中国の国家支援活動グループTAG-22がWinntiなどのツールを使ってネパール、フィリピン、台湾を標的に

Recorded Futureは、ネパール、フィリピン、台湾、そして歴史的には香港の通信、学界、研究開発、政府機関を標的とするThreat Activity Group 22(TAG-22)として追跡している、中国の国家支援グループが疑われるグループを特定しました。 この最新の活動では、グループは初期アクセス操作で侵害されたGlassFishサーバーとCobalt Strikeを使用した後、特注のWinnti、ShadowPad、Spyderバックドアに切り替えて、アクターがプロビジョニングした専用のコマンド&コントロールインフラストラクチャを使用して長期アクセスを行った可能性があります。

背景

2020年9月、Recorded Futureのクライアントは、共有カスタムバックドアWinntiとShadowPadのユーザーに関連する活動に関するレポートを受け取りました。 この活動は、香港の大学と空港を対象としていました。 これらの侵入で使用されたインフラストラクチャとマルウェアは、Winnti Groupの活動に関する ESET および NTTグループ による以前のレポートと直接重複しています。 また、 Avastが最近報告した活動と重複するインフラストラクチャとマルウェアが多数あり、モンゴルの主要な認証機関(CA)であるMonPassの公式WebサイトでCobalt Strikeでバックドアされたインストーラーが説明されています。 ShadowPadとWinntiのバックドアはどちらも、複数の中国の活動グループで共有されています。 特にWinntiは、歴史的にAPT41/BariumとAPT17の両方で使用されており、一般的には、中国国家安全部(MSS)に代わって活動する緩やかなつながりを持つ民間請負業者の複数のグループに関連する活動に関連しています。この場合、Insikt Groupは、本レポートと前回のレポートで説明したアクティビティのクラスタをThreat Activity Group 22(TAG-22)という仮名で追跡していますが、FireEyeとMicrosoftがそれぞれAPT41とBariumとしてクラスタ化したアクティビティと歴史的に重複していることに注目しています。

被害者学と侵害されたGlassFishインフラストラクチャの利用

Insikt Groupは、ShadowPad、Winnti、Spyder BackdoorのパッシブDNSデータと敵対者C2検出技術を組み合わせて、TAG-22に関連する既知のインフラストラクチャとドメインを追跡しています。 2021 年 6 月、Recorded Future Network Traffic Analysis(NTA)データを使用して、台湾、ネパール、フィリピンの次の組織を標的とした TAG-22 侵入を特定しました。

• 台湾の工業技術研究院(ITRI)
• ネパールテレコム
• 情報通信技術省(フィリピン)

特に、ITRIのターゲットは、複数の台湾のテクノロジー企業を設立およびインキュベートした技術研究開発機関としての役割により注目に値します。 ITRI のウェブサイトによると、同組織は特にスマートリビング、質の高い健康、持続可能な環境、技術に関連する研究開発プロジェクトに注力しており、その多くは中国の第14次5カ年計画の開発優先事項にマッピングされており、以前にInsikt Groupが将来の中国の経済スパイ活動の可能性が高い分野として強調していた。 近年、中国のグループは、ソースコード、ソフトウェア開発キット、およびチップ設計を取得するために、台湾の半導体業界の複数の組織 を標的 にしています。

これら 4 つの組織が TAG-22 侵入活動の意図された最終標的であった可能性が高いと考えていますが、TAG-22 C2 インフラストラクチャと通信している侵害された可能性のある GlassFish サーバーもいくつか特定しました。 これは、GlassFish Serverソフトウェアバージョン3.1.2を悪用しているグループを特定した最近のNTT の報告と一致しています 以下、侵害されたインフラストラクチャを使用して侵入活動、特にAcunetixスキャナーを使用したスキャン、およびCobalt Strike攻撃セキュリティツール(OST)の展開を行います。 NTTの研究者によると、このグループは侵入の初期段階でこのインフラストラクチャを使用してから、ShadowPad、Spyder、Winntiインプラントを制御するための専用インフラストラクチャに移行した可能性が高いとのことです。 TAG-22は、専用のインフラストラクチャとして、主にNamecheapおよびChoopa(Vultr)仮想プライベートサーバー(VPS)を介して登録されたドメインをホスティングに使用しました。

Nepal Telecom Tradecraftのケーススタディ

TAG-22 C2ドメインvt.livehost[.]Recorded Future Threat Intelligence Platformでライブ配信を行い、Recorded Future C2検出とパッシブDNSデータを組み合わせたShadowpadとSpyderのバックドアへのリンクを特定しました。

図 1: Malicious Infrastructure Verdict for vt.livehost[.]com (Source: Recorded Future)

This allows us to pivot and identify the TAG-22 IP address 139.180.141[.]227, which we have detected being used by the group for both Shadowpad and Spyder command and control.

図 2: Intelligence Card for TAG-22 C2 139.180.141[.]227 (Source: Recorded Future)

図 3: Sample exfiltration event from Nepal Telecom to TAG-22 C2 Infrastructure (Source: Recorded Future)

In addition to identifying additional related malicious infrastructure, using Network Traffic Analysis Events, we were also able to pinpoint specific victims of TAG-22 activity. The screenshot above shows an exfiltration event from the Nepal Telecom IP to the Shadowpad and Spyder backdoor C2 139.180.141[.]227, which hosted the domain vt.livehost[.]live at the time of exfiltration. While the victim IP address is assigned to Nepal Telecom, for telecommunication companies, this is often insufficient for attributing the true victim organization because the majority of infrastructure owned by those entities is leased or provided to its customers. In this case, we can use the new, proprietary VPN and Geographical Information extension alongside other enrichments to try to pinpoint the victim of this activity.

図 4: VPN and Geographical Information extension for Nepal Telecom IP 202.70.66[.]146 (Source: Recorded Future)

このIPアドレスのVPNおよび地理情報拡張機能内のGoogleマップビューをクリックすると、場所を特定し、ネパールテレコムがこの活動の被害者である可能性が高いことを確認できます—その場所は直接カトマンズにあるネパールテレコムの本社を指しています。

図 5: VPN and Geographical Information extension for Nepal Telecom IP 202.70.66[.]146 (Source: Recorded Future)

マルウェア分析

特定されたTAG-22の運用インフラストラクチャを分析することにより、グループがターゲット環境で最初の足場を築くために使用したと思われるいくつかのCobalt Strikeサンプルを特定しました。 また、このグループは、マルウェアの作者がいくつかのサンプルに存在するデバッグ文字列に基づいてFishmasterと呼んだと思われるカスタムのCobalt Strikeローダーも使用していました。

(C:\Users\test\Desktop\fishmaster\x64\Release\fishmaster.pdb)

文字列 "fish_master" は、他の文字列にも存在していました。

最初のアクセスでは、グループは通常、Fishmaster Portable Executable(PE)ファイルに二重の拡張子を使用して、Microsoft OfficeまたはPDFファイルのように見せかけました。

• 2af96606c285542cb970d50d4740233d2cddf3e0fe165d1989afa29636ea11db - 広告協力 - DUKOU ICU.pdf.exe
• C2df9f77b7c823543a0528a28de3ca7acb2b1d587789abfe40f799282c279f7d - 履歷-王宣韓.docx.exe

いずれの場合も、実行後、ユーザーには、台湾国民と思われる人物について以下に示す履歴書のようなおとり文書が表示されます。 また、悪意のあるマクロを使用して Fishmaster ローダーをドロップした例もあります。 サンプルのルアードキュメントはどちらも繁体字中国語で書かれており、履歴書には台湾の大学が取り上げられており、グループが台湾をより広くターゲットにしていることから、これらの特定のルアーのターゲットは台湾の組織である可能性が高いと考えています。

図 6: Decoy documents used in TAG-22 activity

このキャンペーンでTAG-22が使用したCobalt Strikeビーコンペイロードの多くは、 Backoff可鍛性C2プロファイルを使用して設定されており、これには次の高レベルのネットワークトラフィック特性が含まれています。

ユーザーエージェント: "Mozilla/5.0 (Windows NT 6.1;rv:24.0) Gecko/20100101 Firefox/24.0インチ HTTP POST URI (複数選択): /windebug/updcheck.php /エアカナダ/dark.php /aero2/fly.php /windowsxp/updcheck.php /こんにちは/flash.php HTTP GET URI です。 /最新情報

All of the configurations contain the watermark 305419896, which is associated with a cracked version of Cobalt Strike.

今後の展望

現時点では、Insikt Groupは、ESET by Winnti Groupとして定義された広範なグループと重複する独立したアクティビティクラスターとして、TAG-22アクティビティを追跡し続けています。 TAG-22は、ShadowPadやWinntiなど、中国の国家支援グループに固有の共有カスタムバックドアを使用する一方で、Cobalt StrikeやAcunetixなどのオープンソースまたは攻撃的なセキュリティツールも採用しています。 TAG-22が公に報告されたインフラストラクチャを継続的に使用していることは、その運用に関する広範な公開報告にもかかわらず、グループが高度な運用成功を経験していることを示しています。 インシクトグループは、主にアジア内で活動しているTAG-22を特定しています。 しかし、このキャンペーン以外にも、このグループは地理的にも業界的にも比較的広い範囲にターゲットを絞っています。 この広範な標的範囲は、Winntiバックドアの使用と相まって、 APT17や APT41など、いくつかの疑わしいMSS請負業者に典型的です。

侵害の兆候の完全なリストについては、 Insikt GroupのGithubリポジトリを参照してください。