Insiktレポート

数年にわたる中国のAPT攻撃が韓国の学術機関、政府機関、政治団体を標的に

投稿: 2023年9月19日

作成者 : Insikt Group

Recorded FutureのInsikt Groupは、中国の国家支援を受けた攻撃者に起因するTAG-74として知られる長期にわたるサイバースパイ活動の分析を実施しました。 TAG-74は、主に韓国の学術機関、政治機関、政府機関への潜入に焦点を当てています。このグループは中国の軍事情報機関と関係があり、韓国、日本、ロシアの学術、航空宇宙、防衛、政府、軍、政治団体に重大な脅威を与えています。 TAG-74が韓国の学術機関を標的にしていることは、知的財産の窃盗と世界中の高等教育における影響力の拡大を目的とした中国の広範なスパイ活動と一致しています。

中国が支援する中国が韓国で情報を収集する動機は、地域的な近接性と、インド太平洋における米国および地域の同盟国との中国との競争における韓国の戦略的役割によって推進されている可能性が高い。最近の緊張は、中国が韓国の米国とのより緊密な関係と、台湾への関与と認識されている米国および日本の中国封じ込めとの連携について懸念を表明したことで浮上している。南北協力に関連するなりすましドメインやおとり文書を含むTAG-74の情報収集活動は、中国が韓国の企業との外交的およびビジネス的関与を形成するための情報を求めているため、強化されることが予想される。

multi-year-chinese-apt-campaign-targets-south-korean-academic-government-political-entities-body.png 韓国を標的としたTAG-74キャンペーンで観察された典型的な感染連鎖(出典:Recorded Future)

TAG-74は、韓国、日本、ロシアの組織に対する情報収集を専門とする、中国の国家支援による定評のある脅威活動グループです。彼らの戦術、技術、および手順(TTP)には、.chmの使用が含まれます。 DLL検索順序ハイジャック実行チェーンをトリガーして、VBScriptバックドアReVBShellのカスタマイズバージョンをロードするファイル。さらに、Bisonalと呼ばれるカスタムバックドアは、ReVBShellを介した初期アクセスが確立されると、機能を強化するために使用されます。このカスタマイズされたReVBShellの亜種は、TAG-74と密接に関連する別の脅威活動グループであるTick Groupの間で共有されている可能性が高く、これらのグループ間の協力関係を示しています。

TAG-74が韓国の組織を標的にしつこく、北部戦区司令部と作戦上の連携がとれていることから、TAG-74は韓国、日本、ロシアで積極的かつ長期的な情報収集活動を継続することが示唆されている。特に、.chm 中国の国家支援を受けたアクターによるファイルは、韓国以外では特に一般的ではありません。しかし、韓国を標的とした活動におけるこの攻撃ベクトルの使用は、TAG-74キャンペーンと、より広く、KimsukyやAPT37などの北朝鮮の国家支援型脅威活動グループに起因する活動の両方で確認されています。組織は .chm の存在と使用を監視する必要があります特に、環境内で一般的に使用されていない場合、この戦術は近年脅威アクターの間で普及しているためです。

分析の全文を読むには、ここをクリックしてください。

付録A — 侵害を示す指標

ドメイン
 alleyk.onthewifi[.]コム
 anrnet.servegame[.]コム
 asheepa.sytes[.]網
 attachdaum.servecounterstrike[.]コム
 attachmaildaum.servecounterstrike[.]コム
 attachmaildaum.serveblog[.]網
 bizmeka.viewdns[.]網
 bucketnec.bounceme[.]網
 chsoun.serveftp[.]コム
 ckstar.zapto[.]組織
 daecheol.myvnc[.]コム
 eburim.viewdns[.]網
 eduin21.zapto[.]組織
 elecinfonec.servehalflife[.]コム
 foodlab.hopto[.]組織
 formsgle.freedynamicdns[.]網
 formsgle.freedynamicdns[.]組織
 fresh.servepics[.]コム
 global.freedynamicdns[.]網
 global.freedynamicdns[.]組織
 hairouni.serveblog[.]網
 hamonsoft.serveblog[.]網
 hanseo1.hopto[.]組織
 harvest.my-homeip[.]網
 hometax.onthewifi[.]コム
 hwarang.myddns[.]私
 jaminss.viewdns[.]網
 janara.freedynamicdns[.]組織
 jeoash.servemp3[.]コム
 jstreco.myftp[.]ビジネス
 Kanager.bounceme[.]網
 kcgselect.servehalflife[.]コム
 kjmacgk.ddnsking[.]コム
 kookmina.servecounterstrike[.]コム
 ksd22.myddns[.]私
 kumohhic.viewdns[.]網
 kybook.viewdns[.]網
 leader.gotdns[.]ch
 likms.hopto[.]組織
 logindaums.ddnsking[.]コム
 loginsdaum.viewdns[.]網
 mafolog.serveminecraft[.]網
 mailplug.ddnsking[.]コム
 minjoo2.servehttp[.]コム
 mintaek.bounceme[.]網
 munjanara.servehttp[.]コム
 necgo.serveblog[.]網
 pattern.webhop[.]私
 pixoneer.myvnc[.]コム
 plomacy.ddnsking[.]コム
 proeso.servehttp[.]コム
 prparty.webhop[.]私
 puacgo1.servemp3[.]コム
 saevit.servebeer[.]コム
 safety.viewdns[.]網
 samgiblue.servegame[.]コム
 sarang.serveminecraft[.]網
 satreci.bounceme[.]網
 sejonglog.hopto[.]組織
 signga.redirectme[.]網
 skparty.myonlineportal[.]組織
 steering.viewdns[.]網
 stjpmsko.serveblog[.]網
 surveymonkey.myddns[.]私
 themiujoo.viewdns[.]網
 tsuago.servehalflife[.]コム
 tsuagos.servehalflife[.]コム
 unipedu.servebeer[.]コム
 visdpaka.servemp3[.]コム
 visual.webhop[.]私
 wwl1764.ddnsking[.]コム
 
 IPアドレス
 45.133.194[.]135
 92.38.135[.]92
 107.148.149[.]108
 141.164.60[.]28
 148.163.6[.]214
 158.247.223[.]50
 158.247.234[.]163
 
 バイソナル
 01E5EBC2C096D465800660A0AD6D62208A5B2B675E3700F3734FAC225B1D38BD
 11cd4b64dcac3195c01ffc937ae1eb77aa2f98d560a75347036d54a1cf69a5fd
 A88CA28B0948E810D4EB519DB7B72A40CFE7907CE4c6A881A192880278F3C8B5
 89f250599e09f8631040e73cd9ea5e515d87e3d1d989f484686893becec1a9bc
 0ea0b19c562d20c6ac89a1f2db06eedcb147cde2281e79bb0497cef62094b514
 
ReVBShell (デコード済み)
 aa4ad5341a9258330abd732cbab3721d76764f1ff21a8f960622661d701a1a71
 8F50F49E77DDCC7EF639A76217B2EB25C48F9CE21AE8341050D0DA49B89B7B34
 ae0f641dc9d33ee50990971104ef1c598e216693700be6b74bb1e9ef373af97c
 465c7c6a0f23ba5f928fc0d0cdc4d9f6ec89e03dcedafc3d72b3b3c01a54a00c
 6A59421FD225D90439B6A933458718CF43DBE518C63979E8980BC070C070558A
 DF7D584D56AF6FCF3CCA31ED0D3A4D34ABD2C1019B8D223A230F8A78075A7D9A
 078a8026f32b8d05258285dc527408388c651f6c3eaebc45f8bb3f4b42248631
 
ローダー DLL
 C643598B4EE0E9B3B70DAE19437BBEC01E881A1AD3B2EC1F6F5C335E552E5D6E
 9425666e58b200306935c36301d66a4bf2c831ad41ea0ee8984f056257b86eb6
 A16997954B64499479B4721C9F742B5D2875496F2035E1C654B06694981041B2
 0d0acd7e7257a715c10dded76acb233adc8fdfe32857eda060bd1448e8b54585
 0EA02FDDF2EC96D4AEE8ADAFFDA2DD5fab0EA989B0C3F8C1577A1BE22EE9153A
 e3cdaa9bfba6bfac616b7f275c1e888b8910efcb8a3df071f68ad1e83710bd61
 9fdb528949a2b80ac40cb7d3333bdff5d504294cc3d90cf353db72b8beffd2b2
 607f324c3427916d67369e40af72aa441f3ca7be1e0ec6c53c3558fc7a1c4186
 8efc5db8c678bdf27dacbf033842c2ef676c979afdc4561cb8d315d2d488491f
 
CHM ファイル
 BEB09817608DABA003589292A6CCA2F724C52F756DF2EF0E230380345D702716
 ba07ee6409908384172511563e6b9059cf84121fcb42c54d45c76ec67cb36d7c
 bf1d1f5157756529d650719cc531ec2de94edb66ae1dabd00ed6f4b90a336d9c
 2dd7c9ea32f5b2a4d431fc54aa68cd76837f80bb324ef2e4e1e5134e467e35af
 56c9235e55b1a6371762159619e949686d8de2b45a348aeb4fd5bed6a126f66a
 dda47ba7a41c9a2f041cc10f9b058a78e0019315c51cc98d0f356e2054209ae5
 cf5bbbcb3f4d5123c08635c8fd398e55e516893b902a33cd6f478e8797eea962
 
HTML ファイル
 b3a8ea3b501b9b721f6e371dd57025dc14d117c29ce8ee955b240d4a17bc2127
 9d10de1c3c435927d07a1280390faf82c5d7d5465d772f6e1206751400072261
 0eea610ec0949dc602a7178f25f316c4db654301e7389ee414c9826783fd64c0
 8073593a7311bc23f971352c85ce2034c01d3d3fbbe4f99a8f3825292e8f9f77
 E1748E7E668D6FC7772E95C08D32F41AD340F4A9ACF0E2F933F3CBEBA7323AFA
 0D6893C7A3A7AFC60B81C136B1DCDFB24B35EFab01AAC165FE0083B9B981DA7C
 77fbb82690c9256f18544e26bb6e306a3f878d3e9ab5966457ac39631dfd2cb0
 
ファイル名
 韓国海洋大学
 SPM_(협력사)_사용자매뉴얼_v2.1.chm
 세종대학교 DID 연락처 Ver1.0(202103 현재).chm
 서울기독대 전자출결-웹페이지 교수자-메뉴얼 Ver1.0.chm
 2022년도_기초과학연구역량강화사업_착수보고회_개최_계획 Ver1.1.chm
 국토위 위원명단(사진)_Ver_1.2.chm
 비젠테크_Seculetter_제품소개서_2021 v1.4.chm
 통일부 남북경협관련 법인 연락처_Ver2.1.chm

    

付録B — MITRE ATT&CK手法

戦術：手法	ATT&CKコード
初期アクセス - スピアフィッシングの添付ファイル	T1566.001
実行- コマンドおよびスクリプトインタープリタ : Visual Basic	T1059.005
実行- ユーザー実行:悪意のあるファイル	T1204.002
固執- ブートまたはログオンの自動開始の実行: レジストリ実行キー/スタートアップフォルダー	T1547.001
防御回避 - ハイジャック実行フロー:DLL検索順序ハイジャック	T1574.001
防御回避 - システムバイナリプロキシの実行:コンパイルされたHTMLファイル	T1218.001
防御回避 - - 実行ガードレール	T1480
発見- ソフトウェア検出:セキュリティソフトウェア検出	T1518.001
コマンド&コントロール - データエンコーディング:標準エンコーディング	T1132.001
コマンド&コントロール - アプリケーション層プロトコル:Webプロトコル	T1071.001
コマンド&コントロール - 暗号化チャネル:対称暗号化	T1573.001
流出 - C2チャネルを介した流出	T1041