中国の脅威アクター TEMP.Periscopeは、ロシアのAPT技術を使用して英国を拠点とするエンジニアリング会社を標的にしています

分析の全文をPDFでダウンロードするには、ここをクリックしてください。

_Scope 注: Recorded Future の Insikt Group は、英国を拠点とするエンジニアリング企業を標的とした侵入インシデントに関連する侵害のネットワーク指標と TTP を分析しました。 ソースには、Recorded Futureの製品であるVirusTotal、ReversingLabs、DomainTools Iris、PassiveTotalのほか、サードパーティのメタデータと一般的なOSINT技術が含まれます。

このレポートは、米国、欧州、日本のハイテクエンジニアリング業界の組織や、中国の国家支援型cyberespionage._を調査している組織にとって、最も興味深いものとなるでしょう

Executive Summary

2018年7月上旬に発生したスピアフィッシングキャンペーンの標的となったのは、英国を拠点とするエンジニアリング企業の従業員でした。 このキャンペーンは、カンボジアを拠点にカンボジアの政治、人権、中国の発展を取材するフリーランスのジャーナリストのものと思われるメールアドレスも標的にしていた。 どちらの攻撃も、中国の脅威アクターであるTEMPによって報告されたキャンペーンと同じインフラストラクチャを使用したと考えています。Periscope(別名Leviathan)は、2018年7月の選挙を前にカンボジアの企業を標的にしました。 重要なのは、TEMP.Periscopeが標的とした英国のエンジニアリング会社に関心を持つようになったのは、2017年5月の侵入未遂事件にさかのぼります。

本レポートで概説した入手可能なデータと証拠に基づき、Recorded Futureは、中国の脅威アクターであるTEMP.Periscopeは、ロシアの脅威グループであるDragonflyとAPT28が公開で報告した高度なTTPを再利用して、英国のエンジニアリング会社を標的にしており、機密性の高い独自の技術やデータにアクセスできる可能性があります。 私たちはTEMPを信じています。Periscopeは、公開されたTTPを再利用して、グループが被害者ネットワークへのアクセスを成功させる可能性を高めるか、研究者を混乱させるための偽のフラグを立ててアトリビューションを回避しました。

選択したAPT28、Dragonfly、およびTEMPのタイムライン。PeriscopeのTTPの開示と活動。

背景

一時。Periscopeは、2017年10月にLeviathanというグループに関する報道が浮上したことで 初めて公 の場に名を馳せた、中国国家が支援する脅威アクターです。 Leviathanは、独自のオープンソースツールを組み合わせて、海事業界と防衛産業をスパイ活動の目的でターゲットにしました。 報告書は、少なくとも2014年にさかのぼるグループの報道を詳述している。

数カ月後には、主に米国と欧州の企業を標的とした海事・防衛部門に対するさらなる活動が強調され、グループのTTPに関する詳細が含まれていたという報告が発表された。このアクティビティには、新しい脅威アクター名であるTEMPが付けられました。Periscopeですが、レポートの著者は、LeviathanとTEMP.Periscopeも同じグループでした。

ハイテク海洋工学企業への標的化が進んだのは、南シナ海(SCS)の領土の大部分に対する中国の領有権主張をめぐる地域的緊張の高まりと時を同じくしていた。 南シナ海に隣接する国々を標的とした中国のサイバースパイ活動は、2018年も増加を続けており、TEMPが報告されています。 2018年7月のカンボジアをターゲットとしたPeriscope。 さらに、 2018年初頭に発覚した米海軍の請負業者に対する攻撃など、潜水艦ベースの超音速対艦ミサイルの開発計画を含む大量の高機密データが盗まれた攻撃は、中国が米国との技術ギャップを埋めるために最先端の海軍技術を引き続き標的にしていることを示している。

脅威分析

感染ベクトル

私たちが調査した侵入未遂は、専門的なエンジニアリングソリューションを提供する英国企業のネットワークを標的にしていました。 英国のエンジニアリング会社は、スピアフィッシング未遂の詳細をRecorded Futureと共有し、以下のIOCが調査の出発点となりました。

メールのヘッダーから、スピアフィッシングは2018年7月6日午前9時30分(UTC)にFoxmail経由で送信されたことが明らかになりました。 Foxmailは、中国の3大インターネットサービス企業の1つであるTencentによって開発されたフリーウェアの電子メールクライアントです。 Foxmailは、中国で毎日300万人以上のユーザーを誇り、以前は 中国のAPT活動に関連付けられていました。

同じスピアフィッシングは、英国のエンジニアリング会社の従業員のメールアドレスに加えて、カンボジアに拠点を置くジャーナリストのものと思われるメールアドレスにも送信されました。 送信者のアカウントは、カンボジアの民事・社会問題などについて執筆し、プノンペン・ポスト紙に寄稿しているオーストラリアのジャーナリスト兼弁護士になりすましていた。

2018年7月のカンボジアの選挙を標的としたスピアフィッシングキャンペーンで、中国の脅威アクターTEMP.Periscopeは送信者アドレスを偽装し、カンボジアの非政府組織(NGO)の職員になりすました。

標的となった英国のエンジニアリング会社が共有したスピアフィッシングメールのスニペット。

このメールには、2つの悪意のあるリンクが含まれていました。 最初の「file://」リンクをクリックすると、SMBセッションが生成されます。 2 番目のリンクは .url でした 送信 SMB 接続を作成するようにも構成されたファイル。

この脅威アクターは、カンボジアの記者になりすまし、被害者にさらなる情報を彼女の「レポートWebサイト」にアップロードするよう要求しました。 しかし、メッセージ内のスペルや句読点の誤りにより、被害を受けた組織のネットワーク防御者に警告されました。

電子メールのヘッダーに含まれるメタデータの分析と、その後のSMBを介したファイル共有との制御された相互作用により、侵入の試みのいくつかの興味深い特徴が明らかになりました。

レスポンダー: 「NetBIOS ポイズンアー」

まず、SMBファイルパスのリンクを分析しました。 ホスト名WIN-PRH492RQAFVはC2 82.118.242[.]243 被害者のネットワークからSMB資格情報を取得しようとしたとき。 次に、ホスト名WIN-PRH492RQAFVがGitHubの Responder と呼ばれるPythonハックツールのいくつかのフォークバージョン内にハードコードされていることに気づきました。 このホスト名を持つResponderの1つのバージョンは、無料のファイルアップロードサービスであるBeeBinにアップロードされたP4wnP1¹ のビルドで見つかり、同じホスト名の別のバージョンが PiBunny内で見つかりました。

GitHub の Responder の修正バージョン内に存在する WIN-PRH492RQAFV 文字列。

レスポンダーは 2014 年 1 月にリリースされました。 公式の GitHub リポジトリにリストされている README ファイルには、次のように説明されています: 「Responder は LLMNR、NBT-NS、および MDNS poisoner です。特定の NBT-NS (NetBIOS ネームサービス) クエリに対して、その名前のサフィックスに基づいて応答します ( http://support.microsoft.com/kb/163409 を参照)。 デフォルトでは、ツールは SMB 用のファイルサーバーサービス要求にのみ応答します。 この背後にある概念は、私たちの答えをターゲットにし、ネットワーク上でよりステルスになることです...」

Responder の悪意のある使用は、2017 年 8 月 11 日に APT28 (Fancy Bear) によって使用されていることが初めて公に文書化されました。 このツールは、ホテルの訪問者に対してNetBiosリソースのなりすましに使用されました。 被害者はUDPポート137に接続するように強制され、SMB経由でAPT28に資格情報を開示し、脅威アクターはそれを使用してネットワークへの昇格されたアクセス権を取得しました。

ロシアからのその他の教訓:「file://」パスを使用したSMBクレデンシャルハーベスティング

Responderの使用に基づいて、脅威アクターは、別のロシアの脅威アクターであるDragonfly(Energetic BearまたはCrouching Yetiとしても知られる)から発信された手法を借用しているようにも見えました。

パス "file://82.118.242[.]243/[編集済]" スピアフィッシングで使用されたものは、ホストがSMB経由で取得しようとする目に見えない画像タグを作成することでSMBの資格情報を盗む可能性が高く、攻撃者にユーザーのNTLMパスワードのハッシュ値を与えるものでした。 コードを実行すると、ブラウザは非表示の画像タグ を作成し 、「file://」プロトコルスキームを使用してURLを攻撃サーバーに設定します。これにより、ユーザーのログインNTLMハッシュも送信されます。 これにより、潜在的な被害者の指紋を採取し、その後の標的ネットワークへの侵入のための資格情報を収集するための効果的な水飲み場が生まれました。

「file://」パスを利用してSMB接続をトリガーするこの手法は、2018年3月15日に US-CERT によって初めて公開され、Dragonflyの脅威アクターと思われるロシア政府のアクターがエネルギー業界やその他の重要インフラセクターを標的とした高度な手法として詳細に説明されました。

SWC 82.118.242[.]243?

82.118.242[.]243は、上記のSMB認証情報の盗難に関連するIPであり、決定的ではないことが証明されました。 WHOISは、英国のISPであるVirgin Mediaに登録されている大規模な範囲(82.0.0.0 - 82.47.255.255)内のIPを参照しています。 しかし、MaxMindはIPをブルガリアのホスティングプロバイダーであるHistate Global Corp.に解決しました。

Shodanに記載されている脆弱性とマシンのスキャン結果に基づくと、82.118.242[.]242 は、Windows インターネット インフォメーション サービス (IIS) 7.5 を実行している可能性が高い Web サーバーです。 ポート 22、80、88、443、445、587、902、および 5985 が開いています。

82.118.242[.]243.

同じ/24 CIDR範囲内にある別のIPアドレス、82.118.242[.]124, は、2018年7月にRecorded Futureで89という異常に高いリスクスコアでフラグが立てられました。 これは、 Cisco TalosがIOCリストに 、VPNFilterボットネットに関連する第2段階のマルウェアとしてIPが掲載されていたためです。 このボットネットは、 米国司法省によってAPT28に起因するとされています。

Webサーバー82.118.242[.]243 また、被害者をIPに誘導する「file://」SMB資格情報窃取手法を使用することで、脅威アクターはWebサーバーを侵害し、このキャンペーン中に被害者からSMB資格情報を不正に取得するための標的型水飲み場として使用したと考えています。

WIN-AB2I27TG6FKと中国の脅威アクターTEMP.潜望鏡

ホスト名WIN-AB2I27TG6FKは、VPNのIPアドレス193.180.255[.]2.

ホスト名WIN-AB2I27TG6FKのオープンソース調査により、URLscsnewstoday[.]com/news/は、ファイル名にホスト名を含むいくつかのファイルをホストしていました(以下のドメインのスナップショットを参照)。 このドメインは以前、中国の脅威アクターであるTEMPが使用したC2として 報告 されていました。Periscopeは、AIRBREAKダウンローダーを配信します。 AIRBREAKは、Orzとも呼ばれ、JavaScriptベースのバックドアで、侵害されたWebページや正規のサービス上の攻撃者が制御するプロファイルに隠された文字列からコマンドを取得します。

http://scsnewstoday[.] でホストされているオープンディレクトリ上のファイルの一覧com/newsです。

AIRBREAKに加えて、scsnewstoday C2サーバーは、TEMPに関連する 他のマルウェアとログをホストしていたと報告されています 。Periscopeは、カンボジアの選挙を前にしたカンボジアの組織を標的とした悪意のある活動です。 この英国のエンジニアリング会社に対するスピアフィッシングは、このキャンペーンが活発化されたのと同時期、つまり2018年7月上旬に発生しました。 オープンディレクトリ内のファイル名に採用されている命名規則から判断すると、C2SとS2Cは、ホスト名WIN-AB2I27TG6FKのクライアント間およびサーバー間の接続に関連している可能性が高く、これはscsnewstoday[.]コム C2です。 ファイル名のホスト名がTEMPの標的となったクライアントまたは被害者に関連している場合は、さらに多くのファイルがリストされることが予想されます。潜望鏡。

ドメインscsnewstoday[.]comは米国のIP 68.65.123[.]230 2018年7月11日までドメインホスティングサービスNamecheapに登録しました。 C2ドメインの詳細はちょうどその前に 公開された ばかりで、それがTEMPを狼狽させた可能性があると考えています。Periscope演算子がドロップされます。 残念ながら、開いているディレクトリにアクセスできなくなったため、WIN-AB2I27TG6FKホスト名を含む3つのファイルの正確な性質を理解する能力が妨げられました。

業界の 報告によると、中国のスパイグループTEMP.Periscopeは、少なくとも2013年以降、大規模なフィッシング、侵入、リモートアクセス型トロイの木馬(RAT)、データ流出などの活動を行ってきました。 ターゲティングは、エンジニアリング、海運・運輸、製造、防衛、官公庁、研究大学など、複数の業界にわたる海事関連団体に主に焦点を当てています。 しかし、このグループは、専門サービスやコンサルティングサービス、ハイテク産業、ヘルスケア、メディア、出版も対象としています。

Spearphishの発信元IP 193.180.255[.]2

このIPは、メールヘッダー情報にX-Forwarded-For IPとして表示され、スピアフィッシングの送信者の発信元IPアドレスであることを示しています。 WHOIS登録データによると、193.180.255[.]2は、人気のある商用VPNサービスである PrivateVPNの正式名称であるPrivat Kommunikation Sverige ABに登録されています。 同社は、TCP/UDP、L2TP、IPSEC、PPTP、およびIKEv2プロトコル上のOpenVPNをサポートしていると述べています。

Recorded Futureは、193.180.255[.]2 2018年6月30日から7月1日までのIP。 3つの接続はすべて、バングラデシュのIP 103.198.138[.]187.

さらに、2018年7月3日から7月10日の間に、193.180.255[.]2 悪意のあるSMB認証情報収集C2 82.118.242[.]243. 興味深いことに、これらの接続は、スピアフィッシュが送信された7日間の期間中に行われました。

TEMPによる英国エンジニアリング会社の歴史的なターゲティング。潜望鏡

7月のこの試みに先立ち、同じ英国のエンジニアリング会社が2017年5月に標的にされていました。 このキャンペーンでは、ETERNALBLUEエクスプロイトと独自のDNSトンネラーバックドアが使用されました。 攻撃で使用されたDNSトンネラーは、thyssenkrupp-marinesystems[.]組織。 このドメインは、海洋工学を専門とするドイツの防衛請負業者ティッセンクルップ・マリン・システムズ社を明らかに偽装していた。 なりすましドメインをホストするだけでなく、オランダを拠点とするHostSailor VPS IP 185.106.120[.]206 また、脅威アクターが使用するマルウェアとツールを含むオープンディレクトリをホストしていましたが、これはTEMPと似ています。ペリスコープ scsnewstoday[.]コム C2 とオープン ディレクトリのセットアップ。

スプーフィングされたドメインに関するRecorded Futureの分析により、このサーバーは、2017年8月にLeviathan(TEMPとしても知られる)によって 使用されていた SeDll JavascriptローダーSHA256:146aa9a0ec013aa5bdba9ea9d29f59d48d43bc17c6a20b74bb8c521dbb5bc6f4をホストしていたことが明らかになりました。Periscope)を使用して、別のJavascriptバックドアであるAIRBREAKを実行します。 重要なのは、Leviathanが中国の脅威アクターとして初めて言及されたのは、2017年10月、つまりTEMPだったことです。Periscopeは、6か月前に同じインフラストラクチャを使用して英国のエンジニアリング会社を標的にしていました。

2017年11月には、Microsoft Equation Editorの脆弱性CVE-2017-11882を悪用した別のスピアフィッシングが、英国のエンジニアリング会社に送信されました。 この攻撃は、Cobalt Strikeのペイロードを配信しました。

結論と見通し

このスピアフィッシングの試みにより、APT28、Dragonfly、TEMPなど、いくつかの異なる脅威アクターの最近の活動に関連する一連のTTPが明らかになりました。潜望鏡。 この攻撃で観測された主要なTTPを時系列でリストアップしたのは、これらのTTPが公に開示された報告から技術がコピーされる可能性に注意を喚起するためです。 これらを次の表にまとめます。

攻撃で使用された観測されたTTPの概要と、類似のAPT TTPへのリンク。

リストされているAPT28、Dragonfly、およびTEMPのほとんどを考えると。ペリスコープTTPはすでに公開されており、観測された活動には3つのシナリオがあると考えています。

• ロシアの脅威アクターが責任者であり、TEMPを借りました。ペリスコープTTP。
• 一時。Periscopeはロシアの脅威アクターのTTPを担当し、借用しました。
• 別の脅威アクターは、ロシアのグループとTEMPのTTPを使用した責任者でした。潜望鏡。

上記の3つの仮説のうち、どれが我々の観察結果を最もよく説明しているかを評価するために、我々はこのレポートで詳述された蓄積された証拠を評価した。

まず、攻撃者はIPアドレス193.180.255[.]2 IPアドレスがスウェーデンのVPNサービスPrivateVPNに解決されるため、スピアフィッシングを送信するためのVPNエンドポイントとして。 また、スピアフィッシングを送信したデバイスがWIN-AB2I27TG6FKホスト名に関連付けられていたことも確かです。 さらに、このホスト名は、既知のTEMPでホストされているいくつかのファイルのファイル名に使用されたと述べることができます。Periscope C2は、ディレクトリを開いていました。 このレポートで前述したように、スピアフィッシングの送信者であるWIN-AB2I27TG6FKは、おそらくTEMPのホスト名であると考えています。Periscopeのオープンディレクトリはscsnewstoday[.]コム。

スピアフィッシュは2018年7月6日に送信されました。 そのわずか数日後、FireEyeはTEMPについて報告しました。2018年7月のカンボジアの選挙を対象としたPeriscopeキャンペーンで、scsnewstoday[.]com を C2 として使用します。 報告書は、少なくとも2017年4月から同じインフラが稼働していた可能性が高いと指摘しています。

次に、スピアフィッシュに含まれる「file://」パスは、C2 82.118.242[.]243 SMB経由で資格情報を盗むように設計されています。 この手法は、観測された攻撃の約4か月前の 2018年3月に、US-CERTによってDragonfly脅威アクターTTPとして公開されました。

82.118.242[.]243 IPはWIN-PRH492RQAFVで、GitHubのフォークされたResponderスクリプトにハードコードされていることがわかりました。 2017年8月に発表されたレポートによると、元のResponderスクリプトは、以前に別のロシアの脅威アクターであるAPT28によって使用されていました。

選択したAPT28、Dragonfly、およびTEMPのタイムライン。PeriscopeのTTPの開示と活動。

一時。Periscopeは、2017年8月にFireEyeがAPT28のレスポンダーの使用を公開してから2か月後の少なくとも2017年10月以来、研究コミュニティから積極的にフォローされています。² それ以来、TEMPに関する 報道 が相次いでいます。2018年のペリスコープ活動では、アメリカやヨーロッパの海事エンジニアリング会社やカンボジア政府に対するキャンペーンを実施しました。 ここで注目すべきは、私たちが観測したスピアフィッシングは、カンボジアに拠点を置くジャーナリストの名前を含む電子メールアカウントにも送信されており、以前にカンボジアのトピックについて報道したオーストラリアのジャーナリストになりすましたアカウントから送信されたものです。

したがって、TEMPの開示に先立って、ロシアの工具のタイムラインが公表されたことは、もっともらしい。Periscopeキャンペーン、TEMP.Periscopeは、アトリビューションの取り組みを妨げるか、単に効果的と思われる手法を使用するようにTTPを適応させました。

scsnewstoday[.]コム C2ドメインも重要です。このドメインは、FireEyeによってTEMPによって使用されていると公開されました。Periscopeは、スピアフィッシングが英国のエンジニアリング会社に送信されてからわずか数日後であったため、別の脅威アクターがC2を侵害した可能性は非常に低いです。 さらに、TEMP.少なくとも2017年5月以降のPeriscopeは、このグループがアクセスを試み続けていることを浮き彫りにしています。

本レポートで概説した入手可能なデータと証拠に基づき、Recorded Futureは、中国の脅威アクターであるTEMP.Periscopeは、他の脅威グループのTTPを再利用して英国のエンジニアリング会社を標的にしており、その機密性の高い独自の技術やデータにアクセスできる可能性があります。 一時。Periscopeは、APT28やDragonflyなどの他のグループから学習するようにTTPを迅速に適応させる能力を実証しており、被害者ネットワークへのアクセスを成功させる可能性を高めたり、アトリビューションの試みを難読化したりしています。

Recorded FutureはTEMPを期待しています。Periscopeは、ハイテク、防衛、エンジニアリング分野の組織を引き続き対象としています。 中国が南シナ海の領土を支配しようとしているため、特に海洋工学における先端技術の開発という中国の戦略的要件は、依然として大きな焦点となっている。 私たちはTEMPを信じています。Periscopeは、依然として広く成功しており、比較的低コストで使用できるコモディティマルウェアを引き続き使用します。 彼らは、被害者のネットワークにアクセスするために、公に報告された手法を悪用して使用する「トレンド」の脆弱性を引き続き観察します。

最後に、Recorded Futureは、脅威アクターが互いに積極的にエミュレートし、インフラストラクチャを保護し、ライバルアクターが使用している手法を監視するために、出版物とデータソースを監視していると考えています。 敵対者は、技術的な手段( オリンピック・デストロイヤー・キャンペーンで観察されたように)または技術エミュレーションのいずれかを使用して、偽旗を仕掛け続けると予想しています。 検出手段が劇的に向上したため、コードの重複の公開識別とTTPのマッピングは、適切に調整された運用の手に委ねられ、今ではアトリビューションの調査結果が曖昧になる可能性があります。 レポートに記載されているサンプルと手法は、これらの問題に関する公開レポートの量が多いため、新しいキャンペーンや進行中のキャンペーンに迅速に置き換えることができます。 この濁った水面下では、ターゲットを絞ったキャンペーンがノイズにうまく溶け込み、敵対者グループ間の境界線を曖昧にしようとすることができます。

ネットワーク防御に関する推奨事項

Recorded Futureは、TEMPに対する防御において、組織が以下の対策を講じることを推奨しています。Periscopeが認証情報を盗んでネットワークにアクセスしようとする試み:

• 侵入検知システム (IDS)、侵入防止システム (IPS)、またはネットワーク防御メカニズムを設定して、付録 A にリストされている外部 IP アドレスとドメインからの不法な接続の試みを警告し、確認した上でブロックを検討してください。
• 付録 B に提供されている Snort ルールを IDS および IPS アプライアンスに含めて、SMB クレデンシャルの盗難の試みを検出します。 また、該当する場合は、付録 B で提供されている Bro クエリを使用して、TEMP の兆候を探します。このレポートで詳しく説明されているネットワーク上のPeriscopeのTTP。
• Recorded FutureのAPIを使用して、このレポート(付録A)にリストされているインジケーターをエンドポイント検出および応答(EDR)プラットフォームにインポートします。
• エンドポイントの検出と応答のトラフィックを構成して、付録 A のインジケーターへの接続をアラートとブロックします。
• 付録Cで提供されているYaraルールを利用して、組織に送信されたスピアフィッシュの証拠をネットワークで検索します。
• ネットワーク全体のSMBトラフィック、特にSMBを介した外部認証の試みを監視および制限します。

関連する侵害の兆候の完全なリストを表示するには 、付録をダウンロードしてください。