>
Insiktレポート

脆弱なMicrosoft Exchangeサーバーを悪用する中国のグループCalypso APTの疑い

投稿: 2021年3月25日
作成者 : Insikt Group

insikt-logo-blog.png

2021年3月1日以降、Recorded FutureのInsikt Groupは、中国の国営グループであるCalypso APTの疑いがあると公にされているPlugXのコマンド&コントロール(C2)インフラストラクチャへの被害者の通信が大幅に増加していることを確認しました。 この活動は、 最近公開された Microsoft Exchangeの脆弱性(別名ProxyLogon:CVE-2021-26855、CVE-2021-27065)の悪用に関連している可能性が高いと考えています。 私たちの観察結果は、 ESET による最近のレポートと一致しており、このグループは脆弱なExchangeサーバーを標的にしてWebシェルを展開し、最終的にエクスプロイト後にPlugXマルウェアをロードすることが特定されました。 

標的となった組織は地理的に広範囲に及び、複数の業界をカバーしていたため、標的化は日和見主義的である可能性が高いという 幅広い業界のコメント を裏付けています。 特定されたエクスプロイト後の活動の被害者には、オーストラリア、チェコ共和国、ドイツ、インド、イタリア、カザフスタン、マケドニア、ネパール、スイス、ウクライナ、米国の地方自治体や中央政府、ソフトウェア、防衛、金融、IT、法律、製造組織が含まれていました。 私たちは、防衛および航空宇宙セクターにサービスを提供する米国の電子部品販売業者、戦略的防衛セクターに拠点を置くインドの重工業会社、米国とオーストラリアの地方政府、北マケドニアの政府部門など、影響を受ける可能性のあるいくつかの価値の高いターゲットを特定しました。 

Insikt Groupが特定した活動は、脆弱性が公開される前の2021年3月1日に始まりました。 これは、グループがMicrosoftの開示のゼロ日前にエクスプロイトにアクセスした可能性が高いことを示しており、 ESETが行った同様の評価を裏付けています。

インフラストラクチャとマルウェアの分析

Insikt Groupは、 PTSecurity および ESETによるCalypso APTの公開レポートと重複するPlugX C2サーバーと関連インフラストラクチャのクラスターを追跡しています。 このインフラストラクチャ クラスターに関連する活動について初めてお客様に報告したのは、2020 年 8 月、アフガニスタンの通信プロバイダーと政府機関を標的とした侵入活動の疑いが特定された後でした。 識別されたクラスタの概要を次の表 1 に示します。

現在のホスティングIP ドメイン レジストラ 登録
91.220.203[.]197 () 

【プラグX C2】

 www.membrig[.]コム NAMECHEAP INC(インサイデント) 2018-12-13
103.30.17[.]44 () www.draconess[.]コム NAMECHEAP INC(インサイデント) 2018-02-05
91.220.203[.]86 () 

【プラグX C2】

 www.rosyfund[.]コム 広東省NaiSiNiKe情報技術有限公司 2018-12-13
45.144.242[.]216 () 

【プラグX C2】

 www.sultris[.]コム NAMECHEAP INC(インサイデント) 2018-02-02
91.220.203[.]86 () 

【プラグX C2】

 www.yolkish[.]コム NAMECHEAP INC(インサイデント) 2018-01-29
45.76.84[.]36 

()

 mail.prowesoo[.]コム NAMECHEAP INC(インサイデント) 2018-02-02
45.76.84[.]36 

()

 www.waxgon[.]コム NAMECHEAP INC(インサイデント) 2018-01-31
107.248.220[.]246

()

 www.rawfuns[.]コム1 ニセニックインターナショナルグループ株式会社 2018-02-05
45.76.84[.]36 

()

 mail.aztecoo[.]コム ニセニックインターナショナルグループ株式会社 2018-02-05

表1: Calypso APT インフラストラクチャ クラスタの疑い

PlugXクラスターを調査することで、Calypso APTのインフラストラクチャの戦術、技術、および手順(TTP)について、次の高レベルの観察を行うことができました。

  • 大半のドメインは「www」を使用していました。 C2 のサブドメインで、ルート ドメインの DNS レコードがない
  • ほとんどのドメインはレジストラNameCheapを使用して登録されました
  • C2ドメインは2年以上運用され続けました
  • 運用インフラストラクチャは、次の場所でホストされています。
    • M247株式会社
    • グローバルネットワークトランジットリミテッド
    • ペグテック株式会社
    • ウェブワークスインドPvt。 株式 会社
    • Choopa合同会社

Insikt Groupは、特定されたインフラストラクチャにリンクされた次のマルウェアサンプルを特定し、そのうち2つはESETのレポートに記載されていました。 現時点では、これらのサンプルについて広範な分析は行っていません。

ファイル名 SHA256ハッシュ マルウェアの亜種 C2 IP/ドメイン
FORTITRAY.EXE 913FA95829BA3F77C0673F0AF5C6AFAEB6E6A2BDD0E98C186DF65F1D27B9DC1F 不明 www.yolkish[.]コム
msf.exe F32866258B67F041DC7858A59EA8AFCD1297579EF50D4EBCEC8775C816EB2DA9 メータープレター 45.144.242[.]216 
SRVCONです。OCXの 5D803A47D6BB7F68D4E735262BB7253def6AAAB03122B05FEC468865A1BABE32 PlugXローダー 卵黄[.]コム とrawfuns[.]コム
rapi.dll ab678bbd30328e20faed53ead07c2f29646eb8042402305264388543319e949c ホワイトバードローダー 卵黄[.]コム とrawfuns[.]コム

CalypsoによるMicrosoft Exchangeサーバーと被害者の標的

chinese-group-calypso-exploiting-microsoft-exchange-2-1.png 図 1: PlugX C2 91.220.203のタイムライン[.]86 (出典:Recorded Future)

Recorded Futureは最初にIP91.220.203[.]86 2020年11月14日にPlugX C2の疑いとして。 Recorded Future Network Traffic Analysis(NTA)を使用して、2021年3月1日以降、Microsoft Exchangeサービスをホストしている被害者のIPアドレスから、このC2サーバーにリンクされたアクティビティが大幅に増加していることを検出しました。 この活動の増加は、2021年3月2日に初めて 公開 されたMicrosoft Exchangeに影響を与える脆弱性が最近公開されたことと関連している可能性が非常に高いと考えています。

2021年3月10日、ESETは、主に中国政府が支援するさまざまな脅威活動グループが、攻撃者がインターネットに接続されたMicrosoft Exchangeサーバーに初期アクセスできるようにする事前認証リモートコード実行(RCE)脆弱性チェーンを悪用していること を報告し ました。

  • CVE-2021-26855 [プロキシログオン]
  • CVE-2021-26857
  • CVE-2021-26858
  • CVE-2021-27065

3 月 2 日に Microsoft によって最初に 報告 されたこれらの脆弱性の悪用は、当初、Microsoft Threat Intelligence Center(MSTIC)によって HAFNIUM として追跡されている中国を拠点とする活動グループに関連付けられていました。 ESETの 調査結果 は、2月下旬から3月上旬にかけて、Tick、LuckyMouse、Calypso APTなどの中国の他の活動グループによって脆弱性が悪用され始めたことを示しています。 この活動は、これらの脆弱性が公開される前に発生しており、これらの追加の中国の活動グループもゼロデイとしてエクスプロイトにアクセスしていたことを示唆しています。 HAFNIUMは当初、「限定的かつ標的型攻撃」で悪用しましたが、少なくとも2月27日以降、脆弱性はますます多くのグループによる大規模な悪用 の対象 となりました(123)。 

この前述のPlugX C2 IP 91.220.203[.]86 現在、ドメインwww[.]卵黄[.]com、 前述のESETのMicrosoft Exchangeの脆弱性の悪用に関する レポート 内で参照されています。 このアクティビティでは、このグループがエクスプロイト後に次の場所にWebシェルをドロップしていることが確認されました。

C:\inetpub\wwwroot\aspnet_client\client.aspx

C:\inetpub\wwwroot\aspnet_client\discover.aspx

軽減策

このWebシェルアクセスを使用して、Calypso APTは、正当な実行可能ファイルを使用したDLL検索順序ハイジャックを通じて、前述のPlugXおよびWhitebirdマルウェアサンプルをロードしていることを特定しました。 Insikt Groupは、91.220.203[.]86 PlugX C2は、オーストラリア、チェコ共和国、ドイツ、インド、イタリア、カザフスタン、マケドニア、ネパール、スイス、ウクライナ、米国の地方自治体、中央政府、ソフトウェア、防衛、金融、IT、法律、製造組織など、さまざまな地域や業界に対応しています。 これらの組織のいくつかは、サイバースパイ活動の典型的な標的ではなかったため、標的の多くが日和見主義的である可能性が高いという 業界の幅広い論評 を裏付けています。

特定された Calypso APT アクティビティに関連するアクティビティを検出して軽減するには、次の対策をお勧めします。 

  • 侵入検知システム (IDS)、侵入防止システム (IPS)、またはネットワーク防御メカニズムを設定して、付録に記載されている外部 IP アドレスとドメインに対するアラートを発し、確認した上で、接続試行をブロックすることを検討してください。
  • Recorded Futureは、悪意のあるサーバー設定をプロアクティブに検出し、コマンドアンドコントロール セキュリティコントロールフィードに記録します。 コマンド&コントロールリストには、CalypsoやPlugXなどの中国の国家支援の脅威活動グループが使用するツールが含まれています。 Recorded Futureクライアントは、これらのC2サーバーにアラートを発し、ブロックして、アクティブな侵入の検出と修復を可能にする必要があります。
  • オンプレミスの Microsoft Exchange を実行している場合は、 最新の更新プログラム がインストールされ、パッチが検証されていることを確認してください。
  • 更新プログラムの展開後、エクスプロイト後に Exchange サーバーにインストールされた Web シェルのハンティングに関する業界ガイダンスに従います (12)。

侵害の兆候

読者は、公開されているInsikt GroupのGithubリポジトリ https://github.com/Insikt-Group/Research で、以下の指標にアクセスできます。

関連