHubリポジトリでご覧いただけます。

C2のIP

103.125.219[.]222 103.249.87[.]72 45.76.211[.]18

ツタウルシ

1145d39ce42761862eeb7c46500b3fc5cd0dcd9c0fed35623b577b01d0ec3c8e (C2: nubia.tsagagaar[.]com) 15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb (C2: nubia.tsagagaar[.]com) 33C0BE46FEA3A981AE94C1AE0B23C04A763F8318706BD9F7530347F579A2282E (C2: bloomberg.ns02[.]ビズ)

プラグX

3a5828fe5e55e52f041ad8d67b12a6fc23ec2d2d37a6adde59139d523f1dfc8b (C2: nubia.tsagagaar[.]com)

ロイヤルロードRTF

4f941e1203bf7c1cb3ec93d42792f7f971f8ec923d11017902481ccf42efaf75 (C2: 95.179.131[.]29 - 以前は複数のvzglagtime[.]網 サブドメイン)

WinEggDropポートスキャナー

13EAF5C0C0A22B09B9dead93C86F085B6C010E3413B0E27C0616896978871048

EternalBlueエクスプロイトツール

82B0488FD910FE428513813343BF3A9A62C7BF450D509F00F437766CDCC0C7AEA

MS17-010スキャナー

15585fd878af7d9efd6cac2984cf52371312439797ee2c8f8180ad149e3f8b07

TA428 リンクドメイン

aircraft.tsagagaar[.]コム ecustoms-mn[.]コム f1news.vzglagtime[.]網 gazar.ecustoms-mn[.]コム govi-altai.ecustoms-mn[.]コム news.vzglagtime[.]網 niigem.olloo-ニュースコム nubia.tsagagaar[.]コム olloo-ニュース[.]コム oolnewsmongol.ddns[.]情報 bloomberg.mefound[.]コム bloomberg.ns02[.]ビジネス nmcustoms.https443[.]組織 gogonews.organiccrap[.]コム ツァガガール[.]コム vzglagtime[.]網

関連