中国関連のTAG-112がチベットのウェブサイトを侵害しCobalt Strikeを配布
概要
最近のあるサイバー攻撃で、中国政府が支援する脅威グループTAG-112が、チベットのウェブサイト2つ(Tibet PostとGyudmed Tantric University)を侵害し、Cobalt Strikeマルウェアを配信しました。Recorded FutureのInsikt Groupは、攻撃者がこれらのサイトに悪意のあるJavaScriptを埋め込み、TLS証明書のエラーを偽装して訪問者を騙し、偽装したセキュリティ証明書をダウンロードさせていることを発見しました。このマルウェアは、脅威アクターがリモートアクセスやエクスプロイト後に使用することが多く、チベットの実体を狙ったサイバースパイ活動が続いていることを浮き彫りにしています。Cloudflareを使用して隠蔽されたTAG-112のインフラは、このキャンペーンを他の中国がスポンサーとなった活動、特にTAG-102(Evasive Panda)と関連付けています。
中国を拠点とするTAG-112がチベットのウェブサイトを侵害しCobalt Strikeを配布
中国の少数民族や宗教団体を標的にしたサイバー攻撃が続いており、チベット人団体を標的にしたキャンペーンが新たな展開を見せています。Recorded FutureのInsikt Groupは、最近の調査で、チベットコミュニティのウェブサイトを侵害し、強力なサイバースパイツールであるCobalt Strikeを提供した、TAG-112と呼ばれる中国の国家支援の脅威アクターグループを発見しました。
主な調査結果
2024年5月下旬、TAG-112は少なくとも2つのチベットコミュニティウェブサイトを侵害しました。具体的にはTibet Post(tibetpost[.]net)とギュメ学堂(gyudmedtantricuniversity[.]org)です。攻撃者は、これらのサイトで使用されているJoomlaコンテンツ管理システム(CMS)の脆弱性を悪用し、悪意のあるJavaScriptを埋め込みました。このJavaScriptは、訪問者に偽のセキュリティ証明書をダウンロードさせ、それを開くとCobalt Strikeのペイロードが展開されます。
TAG-112のインフラストラクチャは、チベットの主体を標的にすることで知られる、より洗練された中国の国営グループTAG-102(Evasive Panda)と顕著な重複を示しています。しかし、Insikt Groupは、カスタムマルウェアではなくCobalt Strikeを使用したり、JavaScriptの難読化を控えたりするなど、攻撃の成熟度や戦術の違いを理由に、TAG-112を別のエンティティとして特定しています。
悪意のあるJavaScriptと偽装されたTLSエラー
攻撃は、侵害されたウェブサイトに埋め込まれた悪意のあるJavaScriptから始まります。ユーザーがこれらのサイトにアクセスすると、スクリプトがオペレーティングシステムとブラウザの種類を検出し、Windowsとの互換性を確認します。互換性がある場合、スクリプトはTAG-112のコマンド&コントロール(C2)ドメインupdate[.]maskrisks[.]comとの接続を開始し、このドメインがその後、正当なTLS証明書エラーを偽装するHTMLページを返します。
この偽装エラーページはGoogle ChromeのTLS証明書の警告を模倣する形で作成されており、ユーザーを騙して「セキュリティ証明書をダウンロード」リンクをクリックさせます。クリックすると、ユーザーは知らないうちにCobalt Strikeのダウンロードを開始します。Cobalt Strikeはセキュリティテスターがよく使用する正規のツールですが、リモートアクセスやコマンド実行のために攻撃者に悪用されることがよくあります。
ウェブサイトの脆弱性の悪用
tag-112は、人気のCMSであるJoomlaの脆弱性を通じて、侵害されたチベットのウェブサイトにアクセスした可能性があります。Joomla上に構築されたウェブサイトは、適切に保守および更新されていない場合、攻撃者の標的になることがよくあります。おそらくこれらの脆弱性を悪用することでTAG-112は悪意のあるJavaScriptファイルをアップロードすることができたと考えられ、そのファイルは2024年10月初旬現在もこれらのサイトでアクティブなままです。
インフラストラクチャと難読化の戦術
TAG-112のインフラストラクチャは、その起源を隠すことにおいて洗練されています。このグループは、Cloudflareを使用してサーバーのIPアドレスを隠蔽し、インフラストラクチャの起源までさかのぼる作業を複雑にしました。Insikt Groupは、TAG-112のC2サーバーにリンクされた複数のIPアドレスを特定し、その中には早くも2024年3月にアクティブだったものもあります。プライマリドメイン(maskrisks[.]com)は2024年3月にNamecheapを通じて登録され、サブドメイン(mail[.]maskrisks[.]comやcheckupdate[.]maskrisks[.]comなど)が運用の柔軟性を高めるために追加されました。
TAG-112によるCobalt Strikeの使用
Cobalt Strikeは、リモートアクセス、ラテラルムーブメント、コマンド&コントロールの汎用性と強力な機能により、脅威アクターの間で人気を博している商用侵入テストツールです。Insikt Groupは、TAG-112にリンクされ、C2通信がmail[.]maskrisks[.]comに向けられている6つの異なるCobalt Strike Beaconサンプルを特定しました。このマルウェアにより、TAG-112 は侵害されたシステムを監視・制御し、情報を収集し、感染したシステムをさらにスパイ活動に利用できるようになります。
TAG-102(Evasive Panda)とのつながり
TAG-112は、チベットコミュニティを標的にすることで知られる別の中国のAPTであるTAG-102(Evasive Panda)といくつかの運用上の特徴を共有しています。どちらのグループも、偽装されたエラーページを使用して悪意のあるファイルを配信するなど、同様の方法を使用しています。しかし、TAG-112の運用はTAG-102ほど洗練されておらず、サブグループや経験の浅いブランチである可能性が示唆されます。例えば、TAG-102はカスタマイズされたマルウェアを展開して難読化技術を使用していますが、TAG-112はJavaScriptを難読化することなく、容易に入手可能なCobalt Strikeツールに依存しています。
難読化に関する違いはあるものの、TAG-112の戦術とTAG-102との重複は、中国政府がチベット人やその他の民族的および宗教的少数派のコミュニティに継続的に関心を持っていることを浮き彫りにしています。このようなキャンペーンは、中国共産党(CCP)の安定と統制を脅かすと認識されるグループを標的とした、より広範な監視と統制の戦略の一環です。
緩和策の推奨事項
TAG-112のキャンペーンは、特に国家が支援する攻撃者にとって価値の高い標的となる可能性のある組織にとっての事前対応的なサイバーセキュリティ対策の重要性を強調しています。Recorded Futureでは次の手順を推奨しています。
- 侵入検知と防止:侵入検知システム(IDS)と侵入防御システム(IPS)を設定して、TAG-112に関連する侵害の兆候(IoC)に警告を発します。徹底的なレビューを行った後、既知のTAG-112インフラストラクチャへの接続をブロックすることを検討します。
- ユーザートレーニング:信頼できないソースからダウンロードしたファイルの取り扱いに注意を払うようユーザーを教育します。フィッシングやドライブバイダウンロード攻撃の一部である可能性があるため、入力なしで自動的にダウンロードされるファイルを開かないようにユーザーにアドバイスします。
- Cobalt Strikeの検知:Recorded FutureのIntelligence Cloudなどの脅威インテリジェンスモジュールを使用して、悪意のあるCobalt StrikeC2サーバーのリアルタイム監視を有効にします。
- ネットワークの監視:ネットワークトラフィックを定期的に監視し、侵害の兆候、特に既知の脅威インフラストラクチャへの接続を監視します。悪意のあるトラフィック分析(MTA)は、異常なアクティビティを検出し、潜在的なC2通信についてセキュリティチームに警告するのに役立ちます。
今後の展望
TAG-112のチベット組織に対する活動は、民族的および宗教的少数派、特に不安定化を招く可能性があると見なされる少数派を監視・統制するという中国のサイバースパイ活動における長年の目的を反映しています。CCP指定のリスクプロファイルが類似している他のグループや地域も、同様の国家主導型攻撃の標的となる可能性があります。
分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。
付録A — 侵害を示す指標
|
侵害されたウェブサイト: tibetpost[.]net gyudmedtantricuniversity[.]org C2ドメイン : maskrisks[.]com mail[.]maskrisks[.]com update[.]maskrisks[.]com checkupdate[.]maskrisks[.]com C2 IPアドレス: 154.90.62[.]12 154.90.63[.]166 154.205.138[.]202 証明書 : d0972247c500d2a45f412f9434287161de395a35ef5b4931cba12cf513b76962(*[.]dnspod[.]cn) 94569f64f62eff185ba47e991dba54bdeea6d1a9e205d6bec767be6a864e4efb (Cloudflare Origin *.maskrisks[.]com) d4938cb5c031ec7f04d73d4e75f5db5c8a5c04ce(盗まれたコード署名証明書 KP MOBILE) 悪意のあるJavaScriptのURL: https[:]//gyudmedtantricuniversity[.]org/templates/lt_interiordesign/js/custom.js https[:]//tibetpost[.]net/templates/ja_teline_v/js/gallery/jquery.blueimp-gallery.full.js 悪意のあるURL : https[:]//update[.]maskrisks[.]com/download https[:]//update[.]maskrisks[.]com/?type=Chrome https[:]//update[.]maskrisks[.]com/?type=Edge http[:]//mail[.]maskrisks[.]com/api/view.php http[:]//154.205.138[.]202/GetUrl/cache https[:]//checkupdate[.]maskrisks[.]com/cache https[:]//update[.]maskrisks[.]com/cache Cobalt Strike: 1e42cbe23055e921eff46e5e6921ff1a20bb903fca83ea1f1294394c0df3f4cd 0e306c0836a8ee035ae739c5adfbe42bd5021e615ebaa92f52d5d86fb895651d f1f11e52a60e5a446f1eb17bb718358def4825342acc0a41d09a051359a1eb3d f4ded3a67480a0e2a822af1e87a727243dea16ac1a3c0513aec62bff71f06b27 966d311dcc598922e4ab9ce5524110a8bfd2c6b6db540d180829ceb7a7253831 1e7cb19f77206317c8828f9c3cdee76f2f0ebf7451a625641f7d22bb8c61b21b Loaders: 8d4049ef70c83a6ead26736c1330e2783bdc9708c497183317fad66b818e44cb E190c7e097a1c38dd45d9c149e737ad9253b1cabee1cee7ef080ddf52d1b378c (legitimate software) 31f11b4d81f3ae25b6a01cd1038914f31d045bc4136c40a6221944ea553d6414 |
付録B — MITRE ATT&CK手法
| 戦術:手法 | ATT&CKコード |
| リソース開発: インフラストラクチャの取得: サーバー | T1583.004 |
| リソース開発:インフラストラクチャの取得:ウェブサービス | T1583.006 |
| リソース開発: 侵害インフラストラクチャ:サーバー | T1584.004 |
| 初期アクセス:ドライブバイ侵害 | T1189 |
| 防御回避:ハイジャック実行フロー:DLLサイドローディング | T1574.002 |
関連