>
Insiktレポート

中国のAPTグループ4社がアフガニスタンの通信会社Roshanのメールサーバーを標的にしていることを特定

投稿: 2021年9月28日
作成者 : Insikt Group

insikt-logo-blog.png

Insikt Groupは、アフガニスタン最大の通信プロバイダーの1つである Roshanのメールサーバーを標的とした、中国の国家支援を受けた4つの異なる脅威活動グループに関連する別の侵入活動を検出しました。 これには、中国の国家支援グループである RedFoxtrotCalypso APTによる活動とされる活動や、現時点では既存のグループにリンクできていない WinntiPlugX のバックドアを使用した2つのクラスターが含まれます。 特に、これらの侵入に対するデータ流出活動、特にCalypso APTの活動とWinntiマルウェアを使用した未知の脅威アクターは、米軍の撤退やタリバン支配の復活などの 主要な地政学的イベント と重なり、2021年8月から9月にかけて急増しました。 アフガニスタン最大の通信プロバイダーの1つを標的とした情報収集へのこの焦点は、タリバンの新たな支配下でアフガニスタン内で影響力を拡大したいという中国共産党(CCP)の 願望 が一因である可能性が高い。 この通信会社は、下流のターゲットの監視、通信データの一括収集、個々のターゲットの追跡と監視など、戦略的な情報収集のための非常に価値のあるプラットフォームを提供しています。 さらに、 中国政府は 、一帯一路構想に参加している国々において、電気通信部門は戦略的に重要であると考えています。

活動のタイムライン

Insikt Groupは、2021年6月のRedFoxtrotの レポート に代表されるように、中国国家が支援するさまざまな脅威活動グループを追跡し、定期的に報告しています。 これらのグループを追跡するために使用される方法の 1 つは、敵対者のインフラストラクチャ検出方法と Recorded Future Network Traffic Analysis (NTA) データを組み合わせたものです。 中国の国家支援を受けた既知の攻撃者に関連する悪意のあるインフラストラクチャを追跡した結果、過去1年間にRoshanを標的とした複数の同時侵入が、次の4つの活動グループに関連していることを確認しました。

  • Roshanを標的とした最も初期の活動は、中国の国営組織Calypso APTと疑われる活動に関連しており、少なくとも2020年7月から2021年9月まで続いており、昨年8月にInsikt Groupによって最初に報告されました。
  • 最近では、少なくとも2021年3月から5月にかけて、同じRoshanサーバーがRedFoxtrot PlugXのコマンド&コントロールインフラストラクチャと通信していたことが確認されました。 この間、RedFoxtrotはアフガニスタンの2つ目の通信組織を標的にしていることも確認されました。
  • さらに2つのクラスターも、同じRoshanメールサーバーを標的にしていました。 これらはそれぞれWinntiクラスタとPlugXクラスタと呼ばれ、以下のセクションで詳しく説明します。 これらのクラスターは両方とも、互いに、またはCalypso APTとRedFoxtrotの活動とは無関係に見えますが、現時点では追跡対象の活動グループに関連付けることはできませんでした。

chinese-APT-groups-target-afghan-telecommunications-firm-1-1.png 図 1: Roshan NTAのデータ流出イベントとアフガニスタンの地政学的報道のタイムライン(出典:Recorded Future)

同じ国家の支援下にある活動団体が同じ組織を標的にすることは、特に中国の敵対者にとっては珍しいことではない。 これらのグループの多くは、個別の情報要件を持っており、中国の諜報機関の規模により、標的と収集が調整されていないことがよくあります。 この場合、図1に見られるように、2021年8月と9月にCalypso APTとWinntiの侵入に関連するデータ流出イベントが増加しています。 これは、アフガニスタンを標的とした歴史的な戦略的コレクションと、主要な地政学的出来事に沿った活動のさらなる集中の両方を示しています。

アフガニスタンは、特に米国の撤退の結果として、いくつかの理由で中国にとって戦略的に重要である。 一つには、中国はアフガニスタン国内での影響力を拡大し、地域の不安定性と過激主義が国境を接する中国の新疆ウイグル自治区や他の中央アジア諸国に広がるのを防ごうとしている可能性が高い。 これらの問題は、国家安全保障上の懸念と、一帯一路構想(BRI)の大規模な投資を含む、この地域における中国の利益を保護する必要性を引き起こしている。 また、米国の撤退は、中国にアフガニスタン国内でBRIに関連する主要な新規採掘産業プロジェクトの機会を提供する。

技術的分析

chinese-APT-groups-target-afghan-telecommunications-firm-2-1.jpg 図 2: Roshanの侵入で使用されたインフラストラクチャのチャート(出典:Recorded Future)

図2に示すように、侵害されたRoshanサーバーは、特に中国の国家支援グループが一般的に使用するPlugXマルウェアファミリーに関連する、さまざまな敵対的なC2インフラストラクチャと通信していることが確認されています。 次のセクションでは、侵入アクティビティのグループごとの内訳を示します。

レッドフォックストロット

2021年6月、Insikt Groupは、少なくとも2014年以降、南アジアと中央アジアの政府、防衛、通信組織を対象としたRedFoxtrotの活動 について報告 しました。 私たちは、RedFoxtrotのオペレーターと疑われる人物が採用した緩い運用セキュリティを通じて、この活動グループを新疆ウイグル自治区ウルムチにある中国人民解放軍戦略支援部隊(PLASSF)ネットワークシステム部門(NSD)の69010部隊と関連付けました。 このグループは、IceFog、QUICKHEAL、RoyalRoadなど、中国のグループによく関連する特注のマルウェア亜種や、Poison Ivy、PlugX、PCShareなど、中国に関連する脅威アクターがよく使用する他のより広く利用可能なツールを使用しています。

2021年7月と9月に行われた追跡分析では、RedFoxtrotが公開後に大量の運用インフラを放棄したことを特定し、インドとパキスタンの政府および防衛部門で新たに特定された被害者数人について報告しました。 Roshanを標的としたRedFoxtrotの活動は、2021年6月にグループに関する公開報告が行われる前に終了し、以下のPlugXのコマンド&コントロールインフラストラクチャに関連していました。

C2ドメイン 最後に見たC2 IPアドレス アクティビティの最終表示日
randomanalyze.freetcp[.]コム 143.110.250[.]149 2021年4月4日
darkpapa.チキンキラー[.]コム 149.28.139[.]86 2021年5月5日
dhsg123.jkub[.]コム 159.65.152[.]7

143.110.242[.]139

 2021年4月21日

表1: Roshan IntrusionのRedFoxtrot PlugXインジケーター

カリプソAPT

2021年3月、Insikt Groupは、Calypso APTがProxyLogonエクスプロイトチェーン(CVE-2021-26855、CVE-2021-27065)を使用したMicrosoft Exchangeサーバーを標的とした大規模なエクスプロイトキャンペーン を実施していること を報告し ました。このアクティビティで取り上げられているPlugX C2ドメインの1つ、 www.membrig[.]com、 活動を続けており、Roshanを標的とした進行中の侵入活動に関連しています。

C2ドメイン 最後に見たC2 IPアドレス アクティビティの最終表示日
www.membrig[.]コム 103.30.17[.]20 2021年9月12日

表2: Roshanの侵入によるCalypso APT指標

不明な Winnti クラスター

Winntiのバックドアは、APT41/Barium、APT17、そして最近ではInsikt GroupがTAG-22として 追跡している グループなど、中国の国家が支援するいくつかのグループによって歴史的に使用されてきました。 Winntiのバックドアは、 一般的に、中国国家安全部(MSS)に代わって活動する、緩やかにつながった民間請負業者の複数のグループに関連する活動 に関連しています 。 2020年9月、米国司法省(DoJ)は、WinntiマルウェアにアクセスしたAPT41に関連する5人の中国人を、世界中の100人以上の被害者を対象とした広範な侵入作戦を行ったとして 起訴 しました。

Roshanのターゲティングに関連して、標的となったRoshanサーバーとWinnti C2 45.76.144[.]44, 少なくとも2021年8月17日から9月12日まで。 このWinnti C2インフラストラクチャを既知のグループと関連付けることはできていませんが、上記で強調したRedFoxtrotおよびCalypso APTの活動とは別のものである可能性が非常に高いです。

不明なPlugXクラスタ

最後に、同じRoshanメールサーバーが2021年4月から8月にかけて追加のPlugX C2サーバーと通信していることも特定されました。 このPlugX C2, 45.86.162[.]135は、オーストラリアを拠点とするPSホスティングリセラーのCrowncloudにリンクされています。

今後の展望

中国の国家支援グループの中には、中央アジア全域で非常に活発な活動が続いており、任務や指揮系統が異なるためと思われ、しばしば協調性のない方法で活動している。 インドや南シナ海など他の地政学的な火種と同様に、アフガニスタンは、米国の撤退とタリバンの乗っ取り後も、中国政府の情報収集の主要な標的であり続ける可能性が高い。 常にサイバースパイ活動の主要な標的である電気通信組織は、保有するデータのインテリジェンス価値により、これらの地域で特に高いリスクにさらされています。 さらに、中国政府は、一帯一路構想に参加している国々の通信セクターに影響を与えることを 戦略的優先事項 と考えており、グローバルなインターネットガバナンスに関する議論で影響力を増しています。

関連