中国国営組織TA413がチベットの標的を追求するために新たな能力を採用

編集者注:以下の記事は、レポート全文の抜粋です。 分析の全文を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

このレポートでは、中国国家が支援する脅威活動グループであると思われるTA413が実施した複数のキャンペーンについて詳しく説明しています。 この活動は、大規模な自動ネットワークトラフィック分析と専門家による分析を組み合わせて特定されました。 このレポートは、中国のサイバー脅威活動に関連する戦略的および運用上の情報要件を持つ個人や組織、およびチベットの利益に関心のある人道支援組織やその他の組織にとって最も興味深いものとなるでしょう。 ソフォスの同僚たちには、早期に共有し、協力してくれたことに感謝します。

Executive Summary

Recorded Future's analysts continue to observe targeting of ethnic and religious minority communities by Chinese state-sponsored groups for surveillance and intelligence-gathering purposes. Previously, we covered activity of this nature that we attributed to RedAlpha. We have since identified an additional group that has been particularly relentless in its targeting of the Tibetan community, commonly referred to in open source as TA413. Over the first half of 2022, we have observed TA413 exploit a now-patched zero-day vulnerability targeting the Sophos Firewall product (CVE-2022-1040), weaponize the "Follina" (CVE-2022-30190) vulnerability shortly after discovery and publication, and employ a newly observed custom backdoor we track as LOWZERO in campaigns targeting Tibetan entities. This willingness to rapidly incorporate new techniques and methods of initial access contrasts with the group’s continued use of well known and reported capabilities, such as the Royal Road RTF weaponizer, and often lax infrastructure procurement tendencies.

主な判断

• TA413便は、中国政府を代表してサイバースパイ活動を行っている可能性が高い。 この評価は、同団体が情報収集目的でチベット人コミュニティを執拗に標的にしていること、他の既知の中国国家支援グループ間で共有されるカスタム機能の使用、およびこの帰属を裏付けるその他の技術的証拠に基づいている。
• TA413 は、中国政府が支援する複数のグループにサービスを提供する共有能力開発パイプラインの消費者である可能性が高く、Royal Road RTF ビルダーを継続的に使用していることや、中国に関連する複数のグループによって使用が確認された Sophos Firewall の共有ゼロデイ エクスプロイト、TClient バックドアなどの他の共有マルウェアファミリーへの過去のアクセスなどに代表されます。
• In total, we observed at least 3 Chinese state-sponsored groups targeting Sophos Firewall zero-day vulnerability CVE-2022-1040. More widely, this activity is further evidence of both the continued increase in zero-day use by Chinese state-sponsored actors and the ongoing sharing of custom capabilities — including exploits — across groups linked to China’s intelligence agencies.
• TA413は、よく知られているまたはオープンソースのツールの使用から逸脱した新しいカスタムバックドア、LOWZEROをドロップします。

背景

TA413の活動は、2020年9月にプルーフポイントによって初めて公に 報告 され、このグループがチベット人コミュニティを執拗に標的にしていることが観察されたほか、COVID-19パンデミックの初期の数ヶ月間にヨーロッパの複数の団体を一時的に標的にしていたことが観察されました。 このアクティビティでは、TA413は、中国の複数の国家支援グループで共有されているRoyal Road RTF兵器化ツールを使用して、Sepulcherとして追跡されるカスタムマルウェアファミリーをロードしました。 より歴史的に見ると、TA413インフラストラクチャと電子メール送信者ドメインは、公開されているExileRAT の活動 に関連しており、チベットのエンティティを標的にしており、LuckyCat Androidマルウェアの使用も行われています。

2021年2月には、FriarFoxとして追跡されるカスタマイズされた悪意のあるMozilla Firefoxブラウザ拡張機能の使用を特徴とする別のTA413アクティビティ が報告され ました。 FriarFoxは、標的となったユーザーのGmailアカウントへのアクセスと制御を許可し、Javascriptの偵察フレームワークScanboxに関連付けられたコマンドアンドコントロールインフラストラクチャに連絡しました。 この活動や、この時期に行われたTA413の関連キャンペーンは、チベット人コミュニティに関連する組織や個人も対象とし、セパルチャーとロイヤルロードの継続的な使用を特徴としていました。

驚くべきことに、TA413の攻撃者は、最大数年にわたってフィッシングメールの送信者アドレス(tseringkanyaq@yahoo[.]com と mediabureauin@gmail[.]com)により、異なるキャンペーン活動をグループに関連付けることができます。 また、TA413と公に報告されているトロピック・トルーパー(キーボーイ、パイレーツ・パンダ)の活動との間には歴史的な相関関係が観測されており、これらのクラスターの間にはある程度の重複があることが示唆されています。 例えば、2018年12月に観測されたチベット人コミュニティを対象としたキャンペーンでは、送信者のメールアドレスmediabureauin@gmail[.]comは歴史的にTA413の活動に関連付けられており、共有されたC2インフラストラクチャはpeopleoffreeworld[.]tkさん ドメインは Cisco Talos LuckyCat キャンペーンで注目されています。 感染チェーンは最終的に、 Citizen Lab 、 Trend Micro 、 PWC によって報告された過去のTropic Trooperの活動に見られるカスタム TClient バックドアをロードしました。TA413とトロピック・トルーパーに起因する活動は、どちらもURI文字列/qqqzqaを使用していた。 TClientの使用は、最近、中国語のグレーウェア「SMS Bomber」にバンドルされたCheck Pointの研究者によって も目撃 されました。

There was also observable Infrastructure overlap between Tropic Trooper activity and TA413 campaigns. For example, the domain tibetnews[.]today referenced in Citizen Lab and Trend Micro reporting was hosted on Forewin Telecom IP Address 118.99.13[.]68 until early 2019, which later hosted multiple Tibet-themed domains matching unique TA413 infrastructure tactics, techniques, and procedures (TTPs). Importantly, the Citizen Lab report discusses some ambiguity around public reporting on the Tropic Trooper cluster that has conflated campaign and group names. Furthermore, based on wider trends in Chinese cyber-espionage activity, it is also highly plausible that these groups have shared a capability and/or infrastructure pipeline, and that TA413 is a subset of wider Tropic Trooper activity.

脅威/技術的分析

過去数年間、私たちはチベット人コミュニティに関連する組織や個人を標的としたTA413の活動を執拗に観察してきました。 このグループは時折、より広範なターゲットセットに拡大してきましたが、このコミュニティを標的にすることは常にあり、ほぼ確実にグループの主要な諜報任務の1つを示しています。 また、TA413は、広く公表されているツールセットとインフラストラクチャTTPの使用において、異例の一貫性を示すと同時に、ゼロデイ脆弱性や最近公表された脆弱性を感染チェーンに採用する際の適応性と俊敏性を証明しています。 以下のセクションでは、2022年から現在までに観察された注目すべきTA413キャンペーン活動をいくつか紹介します。

最近のTA413キャンペーン活動の分析

Sophos Firewall Zero-Day の悪用

On March 25, 2022, Sophos published an advisory regarding a patched authentication bypass vulnerability allowing remote code execution (RCE) in the User Portal and Webadmin of Sophos Firewall, which is tracked as CVE-2022-1040. According to the advisory, Sophos observed this vulnerability being exploited to gain initial access to a small number of targeted organizations primarily in the South Asia region. All affected organizations were informed directly by Sophos. Subsequently, Volexity and Sophos both published research regarding multiple likely Chinese state-sponsored threat activity groups exploiting CVE-2022-1040. In total, we identified at least 3 distinct Chinese state-sponsored threat activity groups with access to this exploit prior to public reporting, including TA413.

The targeting observed within TA413-attributed exploitation of CVE-2022-1040 aligned with the group’s typical activity. The group used the Choopa (Vultr) IP address 192.46.213[.]63 in post-exploitation activity, which hosted multiple known TA413 domains at the time. A second IP address used in post-exploitation, 134.122.129[.]102, hosted applestatic[.]com at the time of activity, which has historical hosting overlaps with the TA413 domain newsindian[.]xyz.

Table 1: Post-exploitation infrastructure linked to TA413 targeting of CVE-2022-1040 (Source: Recorded Future)

Royal Road RTF兵器化装置の継続使用

TA413 continues to use variants of the shared Royal Road RTF weaponizer tool in targeted phishing attempts. Royal Road is widely shared across Chinese state-sponsored groups and allows the creation of malicious RTF files intended to exploit vulnerabilities in Microsoft Equation Editor (CVE-2017-11882, CVE-2018-0798, CVE-2018-0802). In May 2022, we identified a targeted spearphishing attempt against a Tibetan organization containing a link to a Royal Road sample hosted on the Google Firebase service. The group used the sender domain tibet[.]bet, which we had previously linked to TA413 activity based on infrastructure characteristics specific to the group, while a Proofpoint security researcher also attributed this campaign to the group.

表2:Royal Roadを使用して兵器化されたTA413 MalDoc(出典:Recorded Future)

RTF は、既知の Royal Road バリアントに関連付けられた XOR キー B2 A6 6D FF を使用してエンコードされた dcnx18pwh.wmf という名前のファイルをドロップします。 デコードされたペイロード(028e07fa88736f405d24f0d465bc789c3bcbbc9278effb3b1b73653847e86cf8)は、最終的にカスタムバックドアをロードし、LOWZEROとして追跡し、ハードコードされたC2 IPアドレス45.77.19[.]TCP ポート 110 経由の 75。 LOWZEROの詳細な分析は、マルウェア分析:TA413のカスタムLOWZEROバックドアのセクションに含まれています。

図1:TA413便が使用したチベット語のRoyal Roadルアー(出典:Recorded Future)

Exploitation of MSDT Vulnerability CVE-2022-30190 (Follina)

2022年5月30日、チベット亡命政府に関連する組織を標的としたスピアフィッシングの試みを特定しました。 この活動では、攻撃者は中央チベット政府になりすまし、チベット人コミュニティ内の女性写真家を支援することを目的とした写真助成金のテーマを使用しました。 フィッシングメールは再び送信者ドメインtibet[.]賭ける。 このフィッシングメールは、Google Firebaseサービスtibet-gov.web[.]アプリ これは、Proofpointによるその後のオープンソース レポート でも参照されています。

フィッシングメールは2つの波で送信され、最初の波はMicrosoft Wordの.docxにリンクされていました Follina の脆弱性を利用しようとする Google Firebase サービスでホストされている添付ファイル、および 2 つ目の添付ファイルは、悪意のある Microsoft Word の添付ファイルとおとり.pngの両方を含む .RAR アーカイブ ファイルにリンクされたものです 画像ファイル。

表3:悪意のあるTA413.docx Follina の脆弱性を悪用するファイル(出典: Recorded Future)

図2:Google FirebaseドメインでホストされているRARファイルの内容:おとりPNGファイル(左)と悪意のある.docxの内容 ファイル(右)(出典:Recorded Future)

Word文書を開くと、リモートWebサーバーからHTMLファイルを取得しようとします http://65.20.75[.]158/poc.html。 ダウンロードされた HTML ファイルは、ms-msdt MSProtocol URI スキームを使用して Follina エクスプロイトをトリガーし、最終的に Base64 でエンコードされた PowerShell コマンドを実行して、 http://65.20.75[.]158/0524x86110.exe。 分析時点では、65.20.75[.]158は、最近登録されたチベットをテーマにしたドメインt1bet[.]NETとAirJaldi[.]オンライン これは、インドのISPであるAirJaldiになりすましています。 特に、AirJaldiは、複数のチベットのエンティティにインターネットアクセスを提供するダラムシャーラネットワーク を運営しています 。

図3:TA413がBase64でエンコードされたPowerShellコマンドを実行し、後続のペイロードをダウンロードするために使用するms-msdtコマンド(出典:Recorded Future)

図4:デコードされたPowerShellコマンド(出典:Recorded Future)

ダウンロードしたファイル0524x86110.exeはUPXパックされており、SHA256ファイルハッシュ5217c2a1802b0b0fe5592f9437cdfd21f87da1b6ebdc917679ed084e40096bfdです。 解凍されたUPXファイルもLOWZEROをロードし、Choopa C2のIPアドレス45.77.45[.]C2 over port TCP 110 の場合は 222。 特に、45.77.45[.]222 ドメインTibetYouthCongress[.]この活動の時点では、私たちの分析も以前にTA413に起因するとしていました。

TA413で使用されているその他の工具

From further analysis of TA413 activity, we also identified evidence that the group is likely using the open-source proxy tool Stowaway. This is based on the identification of an ELF sample (SHA256: 86f45f0d6778fda90a56ea8986a9124d768715af425784bbd1c371feeb2bfe68) configured to communicate with the IP address 134.122.129[.]38, which was uploaded to public malware repositories in close proximity to the time this IP hosted the TA413 domain freetibet[.]in. Notably, Stowaway has also been observed in use by other likely Chinese state-sponsored groups, per recent reporting by Kaspersky.

Additionally, through historical scanning data we identified an open directory present on a TA413-controlled server 172.105.35[.]111 in June 2022. While this was no longer accessible at the time of discovery, one of the files present was named fscan_amd64. This is likely indicative of the group’s use of the open-source internal network scanning tool fscan, which uses a file of the same name. This tool was also observed in use by another suspected Chinese state-sponsored actor TAG-22 (Bronze University, Earth Lusca, Fishmonger, Red Dev 10) by Trend Micro researchers.

被害者学

これらの最近のキャンペーンのすべてで、TA413は、チベット亡命政府に関連する組織を含む、チベット人コミュニティに関連する組織を執拗に標的にしていることが確認されています。 これはグループの活動の大部分を占めているように見えますが、オープンソースの報告では、2020年のCOVID-19の初期段階にヨーロッパの外交機関や立法機関、非営利の政策研究機関、経済問題を扱うグローバル組織を対象とした短命なTA413活動も 特定 されています。 また、Recorded Future Network Traffic Analysis(NTA)を使用して、ネパールの複数の政府機関に関連するインフラストラクチャと、2022年上半期にTA413 C2インフラストラクチャと定期的に通信していたインドのインターネットサービスプロバイダー(ISP)の企業ネットワークを特定しました。

インフラストラクチャ分析

TA413は、運用インフラストラクチャの調達と武器化の際に、過去の公開報告に沿った一貫したインフラストラクチャTTPのセットを引き続き使用します。このグループは主にGoDaddyを通じてドメインを登録しており、ホスティングにはForewin Telecom、Choopa(Vultr)、Linodeの組み合わせを使用していました。 特に、特定されたTA413ドメインの大部分は、登録者組織名「asfasf」も使用していましたが、これはおそらく左手のキーボードのホームキーが一貫してキーボードを歩くためと思われます。 これらのTTPは、vaccine-icmr[.]ネット、過去のProofpoint レポートで紹介されています。

また、TA413は、非政府組織(チベット民族会議やチベット青年会議など)やメディア組織( チベットタイムズなど)など、チベットに関連する組織をスプーフィングしたドメインを主に使用しています。 また、このグループは、リモートワークの雇用サイト「FlexJobs」やインドのニュース会社「Rediff News」など、より広範な組織になりすましたドメインも登録しています。

表4:特定の組織を偽装するTA413ドメイン(出典:Recorded Future)

マルウェア分析:TA413のカスタムLOWZEROバックドア

LOWZEROはバックドアで、感染したマシンをプロファイリングし、データをコマンド&コントロールサーバーに送信した後、追加のモジュールを受け取り、実行します。 サンドボックス環境内での実行中に追加のモジュールは観察されなかったため、フィンガープリントされたマシンがアクターにとって興味深い場合にのみ、モジュールが配信および実行されると考えています。 これらのモジュールは、LOWZEROに存在する基本的なバックドア機能を拡張したものと思われます。 LOWZEROは、ネットワークリスナーを介して受信した通信を、以前に受信したデータに基づいて定義された別の接続を介してプロキシすることもできます。

次の分析は、SHA256ハッシュ5217c2a1802b0b0fe5592f9437cdfd21f87da1b6ebdc917679ed084e40096bfdのマルウェアのサンプルに対して実行されました

実行するレイヤー

LOWZERO実行チェーンには、複数のレイヤー/ステージが含まれています。

• ステージ 1 — 埋め込まれた DLL ファイルを解凍します (ステージ 2) XOR で復号化して実行します
• ステージ 2 — rundll32.exe をサスペンド状態で起動し、ステージ 3 DLL を注入します。次に、ステージ 3 DLL によって公開される DllEntryPoint とエクスポートされた関数 F を呼び出します
• ステージ 3 — エクスポートされた関数 F にはバックドア機能が含まれています

図5:LOWZEROのロードプロセス(出典:Recorded Future)

コンフィグの内訳

LOWZEROの設定情報は、Stage 3のエクスポートされた関数 Fにバッファとして渡されます。設定データは暗号化され、圧縮されます。 圧縮解除アルゴリズムは、 not 演算子が適用されてバッファーの暗号化が解除された後に適用されます。 解凍アルゴリズムは、おそらくLZF(Lempel-Ziv-Free)です。 この同じ解凍アルゴリズムは、Stage 2 dllの解凍にも使用され、C2通信の暗号化/復号化スキームの一部として使用されます。

図6:暗号化および圧縮された構成データ(出典:Recorded Future)

図 7 は、復号化および解凍後の構成情報バッファの内容を示しています。

図 7: 復号化および解凍された構成データ (出典: Recorded Future)

キャンペーン ID はミューテックスとして使用され、設定データから抽出できます。 このサンプルに含まれるキャンペーン ID は 8C9BB583-7C26-4990-AA73-E66F594A5AD5 です。

この段階では、C2 情報はまだ難読化されています。 バイナリの not 演算子は、文字列の難読化を部分的に解除するために各バイトに適用されます。 次に、カスタムアルファベット Vhw4W3uB5OcY8qrp21NxbHs7ynSJFoPTEdAUtv9QagIDl6MR0KZkmjfeiCzGXL+/ を使用して文字列をbase64デコードし、最終結果を取得します。 最終結果は、 表 5 に示すように抽出および解析されます。

表5:抽出されたC2値(出典:Recorded Future)

C2コミュニケーションズ

この LOWZERO のサンプルは、非標準の TLS ポート (TCP 110) 経由の TLS バージョン 1.1 接続を模倣しています。 ただし、TLS 接続はカスタムであり、 プロトコル標準に準拠していないため、表面的には TLS のように見えるように作成された可能性があります。 これにより、通信が他のTLSトラフィックに溶け込むことができ、アクターは証明書の調達や管理について心配する必要がなくなります。

通信は、 標準の TLS ハンドシェイク コンポーネントである Client Hello と Server Hello から始まります。 サーバ キー交換中に、C2 は b113bc93dcd87d350850b7fd643c2c5aee678c3dcb717d1296b0cf57c749f0ab の EC (楕円曲線) Diffie-Hellman 公開キーを渡します。ここで確認した C2 は両方とも同じ公開鍵を使用していることに注意することが重要です。

TLS helloパケットが送信された後、LOWZEROはEC Diffie-Hellman公開鍵をC2と交換しますが、これはバックドアが実行時にランダムに生成するため、各C2セッションは異なる公開鍵を持つことになります。 図8 は、LOWZEROバックドアからC2へのTLSバージョン1.1のハンドシェイクを示しています。

図8:LOWZERO TLSバージョン1.1のハンドシェイク(出典:Recorded Future)

この時点まで、C2接続は標準のTLS 1.1ハンドシェイクに従っているように見えました。 TLSの標準的な実装では、クライアント/サーバー間でデータを交換する場合、非対称暗号化を使用して対称キーを安全に交換し、その後、より高速な対称暗号化に切り替えるというプロセスです。 ただし、これはLOWZEROがプロトコルを破り、対称キーを安全に転送するために公開鍵暗号化を使用しない場所です。 代わりに、Client Hello パケットからのランダム バイトと Server Hello パケットからのランダム バイトが XOR されて、C2 通信の復号化/暗号化に使用される AES 暗号化アルゴリズムのキーが導出されます。

図9:LOWZERO AES暗号化/復号化キーの作成(出典:Recorded Future)

LOWZERO初期化パケット

TLSハンドシェイクとAESキーの導出後、LOWZEROは次の基本的なシステム情報とユーザー情報をC2に送信します。

1. ユーザー名
2. キャンペーンID
3. プロセス名とプロセス ID
4. IPアドレス
5. ホスト名

次に、データは以下のLOWZEROカスタムスキームを使用してエンコードおよび暗号化されます( 図10にも示されています)。

1. LZF圧縮
2. 0x2b との XOR 演算
3. カスタムアルファベットでBase64エンコード
4. ランダムに生成されたキーによるAES暗号化(C2送信で提供)
5. クライアント/サーバランダムバイトキーのXORから導出されたキーでAES暗号化

トラフィックの復号化は、上記の操作を元に戻すだけで可能です。

図10:LOWZERO C2暗号化方式(出典:Recorded Future)

図 11 は、C2 との間で復号化された AES トラフィックを表す C2 通信構造を示しています。 応答のコア部分は、コマンド (0x06) とコマンド データ (0x0C) です。

図11:LOWZERO C2の通信構造(出典:Recorded Future)

LOWZERO コマンド

LOWZERO には、一度に 1 つ以上のコマンドを受け取り (コマンド構造については 図 11 を参照)、各コマンドを一度に 1 つずつ実行する機能があります。 オフセット 0x10005090 の関数は、コマンドを解析して実行する前に、コマンド セクションの先頭にある ASCII 値 PK を表すバイトの存在を確認するヘッダー チェックを処理します。 コマンドの選択肢は次のとおりです。

表 6: LOWZERO コマンド (出典: Recorded Future)

C2からモジュールをリカバリできなかったため、モジュールがLOWZEROにどのような機能を追加するのかを判断できていません。

弱いC2プロトコル

AESキーはTLSハンドシェイク自体から派生しているため、キャプチャされた通信を復号化することができました。 これにより、送信されたコマンドを確認でき、被害者のマシンに配信されたモジュールを抽出する機会が得られます。 詳細については 、付録 C を参照してください。

軽減策

• 侵入検知システム (IDS)、侵入防止システム (IPS)、または任意のネットワーク防御メカニズムを設定して、 付録 A でリンクされている外部 IP アドレスとドメインとの間の接続試行を警告し、確認後にブロックすることを検討してください。
• セキュリティ監視および検出機能が、外部に面したすべてのサービスとデバイスに対して配置されていることを確認します。 これらの外部向けサービスの悪用後に発生する可能性のある後続のアクティビティ(Webシェル、バックドア、リバースシェルのデプロイなど)を監視します。
• 脆弱性のパッチ適用にはリスクベースのアプローチを採用し、リスクの高い脆弱性と、Recorded Future Vulnerability Intelligence モジュールを通じて決定された野放しの脆弱性を優先します。
• 組織やベンダーになりすますタイポスクワットドメインなど、ドメインの不正使用を監視するには、Recorded Future Brand Intelligence モジュールを使用します。
• 付録Bで取り上げたMITRE ATT&CK技術の検出と強化のカバレッジを採用します。

今後の展望

私たちの調査では、2022年前半に中国政府が支援する脅威活動グループTA413がチベット人コミュニティを執拗に標的にしていたことが特定されました。 このグループは、試行錯誤を重ねたTTPに依存しながら、新しい機能を引き続き組み込んでいます。 特に、グループが採用している一部のツールとインフラストラクチャ管理の実践との間には大きな違いがあることは、マルウェアやエクスプロイトの開発に関与するチームと運用を行うチームとが分かれていることを示している可能性があります。 TA413は主にチベットの標的に焦点を当てていますが、トロピック・トルーパー(Keyboy、Pirate Panda)として知られるグループと複数の歴史的なインフラストラクチャとマルウェアのつながりがあり、ある程度の運用上の重複を示しています。 より広くは、TA413がゼロデイ脆弱性と最近公開された脆弱性の両方を採用していることは、中国のサイバースパイグループにおける広範な傾向を示しており、エクスプロイトは一般に公開される前に、複数の異なる中国の活動グループによって定期的に使用されています。