中国のAPTグループ4社がアフガニスタンの通信会社Roshanのメールサーバーを標的にしていることを特定

投稿: 2021年9月28日

作成者 : Insikt Group

4 Chinese APT Groups Identified Targeting Mail Server of Afghan Telecommunications Firm Roshan

Insikt Groupは、アフガニスタン最大の通信プロバイダーの1つである Roshanのメールサーバーを標的とした、中国の国家支援を受けた4つの異なる脅威活動グループに関連する別の侵入活動を検出しました。これには、中国の国家支援グループである RedFoxtrot と Calypso APTによる活動とされる活動や、現時点では既存のグループにリンクできていない Winnti と PlugX のバックドアを使用した2つのクラスターが含まれます。特に、これらの侵入に対するデータ流出活動、特にCalypso APTの活動とWinntiマルウェアを使用した未知の脅威アクターは、米軍の撤退やタリバン支配の復活などの主要な地政学的イベントと重なり、2021年8月から9月にかけて急増しました。アフガニスタン最大の通信プロバイダーの1つを標的とした情報収集へのこの焦点は、タリバンの新たな支配下でアフガニスタン内で影響力を拡大したいという中国共産党(CCP)の願望が一因である可能性が高い。この通信会社は、下流のターゲットの監視、通信データの一括収集、個々のターゲットの追跡と監視など、戦略的な情報収集のための非常に価値のあるプラットフォームを提供しています。さらに、中国政府は、一帯一路構想に参加している国々において、電気通信部門は戦略的に重要であると考えています。

活動のタイムライン

Insikt Groupは、2021年6月のRedFoxtrotのレポートに代表されるように、中国国家が支援するさまざまな脅威活動グループを追跡し、定期的に報告しています。これらのグループを追跡するために使用される方法の 1 つは、敵対者のインフラストラクチャ検出方法と Recorded Future Network Traffic Analysis (NTA) データを組み合わせたものです。中国の国家支援を受けた既知の攻撃者に関連する悪意のあるインフラストラクチャを追跡した結果、過去1年間にRoshanを標的とした複数の同時侵入が、次の4つの活動グループに関連していることを確認しました。

Roshanを標的とした最も初期の活動は、中国の国営組織Calypso APTと疑われる活動に関連しており、少なくとも2020年7月から2021年9月まで続いており、昨年8月にInsikt Groupによって最初に報告されました。
最近では、少なくとも2021年3月から5月にかけて、同じRoshanサーバーがRedFoxtrot PlugXのコマンド&コントロールインフラストラクチャと通信していたことが確認されました。この間、RedFoxtrotはアフガニスタンの2つ目の通信組織を標的にしていることも確認されました。
さらに2つのクラスターも、同じRoshanメールサーバーを標的にしていました。これらはそれぞれWinntiクラスタとPlugXクラスタと呼ばれ、以下のセクションで詳しく説明します。これらのクラスターは両方とも、互いに、またはCalypso APTとRedFoxtrotの活動とは無関係に見えますが、現時点では追跡対象の活動グループに関連付けることはできませんでした。

chinese-APT-groups-target-afghan-telecommunications-firm-1-1.png 図 1: Timeline of Roshan NTA data exfiltration events versus Afghanistan geopolitical reporting (Source: Recorded Future)

同じ国家の支援下にある活動団体が同じ組織を標的にすることは、特に中国の敵対者にとっては珍しいことではない。これらのグループの多くは、個別の情報要件を持っており、中国の諜報機関の規模により、標的と収集が調整されていないことがよくあります。この場合、図1に見られるように、2021年8月と9月にCalypso APTとWinntiの侵入に関連するデータ流出イベントが増加しています。これは、アフガニスタンを標的とした歴史的な戦略的コレクションと、主要な地政学的出来事に沿った活動のさらなる集中の両方を示しています。

アフガニスタンは、特に米国の撤退の結果として、いくつかの理由で中国にとって戦略的に重要である。一つには、中国はアフガニスタン国内での影響力を拡大し、地域の不安定性と過激主義が国境を接する中国の新疆ウイグル自治区や他の中央アジア諸国に広がるのを防ごうとしている可能性が高い。これらの問題は、国家安全保障上の懸念と、一帯一路構想(BRI)の大規模な投資を含む、この地域における中国の利益を保護する必要性を引き起こしている。また、米国の撤退は、中国にアフガニスタン国内でBRIに関連する主要な新規採掘産業プロジェクトの機会を提供する。

技術的分析

chinese-APT-groups-target-afghan-telecommunications-firm-2-1.jpg 図 2: Chart of infrastructure used in Roshan intrusions (Source: Recorded Future)

図2に示すように、侵害されたRoshanサーバーは、特に中国の国家支援グループが一般的に使用するPlugXマルウェアファミリーに関連する、さまざまな敵対的なC2インフラストラクチャと通信していることが確認されています。次のセクションでは、侵入アクティビティのグループごとの内訳を示します。

レッドフォックストロット

2021年6月、Insikt Groupは、少なくとも2014年以降、南アジアと中央アジアの政府、防衛、通信組織を対象としたRedFoxtrotの活動について報告しました。私たちは、RedFoxtrotのオペレーターと疑われる人物が採用した緩い運用セキュリティを通じて、この活動グループを新疆ウイグル自治区ウルムチにある中国人民解放軍戦略支援部隊(PLASSF)ネットワークシステム部門(NSD)の69010部隊と関連付けました。このグループは、IceFog、QUICKHEAL、RoyalRoadなど、中国のグループによく関連する特注のマルウェア亜種や、Poison Ivy、PlugX、PCShareなど、中国に関連する脅威アクターがよく使用する他のより広く利用可能なツールを使用しています。

2021年7月と9月に行われた追跡分析では、RedFoxtrotが公開後に大量の運用インフラを放棄したことを特定し、インドとパキスタンの政府および防衛部門で新たに特定された被害者数人について報告しました。 Roshanを標的としたRedFoxtrotの活動は、2021年6月にグループに関する公開報告が行われる前に終了し、以下のPlugXのコマンド&コントロールインフラストラクチャに関連していました。

C2ドメイン	最後に見たC2 IPアドレス	アクティビティの最終表示日
randomanalyze.freetcp[.]コム	143.110.250[.]149	2021年4月4日
darkpapa.チキンキラー[.]コム	149.28.139[.]86	2021年5月5日
dhsg123.jkub[.]コム	159.65.152[.]7 143.110.242[.]139	2021年4月21日

表1: RedFoxtrot PlugX Indicators from Roshan Intrusion

カリプソAPT

In March 2021, Insikt Group reported on the Calypso APT conducting a mass exploitation campaign targeting Microsoft Exchange servers using the ProxyLogon exploit chain (CVE-2021-26855, CVE-2021-27065), alongside several other Chinese state-sponsored groups. One of the PlugX C2 domains highlighted in this activity, www.membrig[.]com, remains active and is linked to ongoing intrusion activity targeting Roshan.

C2ドメイン	最後に見たC2 IPアドレス	アクティビティの最終表示日
www.membrig[.]コム	103.30.17[.]20	2021年9月12日

表2: Calypso APT indicators from Roshan intrusion

不明な Winnti クラスター

Winntiのバックドアは、APT41/Barium、APT17、そして最近ではInsikt GroupがTAG-22として追跡しているグループなど、中国の国家が支援するいくつかのグループによって歴史的に使用されてきました。 Winntiのバックドアは、一般的に、中国国家安全部(MSS)に代わって活動する、緩やかにつながった民間請負業者の複数のグループに関連する活動に関連しています。 2020年9月、米国司法省(DoJ)は、WinntiマルウェアにアクセスしたAPT41に関連する5人の中国人を、世界中の100人以上の被害者を対象とした広範な侵入作戦を行ったとして起訴しました。

In relation to the Roshan targeting, we identified a high level of data exfiltration activity from the targeted Roshan server and the Winnti C2 45.76.144[.]44, from at least August 17 to September 12, 2021. We have been unable to link this Winnti C2 infrastructure with a known group, but it is very likely separate from the RedFoxtrot and Calypso APT activity highlighted above.

不明なPlugXクラスタ

Finally, the same Roshan mail server was also identified communicating with an additional PlugX C2 server from April to August 2021. This PlugX C2, 45.86.162[.]135, is linked to the Australia-based PS hosting reseller Crowncloud.

今後の展望

中国の国家支援グループの中には、中央アジア全域で非常に活発な活動が続いており、任務や指揮系統が異なるためと思われ、しばしば協調性のない方法で活動している。インドや南シナ海など他の地政学的な火種と同様に、アフガニスタンは、米国の撤退とタリバンの乗っ取り後も、中国政府の情報収集の主要な標的であり続ける可能性が高い。常にサイバースパイ活動の主要な標的である電気通信組織は、保有するデータのインテリジェンス価値により、これらの地域で特に高いリスクにさらされています。さらに、中国政府は、一帯一路構想に参加している国々の通信セクターに影響を与えることを戦略的優先事項と考えており、グローバルなインターネットガバナンスに関する議論で影響力を増しています。