Insiktレポート

脆弱なMicrosoft Exchangeサーバーを悪用する中国のグループCalypso APTの疑い

投稿: 2021年3月25日
作成者 : Insikt Group

insikt-logo-blog.png

Beginning on March 1, 2021, Recorded Future’s Insikt Group identified a large increase in victim communications to PlugX command and control (C2) infrastructure publicly attributed to the suspected Chinese state-sponsored group Calypso APT. We believe that this activity is highly likely linked to the exploitation of recently disclosed Microsoft Exchange vulnerabilities (also known as ProxyLogon — CVE-2021-26855, CVE-2021-27065). Our observations align with recent reporting by ESET in which the group was identified targeting vulnerable Exchange servers to deploy a web shell and ultimately load the PlugX malware post-exploitation. 

標的となった組織は地理的に広範囲に及び、複数の業界をカバーしていたため、標的化は日和見主義的である可能性が高いという 幅広い業界のコメント を裏付けています。 特定されたエクスプロイト後の活動の被害者には、オーストラリア、チェコ共和国、ドイツ、インド、イタリア、カザフスタン、マケドニア、ネパール、スイス、ウクライナ、米国の地方自治体や中央政府、ソフトウェア、防衛、金融、IT、法律、製造組織が含まれていました。 私たちは、防衛および航空宇宙セクターにサービスを提供する米国の電子部品販売業者、戦略的防衛セクターに拠点を置くインドの重工業会社、米国とオーストラリアの地方政府、北マケドニアの政府部門など、影響を受ける可能性のあるいくつかの価値の高いターゲットを特定しました。 

Insikt Groupが特定した活動は、脆弱性が公開される前の2021年3月1日に始まりました。 これは、グループがMicrosoftの開示のゼロ日前にエクスプロイトにアクセスした可能性が高いことを示しており、 ESETが行った同様の評価を裏付けています。

インフラストラクチャとマルウェアの分析

Insikt Groupは、 PTSecurity および ESETによるCalypso APTの公開レポートと重複するPlugX C2サーバーと関連インフラストラクチャのクラスターを追跡しています。 このインフラストラクチャ クラスターに関連する活動について初めてお客様に報告したのは、2020 年 8 月、アフガニスタンの通信プロバイダーと政府機関を標的とした侵入活動の疑いが特定された後でした。 識別されたクラスタの概要を次の表 1 に示します。

現在のホスティングIP ドメイン レジストラ 登録
91.220.203[.]197 () 

【プラグX C2】

 www.membrig[.]コム NAMECHEAP INC(インサイデント) 2018-12-13
103.30.17[.]44 () www.draconess[.]コム NAMECHEAP INC(インサイデント) 2018-02-05
91.220.203[.]86 () 

【プラグX C2】

 www.rosyfund[.]コム 広東省NaiSiNiKe情報技術有限公司 2018-12-13
45.144.242[.]216 () 

【プラグX C2】

 www.sultris[.]コム NAMECHEAP INC(インサイデント) 2018-02-02
91.220.203[.]86 () 

【プラグX C2】

 www.yolkish[.]コム NAMECHEAP INC(インサイデント) 2018-01-29
45.76.84[.]36 

()

 mail.prowesoo[.]コム NAMECHEAP INC(インサイデント) 2018-02-02
45.76.84[.]36 

()

 www.waxgon[.]コム NAMECHEAP INC(インサイデント) 2018-01-31
107.248.220[.]246

()

 www.rawfuns[.]コム1 ニセニックインターナショナルグループ株式会社 2018-02-05
45.76.84[.]36 

()

 mail.aztecoo[.]コム ニセニックインターナショナルグループ株式会社 2018-02-05

表1: Suspected Calypso APT infrastructure cluster

PlugXクラスターを調査することで、Calypso APTのインフラストラクチャの戦術、技術、および手順(TTP)について、次の高レベルの観察を行うことができました。

  • 大半のドメインは「www」を使用していました。 C2 のサブドメインで、ルート ドメインの DNS レコードがない
  • ほとんどのドメインはレジストラNameCheapを使用して登録されました
  • C2ドメインは2年以上運用され続けました
  • 運用インフラストラクチャは、次の場所でホストされています。
    • M247株式会社
    • グローバルネットワークトランジットリミテッド
    • ペグテック株式会社
    • ウェブワークスインドPvt。 株式 会社
    • Choopa合同会社

Insikt Groupは、特定されたインフラストラクチャにリンクされた次のマルウェアサンプルを特定し、そのうち2つはESETのレポートに記載されていました。 現時点では、これらのサンプルについて広範な分析は行っていません。

ファイル名 SHA256ハッシュ マルウェアの亜種 C2 IP/ドメイン
FORTITRAY.EXE 913FA95829BA3F77C0673F0AF5C6AFAEB6E6A2BDD0E98C186DF65F1D27B9DC1F 不明 www.yolkish[.]コム
msf.exe F32866258B67F041DC7858A59EA8AFCD1297579EF50D4EBCEC8775C816EB2DA9 メータープレター 45.144.242[.]216 
SRVCONです。OCXの 5D803A47D6BB7F68D4E735262BB7253def6AAAB03122B05FEC468865A1BABE32 PlugXローダー 卵黄[.]コム とrawfuns[.]コム
rapi.dll ab678bbd30328e20faed53ead07c2f29646eb8042402305264388543319e949c ホワイトバードローダー 卵黄[.]コム とrawfuns[.]コム

CalypsoによるMicrosoft Exchangeサーバーと被害者の標的

chinese-group-calypso-exploiting-microsoft-exchange-2-1.png 図 1: Timeline of PlugX C2 91.220.203[.]86 (Source: Recorded Future)

Recorded Future first identified the IP 91.220.203[.]86 as a suspected PlugX C2 on November 14, 2020. Using Recorded Future Network Traffic Analysis (NTA), we detected a large increase in activity linked to this C2 server from victim IP addresses hosting Microsoft Exchange services from March 1, 2021 onwards. We believe that this increase in activity is very likely linked to the widespread exploitation of recently publicized vulnerabilities impacting Microsoft Exchange, which were first disclosed on March 2, 2021.

2021年3月10日、ESETは、主に中国政府が支援するさまざまな脅威活動グループが、攻撃者がインターネットに接続されたMicrosoft Exchangeサーバーに初期アクセスできるようにする事前認証リモートコード実行(RCE)脆弱性チェーンを悪用していること を報告し ました。

  • CVE-2021-26855 [ProxyLogon]
  • CVE-2021-26857
  • CVE-2021-26858
  • CVE-2021-27065

First reported by Microsoft on March 2, exploitation of these vulnerabilities was initially linked to a China-based activity group tracked as HAFNIUM by Microsoft Threat Intelligence Center (MSTIC). ESET’s findings indicate that the vulnerabilities began to be exploited by additional Chinese activity groups, including Tick, LuckyMouse, and Calypso APT, in late February and early March. This activity occurred prior to the public disclosure of these vulnerabilities and suggests that these additional Chinese activity groups also had access to the exploit as a zero day. While initially exploited by HAFNIUM in “limited and targeted attacks”, from at least February 27 onwards, the vulnerabilities were subject to mass exploitation by an increasing number of groups (1,2,3). 

This aforementioned PlugX C2 IP 91.220.203[.]86 currently hosts the domain www[.]yolkish[.]com, referenced within the aforementioned ESET reporting on the exploitation of Microsoft Exchange vulnerabilities. In this activity, the group was identified dropping web shells in the following locations following exploitation:

C:\inetpub\wwwroot\aspnet_client\client.aspx

C:\inetpub\wwwroot\aspnet_client\discover.aspx

軽減策

Using this web shell access, Calypso APT was then identified loading the aforementioned PlugX and Whitebird malware samples through DLL search-order hijacking using legitimate executables. Insikt Group identified over 30 likely victim organizations communicating with the 91.220.203[.]86 PlugX C2 across a range of geographies and industry verticals, including local and national government, software, defense, finance, IT, legal, and manufacturing organizations in Australia, Czech Republic, Germany, India, Italy, Kazakhstan, Macedonia, Nepal, Switzerland, Ukraine, and the United States. Several of these organizations were not typical targets of cyber espionage activity, supporting wider industry commentary that much of the targeting is likely opportunistic.

特定された Calypso APT アクティビティに関連するアクティビティを検出して軽減するには、次の対策をお勧めします。 

  • 侵入検知システム (IDS)、侵入防止システム (IPS)、またはネットワーク防御メカニズムを設定して、付録に記載されている外部 IP アドレスとドメインに対するアラートを発し、確認した上で、接続試行をブロックすることを検討してください。
  • Recorded Futureは、悪意のあるサーバー設定をプロアクティブに検出し、コマンドアンドコントロール セキュリティコントロールフィードに記録します。 コマンド&コントロールリストには、CalypsoやPlugXなどの中国の国家支援の脅威活動グループが使用するツールが含まれています。 Recorded Futureクライアントは、これらのC2サーバーにアラートを発し、ブロックして、アクティブな侵入の検出と修復を可能にする必要があります。
  • オンプレミスの Microsoft Exchange を実行している場合は、 最新の更新プログラム がインストールされ、パッチが検証されていることを確認してください。
  • Following deployment of updates, follow industry guidance on hunting for web shells installed on Exchange servers post-exploitation (1, 2).

侵害の兆候

読者は、公開されているInsikt GroupのGithubリポジトリ https://github.com/Insikt-Group/Research で、以下の指標にアクセスできます。

関連ニュース&研究