中国国営組織TA413がチベットの標的を追求するために新たな能力を採用
編集者注:以下の記事は、レポート全文の抜粋です。 分析の全文を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。
このレポートでは、中国国家が支援する脅威活動グループであると思われるTA413が実施した複数のキャンペーンについて詳しく説明しています。 この活動は、大規模な自動ネットワークトラフィック分析と専門家による分析を組み合わせて特定されました。 このレポートは、中国のサイバー脅威活動に関連する戦略的および運用上の情報要件を持つ個人や組織、およびチベットの利益に関心のある人道支援組織やその他の組織にとって最も興味深いものとなるでしょう。 ソフォスの同僚たちには、早期に共有し、協力してくれたことに感謝します。
Executive Summary
Recorded Futureのアナリストは、中国の国家支援グループが監視と情報収集の目的で民族的および宗教的少数派のコミュニティを標的にしていることを引き続き観察しています。 以前は、RedAlphaに起因するこの種の活動を取り上げました。 その後、私たちは、オープンソースで一般にTA413と呼ばれるチベット人コミュニティを特に執拗に標的にしている別のグループを特定しました。 2022 年前半に、TA413 は Sophos Firewall 製品 (CVE-2022-1040) を標的としたパッチが適用されたゼロデイ脆弱性を悪用し、発見と公開の直後に「Follina」(CVE-2022-30190) 脆弱性を武器化し、チベットのエンティティを標的としたキャンペーンで LOWZERO として追跡する新たに観測されたカスタムバックドアを使用していることを確認しました。 このように、新しい技術や初期アクセスの方法を迅速に取り入れようとする姿勢は、このグループが「Royal Road RTF」兵器化装置のようなよく知られた報告された能力を継続的に使用していることや、しばしば緩いインフラ調達の傾向とは対照的である。
主な判断
- TA413便は、中国政府を代表してサイバースパイ活動を行っている可能性が高い。 この評価は、同団体が情報収集目的でチベット人コミュニティを執拗に標的にしていること、他の既知の中国国家支援グループ間で共有されるカスタム機能の使用、およびこの帰属を裏付けるその他の技術的証拠に基づいている。
- TA413 は、中国政府が支援する複数のグループにサービスを提供する共有能力開発パイプラインの消費者である可能性が高く、Royal Road RTF ビルダーを継続的に使用していることや、中国に関連する複数のグループによって使用が確認された Sophos Firewall の共有ゼロデイ エクスプロイト、TClient バックドアなどの他の共有マルウェアファミリーへの過去のアクセスなどに代表されます。
- 合計で、Sophos Firewall のゼロデイ脆弱性 CVE-2022-1040 を標的とした、少なくとも 3 つの中国の国家支援グループが観測されました。 より広く言えば、この活動は、中国の国家支援を受けたアクターによるゼロデイ利用が継続的に増加していることと、中国の諜報機関に関連するグループ間でカスタム機能(エクスプロイトを含む)が継続的に共有されていることのさらなる証拠です。
- TA413は、よく知られているまたはオープンソースのツールの使用から逸脱した新しいカスタムバックドア、LOWZEROをドロップします。
背景
TA413の活動は、2020年9月にプルーフポイントによって初めて公に 報告 され、このグループがチベット人コミュニティを執拗に標的にしていることが観察されたほか、COVID-19パンデミックの初期の数ヶ月間にヨーロッパの複数の団体を一時的に標的にしていたことが観察されました。 このアクティビティでは、TA413は、中国の複数の国家支援グループで共有されているRoyal Road RTF兵器化ツールを使用して、Sepulcherとして追跡されるカスタムマルウェアファミリーをロードしました。 より歴史的に見ると、TA413インフラストラクチャと電子メール送信者ドメインは、公開されているExileRAT の活動 に関連しており、チベットのエンティティを標的にしており、LuckyCat Androidマルウェアの使用も行われています。
2021年2月には、FriarFoxとして追跡されるカスタマイズされた悪意のあるMozilla Firefoxブラウザ拡張機能の使用を特徴とする別のTA413アクティビティ が報告され ました。 FriarFoxは、標的となったユーザーのGmailアカウントへのアクセスと制御を許可し、Javascriptの偵察フレームワークScanboxに関連付けられたコマンドアンドコントロールインフラストラクチャに連絡しました。 この活動や、この時期に行われたTA413の関連キャンペーンは、チベット人コミュニティに関連する組織や個人も対象とし、セパルチャーとロイヤルロードの継続的な使用を特徴としていました。
驚くべきことに、TA413の攻撃者は、最大数年にわたってフィッシングメールの送信者アドレス(tseringkanyaq@yahoo[.]com と mediabureauin@gmail[.]com)により、異なるキャンペーン活動をグループに関連付けることができます。 また、TA413と公に報告されているトロピック・トルーパー(キーボーイ、パイレーツ・パンダ)の活動との間には歴史的な相関関係が観測されており、これらのクラスターの間にはある程度の重複があることが示唆されています。 例えば、2018年12月に観測されたチベット人コミュニティを対象としたキャンペーンでは、送信者のメールアドレスmediabureauin@gmail[.]comは歴史的にTA413の活動に関連付けられており、共有されたC2インフラストラクチャはpeopleoffreeworld[.]tkさん ドメインは Cisco Talos LuckyCat キャンペーンで注目されています。 感染チェーンは最終的に、 Citizen Lab 、 Trend Micro 、 PWC によって報告された過去のTropic Trooperの活動に見られるカスタム TClient バックドアをロードしました。TA413とトロピック・トルーパーに起因する活動は、どちらもURI文字列/qqqzqaを使用していた。 TClientの使用は、最近、中国語のグレーウェア「SMS Bomber」にバンドルされたCheck Pointの研究者によって も目撃 されました。
また、トロピック・トルーパーの活動とTA413のキャンペーンとの間には、インフラの重複が観察された。 たとえば、ドメイン tibetnews[.]今日 Citizen Labおよびトレンドマイクロのレポートは、Forewin Telecom IPアドレス118.99.13[.]2019年初頭までは68のドメインが存在し、その後、独自のTA413インフラストラクチャの戦術、技術、手順(TTP)に一致する複数のチベットをテーマにしたドメインをホストしていました。重要なのは、シチズン・ラボの報告書が、キャンペーン名とグループ名を混同したトロピック・トルーパー・クラスターに関する公開報道をめぐる曖昧さを論じていることである。 さらに、中国のサイバースパイ活動の広範な傾向に基づくと、これらのグループが能力やインフラストラクチャのパイプラインを共有しており、TA413はより広範なトロピックトルーパー活動のサブセットである可能性も高いです。
脅威/技術的分析
過去数年間、私たちはチベット人コミュニティに関連する組織や個人を標的としたTA413の活動を執拗に観察してきました。 このグループは時折、より広範なターゲットセットに拡大してきましたが、このコミュニティを標的にすることは常にあり、ほぼ確実にグループの主要な諜報任務の1つを示しています。 また、TA413は、広く公表されているツールセットとインフラストラクチャTTPの使用において、異例の一貫性を示すと同時に、ゼロデイ脆弱性や最近公表された脆弱性を感染チェーンに採用する際の適応性と俊敏性を証明しています。 以下のセクションでは、2022年から現在までに観察された注目すべきTA413キャンペーン活動をいくつか紹介します。
最近のTA413キャンペーン活動の分析
Sophos Firewall Zero-Day の悪用
2022年 3月 25日、ソフォスは、Sophos Firewall のユーザーポータルおよび Webadmin でリモートコード実行 (RCE) を可能にするパッチが適用された認証バイパスの脆弱性 (CVE-2022-1040) に関するアドバイザリ を公開し ました。 アドバイザリによると、ソフォスはこの脆弱性が悪用され、主に南アジア地域の少数の標的組織に初期アクセスを取得することを確認しました。 影響を受けたすべての組織には、ソフォスから直接通知が送られました。 その後、Volexity とソフォスは、CVE-2022-1040 を悪用する中国国家支援の脅威活動グループと思われる複数のグループに関する 調査結果 を発表しました 。私たちは、TA413を含む、このエクスプロイトへのアクセス権を持つ、中国国家が支援する脅威活動グループを合計で少なくとも3つ特定しました。
TA413に起因するCVE-2022-1040の悪用で観察された標的は、グループの典型的な活動と一致していました。 このグループは、Choopa(Vultr)のIPアドレス192.46.213[.]63はエクスプロイト後の活動で、当時複数の既知のTA413ドメインをホストしていました。 エクスプロイト後に使用された2つ目のIPアドレス、134.122.129[.]102, ホストされたAppleStatic[.]コム 活動の時点では、TA413ドメインnewsindian[.]xyzです。
表1:CVE-2022-1040を標的としたTA413にリンクされたエクスプロイト後のインフラストラクチャ(出典:Recorded Future)
Royal Road RTF兵器化装置の継続使用
TA413は、標的型フィッシングの試みで、共有のRoyal Road RTF武器化ツールの亜種を引き続き使用しています。 Royal Roadは、中国の国家支援グループ間で広く共有されており、Microsoft Equation Editorの脆弱性(CVE-2017-11882、CVE-2018-0798、CVE-2018-0802)を悪用することを目的とした悪意のあるRTFファイルの作成が許可されています。2022 年 5 月、Google Firebase サービスでホストされている Royal Road サンプルへのリンクを含む、チベットの組織に対する標的型スピアフィッシングの試みを特定しました。 このグループは送信者ドメインtibet[.]賭ける これは以前、グループ特有のインフラストラクチャ特性に基づいてTA413の活動と関連付けられていましたが、プルーフポイントのセキュリティ研究者もこのキャンペーンをグループ によるものとしていました 。
表2:Royal Roadを使用して兵器化されたTA413 MalDoc(出典:Recorded Future)
RTF は、既知の Royal Road バリアントに関連付けられた XOR キー B2 A6 6D FF を使用してエンコードされた dcnx18pwh.wmf という名前のファイルをドロップします。 デコードされたペイロード(028e07fa88736f405d24f0d465bc789c3bcbbc9278effb3b1b73653847e86cf8)は、最終的にカスタムバックドアをロードし、LOWZEROとして追跡し、ハードコードされたC2 IPアドレス45.77.19[.]TCP ポート 110 経由の 75。 LOWZEROの詳細な分析は、マルウェア分析:TA413のカスタムLOWZEROバックドアのセクションに含まれています。
図1:TA413便が使用したチベット語のRoyal Roadルアー(出典:Recorded Future)
MSDT の脆弱性 CVE-2022-30190 の悪用 (Follina)
2022年5月30日、チベット亡命政府に関連する組織を標的としたスピアフィッシングの試みを特定しました。 この活動では、攻撃者は中央チベット政府になりすまし、チベット人コミュニティ内の女性写真家を支援することを目的とした写真助成金のテーマを使用しました。 フィッシングメールは再び送信者ドメインtibet[.]賭ける。 このフィッシングメールは、Google Firebaseサービスtibet-gov.web[.]アプリ これは、Proofpointによるその後のオープンソース レポート でも参照されています。
フィッシングメールは2つの波で送信され、最初の波はMicrosoft Wordの.docxにリンクされていました Follina の脆弱性を利用しようとする Google Firebase サービスでホストされている添付ファイル、および 2 つ目の添付ファイルは、悪意のある Microsoft Word の添付ファイルとおとり.pngの両方を含む .RAR アーカイブ ファイルにリンクされたものです 画像ファイル。
表3:悪意のあるTA413.docx Follina の脆弱性を悪用するファイル(出典: Recorded Future)
図2:Google FirebaseドメインでホストされているRARファイルの内容:おとりPNGファイル(左)と悪意のある.docxの内容 ファイル(右)(出典:Recorded Future)
Word文書を開くと、リモートWebサーバーからHTMLファイルを取得しようとします http://65.20.75[.]158/poc.html。 ダウンロードされた HTML ファイルは、ms-msdt MSProtocol URI スキームを使用して Follina エクスプロイトをトリガーし、最終的に Base64 でエンコードされた PowerShell コマンドを実行して、 http://65.20.75[.]158/0524x86110.exe。 分析時点では、65.20.75[.]158は、最近登録されたチベットをテーマにしたドメインt1bet[.]NETとAirJaldi[.]オンライン これは、インドのISPであるAirJaldiになりすましています。 特に、AirJaldiは、複数のチベットのエンティティにインターネットアクセスを提供するダラムシャーラネットワーク を運営しています 。
図3:TA413がBase64でエンコードされたPowerShellコマンドを実行し、後続のペイロードをダウンロードするために使用するms-msdtコマンド(出典:Recorded Future)
図4:デコードされたPowerShellコマンド(出典:Recorded Future)
ダウンロードしたファイル0524x86110.exeはUPXパックされており、SHA256ファイルハッシュ5217c2a1802b0b0fe5592f9437cdfd21f87da1b6ebdc917679ed084e40096bfdです。 解凍されたUPXファイルもLOWZEROをロードし、Choopa C2のIPアドレス45.77.45[.]C2 over port TCP 110 の場合は 222。 特に、45.77.45[.]222 ドメインTibetYouthCongress[.]この活動の時点では、私たちの分析も以前にTA413に起因するとしていました。
TA413で使用されているその他の工具
TA413の活動をさらに分析した結果、このグループがオープンソースのプロキシツールである Stowawayを使用している可能性が高いという証拠も特定しました。 これは、IPアドレス134.122.129[.]38, これは、このIPがTA413ドメインfreetibet[.]で。 注目すべきは、Kasperskyの最近の 報告 によると、Stowawayは他の中国の国家支援グループによっても使用されていることが観察されているということです。
さらに、過去のスキャンデータを通じて、TA413が制御するサーバー172.105.35[.]2022年6月には111件。 これは発見時にはアクセスできなくなりましたが、存在していたファイルの 1 つに fscan_amd64 という名前が付けられていました。 これは、同名のファイルを使用するオープンソースの内部ネットワークスキャンツール「 fscan」をグループが使用していることを示していると思われます。 このツールは、トレンドマイクロの 研究者によって、中国の国家支援を受けた別の疑わしいアクターであるTAG-22(Bronze University、Earth Lusca、Fishmonger、Red Dev 10)によっても使用されていることが確認されています。
被害者学
これらの最近のキャンペーンのすべてで、TA413は、チベット亡命政府に関連する組織を含む、チベット人コミュニティに関連する組織を執拗に標的にしていることが確認されています。 これはグループの活動の大部分を占めているように見えますが、オープンソースの報告では、2020年のCOVID-19の初期段階にヨーロッパの外交機関や立法機関、非営利の政策研究機関、経済問題を扱うグローバル組織を対象とした短命なTA413活動も 特定 されています。 また、Recorded Future Network Traffic Analysis(NTA)を使用して、ネパールの複数の政府機関に関連するインフラストラクチャと、2022年上半期にTA413 C2インフラストラクチャと定期的に通信していたインドのインターネットサービスプロバイダー(ISP)の企業ネットワークを特定しました。
インフラストラクチャ分析
TA413は、運用インフラストラクチャの調達と武器化の際に、過去の公開報告に沿った一貫したインフラストラクチャTTPのセットを引き続き使用します。このグループは主にGoDaddyを通じてドメインを登録しており、ホスティングにはForewin Telecom、Choopa(Vultr)、Linodeの組み合わせを使用していました。 特に、特定されたTA413ドメインの大部分は、登録者組織名「asfasf」も使用していましたが、これはおそらく左手のキーボードのホームキーが一貫してキーボードを歩くためと思われます。 これらのTTPは、vaccine-icmr[.]ネット、過去のProofpoint レポートで紹介されています。
また、TA413は、非政府組織(チベット民族会議やチベット青年会議など)やメディア組織( チベットタイムズなど)など、チベットに関連する組織をスプーフィングしたドメインを主に使用しています。 また、このグループは、リモートワークの雇用サイト「FlexJobs」やインドのニュース会社「Rediff News」など、より広範な組織になりすましたドメインも登録しています。
表4:特定の組織を偽装するTA413ドメイン(出典:Recorded Future)
マルウェア分析:TA413のカスタムLOWZEROバックドア
LOWZEROはバックドアで、感染したマシンをプロファイリングし、データをコマンド&コントロールサーバーに送信した後、追加のモジュールを受け取り、実行します。 サンドボックス環境内での実行中に追加のモジュールは観察されなかったため、フィンガープリントされたマシンがアクターにとって興味深い場合にのみ、モジュールが配信および実行されると考えています。 これらのモジュールは、LOWZEROに存在する基本的なバックドア機能を拡張したものと思われます。 LOWZEROは、ネットワークリスナーを介して受信した通信を、以前に受信したデータに基づいて定義された別の接続を介してプロキシすることもできます。
次の分析は、SHA256ハッシュ5217c2a1802b0b0fe5592f9437cdfd21f87da1b6ebdc917679ed084e40096bfdのマルウェアのサンプルに対して実行されました
実行するレイヤー
LOWZERO実行チェーンには、複数のレイヤー/ステージが含まれています。
- ステージ 1 — 埋め込まれた DLL ファイルを解凍します (ステージ 2) XOR で復号化して実行します
- ステージ 2 — rundll32.exe をサスペンド状態で起動し、ステージ 3 DLL を注入します。次に、ステージ 3 DLL によって公開される DllEntryPoint とエクスポートされた関数 F を呼び出します
- ステージ 3 — エクスポートされた関数 F にはバックドア機能が含まれています
図5:LOWZEROのロードプロセス(出典:Recorded Future)
コンフィグの内訳
LOWZEROの設定情報は、Stage 3のエクスポートされた関数 Fにバッファとして渡されます。設定データは暗号化され、圧縮されます。 圧縮解除アルゴリズムは、 not 演算子が適用されてバッファーの暗号化が解除された後に適用されます。 解凍アルゴリズムは、おそらくLZF(Lempel-Ziv-Free)です。 この同じ解凍アルゴリズムは、Stage 2 dllの解凍にも使用され、C2通信の暗号化/復号化スキームの一部として使用されます。
図6:暗号化および圧縮された構成データ(出典:Recorded Future)
図 7 は、復号化および解凍後の構成情報バッファの内容を示しています。
図 7: 復号化および解凍された構成データ (出典: Recorded Future)
キャンペーン ID はミューテックスとして使用され、設定データから抽出できます。 このサンプルに含まれるキャンペーン ID は 8C9BB583-7C26-4990-AA73-E66F594A5AD5 です。
この段階では、C2 情報はまだ難読化されています。 バイナリの not 演算子は、文字列の難読化を部分的に解除するために各バイトに適用されます。 次に、カスタムアルファベット Vhw4W3uB5OcY8qrp21NxbHs7ynSJFoPTEdAUtv9QagIDl6MR0KZkmjfeiCzGXL+/ を使用して文字列をbase64デコードし、最終結果を取得します。 最終結果は、 表 5 に示すように抽出および解析されます。
表5:抽出されたC2値(出典:Recorded Future)
C2コミュニケーションズ
この LOWZERO のサンプルは、非標準の TLS ポート (TCP 110) 経由の TLS バージョン 1.1 接続を模倣しています。 ただし、TLS 接続はカスタムであり、 プロトコル標準に準拠していないため、表面的には TLS のように見えるように作成された可能性があります。 これにより、通信が他のTLSトラフィックに溶け込むことができ、アクターは証明書の調達や管理について心配する必要がなくなります。
通信は、 標準の TLS ハンドシェイク コンポーネントである Client Hello と Server Hello から始まります。 サーバ キー交換中に、C2 は b113bc93dcd87d350850b7fd643c2c5aee678c3dcb717d1296b0cf57c749f0ab の EC (楕円曲線) Diffie-Hellman 公開キーを渡します。ここで確認した C2 は両方とも同じ公開鍵を使用していることに注意することが重要です。
TLS helloパケットが送信された後、LOWZEROはEC Diffie-Hellman公開鍵をC2と交換しますが、これはバックドアが実行時にランダムに生成するため、各C2セッションは異なる公開鍵を持つことになります。 図8 は、LOWZEROバックドアからC2へのTLSバージョン1.1のハンドシェイクを示しています。
図8:LOWZERO TLSバージョン1.1のハンドシェイク(出典:Recorded Future)
この時点まで、C2接続は標準のTLS 1.1ハンドシェイクに従っているように見えました。 TLSの標準的な実装では、クライアント/サーバー間でデータを交換する場合、非対称暗号化を使用して対称キーを安全に交換し、その後、より高速な対称暗号化に切り替えるというプロセスです。 ただし、これはLOWZEROがプロトコルを破り、対称キーを安全に転送するために公開鍵暗号化を使用しない場所です。 代わりに、Client Hello パケットからのランダム バイトと Server Hello パケットからのランダム バイトが XOR されて、C2 通信の復号化/暗号化に使用される AES 暗号化アルゴリズムのキーが導出されます。
図9:LOWZERO AES暗号化/復号化キーの作成(出典:Recorded Future)
LOWZERO初期化パケット
TLSハンドシェイクとAESキーの導出後、LOWZEROは次の基本的なシステム情報とユーザー情報をC2に送信します。
- ユーザー名
- キャンペーンID
- プロセス名とプロセス ID
- IPアドレス
- ホスト名
次に、データは以下のLOWZEROカスタムスキームを使用してエンコードおよび暗号化されます( 図10にも示されています)。
- LZF圧縮
- 0x2b との XOR 演算
- カスタムアルファベットでBase64エンコード
- ランダムに生成されたキーによるAES暗号化(C2送信で提供)
- クライアント/サーバランダムバイトキーのXORから導出されたキーでAES暗号化
トラフィックの復号化は、上記の操作を元に戻すだけで可能です。
図10:LOWZERO C2暗号化方式(出典:Recorded Future)
図 11 は、C2 との間で復号化された AES トラフィックを表す C2 通信構造を示しています。 応答のコア部分は、コマンド (0x06) とコマンド データ (0x0C) です。
図11:LOWZERO C2の通信構造(出典:Recorded Future)
LOWZERO コマンド
LOWZERO には、一度に 1 つ以上のコマンドを受け取り (コマンド構造については 図 11 を参照)、各コマンドを一度に 1 つずつ実行する機能があります。 オフセット 0x10005090 の関数は、コマンドを解析して実行する前に、コマンド セクションの先頭にある ASCII 値 PK を表すバイトの存在を確認するヘッダー チェックを処理します。 コマンドの選択肢は次のとおりです。
表 6: LOWZERO コマンド (出典: Recorded Future)
C2からモジュールをリカバリできなかったため、モジュールがLOWZEROにどのような機能を追加するのかを判断できていません。
弱いC2プロトコル
AESキーはTLSハンドシェイク自体から派生しているため、キャプチャされた通信を復号化することができました。 これにより、送信されたコマンドを確認でき、被害者のマシンに配信されたモジュールを抽出する機会が得られます。 詳細については 、付録 C を参照してください。
軽減策
- 侵入検知システム (IDS)、侵入防止システム (IPS)、または任意のネットワーク防御メカニズムを設定して、 付録 A でリンクされている外部 IP アドレスとドメインとの間の接続試行を警告し、確認後にブロックすることを検討してください。
- セキュリティ監視および検出機能が、外部に面したすべてのサービスとデバイスに対して配置されていることを確認します。 これらの外部向けサービスの悪用後に発生する可能性のある後続のアクティビティ(Webシェル、バックドア、リバースシェルのデプロイなど)を監視します。
- 脆弱性のパッチ適用にはリスクベースのアプローチを採用し、リスクの高い脆弱性と、Recorded Future Vulnerability Intelligence モジュールを通じて決定された野放しの脆弱性を優先します。
- 組織やベンダーになりすますタイポスクワットドメインなど、ドメインの不正使用を監視するには、Recorded Future Brand Intelligence モジュールを使用します。
- 付録Bで取り上げたMITRE ATT&CK技術の検出と強化のカバレッジを採用します。
今後の展望
私たちの調査では、2022年前半に中国政府が支援する脅威活動グループTA413がチベット人コミュニティを執拗に標的にしていたことが特定されました。 このグループは、試行錯誤を重ねたTTPに依存しながら、新しい機能を引き続き組み込んでいます。 特に、グループが採用している一部のツールとインフラストラクチャ管理の実践との間には大きな違いがあることは、マルウェアやエクスプロイトの開発に関与するチームと運用を行うチームとが分かれていることを示している可能性があります。 TA413は主にチベットの標的に焦点を当てていますが、トロピック・トルーパー(Keyboy、Pirate Panda)として知られるグループと複数の歴史的なインフラストラクチャとマルウェアのつながりがあり、ある程度の運用上の重複を示しています。 より広くは、TA413がゼロデイ脆弱性と最近公開された脆弱性の両方を採用していることは、中国のサイバースパイグループにおける広範な傾向を示しており、エクスプロイトは一般に公開される前に、複数の異なる中国の活動グループによって定期的に使用されています。
関連