RedAlphaは、グローバルな人道主義者、シンクタンク、および政府機関を対象とした複数年にわたる資格情報の盗難キャンペーンを実施
編集者注:以下の記事は、レポート全文の抜粋です。 分析の全文を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。
このレポートでは、中国政府が支援していると思われる脅威活動グループRedAlphaが実施した複数のキャンペーンについて詳しく説明しています。 この活動は、大規模な自動ネットワークトラフィック分析と専門家による分析を組み合わせて特定されました。 データ・ソースには、Recorded Future® Platform、SecurityTrails、PolySwarm、DomainTools Iris、urlscan、および一般的なオープンソースのツールと手法が含まれます。 これは、中国のサイバー脅威活動に関連する戦略的および運用上のインテリジェンス要件を持つ個人や組織、およびグローバルな人道支援組織、シンクタンク組織、政府機関にとって最も興味深いものとなるでしょう。 このレポートの発行に先立ち、Recorded Futureは、インシデント対応と修復調査を支援するために、特定された活動について影響を受けるすべての組織に通知しました。
Executive Summary
中国共産党(CCP)が画策した人権侵害に関する人道支援団体や報道機関からの定期的な報道と並行して、Recorded Futureは、中国国家が支援するサイバースパイ活動や監視キャンペーンを定期的に観察しています。これは、そのような人権侵害を支援するために使用される情報収集を促進することを意図している可能性が高いです。このうち、2018年6月に 報告 したように、中国国家が支援する脅威活動グループである可能性が高いRedAlpha(Deepcliff、Red Dev 3)に起因する活動を引き続き追跡しています。 この時以来、私たちは、主に世界中の人道支援団体、シンクタンク、政府機関を標的とした大規模な認証情報窃盗活動に従事するグループを観察し続けています。
過去3年間で、RedAlphaは、国際人権連盟(FIDH)、アムネスティ・インターナショナル、メルカトル中国研究所(MERICS)、ラジオ・フリー・アジア(RFA)、台湾のアメリカ研究所(AIT)、その他の中国政府の戦略的利益に該当する他のグローバル政府、シンクタンク、人道組織など、何百ものなりすましドメインを登録し、武器化しているのを観察してきました。 歴史的に、このグループは、チベット人やウイグル人のコミュニティ内の個人や組織など、民族的・宗教的少数派を直接標的にすることも行ってきた。このレポートで強調されているように、近年、RedAlphaは、おそらく政治的情報を収集するために、台湾の政治、政府、シンクタンク組織のなりすましにも特に関心を示しています。
主な判断
- RedAlphaは、中国国家に代わってサイバースパイ活動を行っている請負業者に起因する可能性があります。 この評価は、中国共産党の戦略的利益に沿った同グループの一貫した標的設定、ペルソナや中華人民共和国(PRC)に拠点を置く民間企業との歴史的なつながり、中国の諜報機関による民間請負業者の広範な定期的な文書化された使用に基づいている。
- この活動では、RedAlphaは、標的となった個人や組織の電子メールアカウントやその他のオンライン通信にアクセスしようとした可能性が非常に高いです。
- RedAlphaがアムネスティ・インターナショナルやFIDHなどの組織を標的にし、人道的および人権的になりすましを行っていることは、中国共産党が中国のウイグル人、チベット人、その他の民族的および宗教的少数民族グループに関連して人権侵害を報告していることを考えると、特に懸念される。
背景
少なくとも2015年以降、大量の運用インフラストラクチャを制御し、高い運用テンポを維持してきましたが、過去数年間、RedAlphaの活動に関する公開報告は最小限に抑えられています。 2018年にCitizenLabによって最初に 特定 されたこのグループは、南アジアと東南アジアのチベット人コミュニティやその他の少数民族、社会運動、メディアグループ、政府機関を対象としたクレデンシャルフィッシング作戦を行っていることが確認されました。 2018年6月には、チベット人コミュニティを標的とした2つのRedAlphaキャンペーンに関連する活動 を公開し 、最終的にオープンソースのマルウェアファミリーであるNjRATを展開しました。 これら2つのキャンペーンは、WHOIS登録者データの照合、チベット人コミュニティの一般的なターゲティング、およびホスティングの重複に基づくCitizenLabのレポートと重複していました。 このレポートで調査したRedAlphaの活動は、PWCの2021 年のレビューでも参照されており、Red Dev 3という名前でグループを追跡しています。
歴史的なRedAlphaの活動は、チベット人、ウイグル人、法輪功の支持者など、中国国内で迫害されてきた複数の民族的および宗教的少数派のコミュニティを対象としていました。 より一般的には、中国国内の民族的・宗教的少数派、特にいわゆる「五毒」に属する組織や個人は、長年にわたり、中国の諜報機関に関連するサイバー脅威活動グループの標的となってきた。 これには、 バチカン やチベット人および香港のカトリックコミュニティに関連する組織を対象としたRedDelta(Mustang Panda、TA416)が含まれます。中国国家安全部(MSS)の請負業者が、中国のキリスト教宗教人物の電子メール を標的 にしている。APT41(バリウム)は、香港の民主化運動に関連する活動家やその他の個人に対して 偵察を行っています 。また、ゼロデイ脆弱性を利用してウイグル人コミュニティのメンバーを 標的 にすること。
脅威分析
過去3年間、Recorded Futureは、RedAlphaがキャンペーンをサポートするために大規模な運用インフラストラクチャを使用してクレデンシャルフィッシング活動を継続的に実施していることを確認しています。 この期間中、グループは一貫した一連の戦術、技術、および手順(TTP)を示しました。 2019年後半から2020年初頭にかけて、このグループは、GoDaddyによるドメイン登録やChoopa(Vultr)およびForewin Telecomインフラストラクチャでのホスティングなど、公開レポートで示された古いインフラストラクチャTTPから、次のセクションで説明するインフラストラクチャに移行した可能性があります。
RedAlphaインフラストラクチャの戦術、技術、および手順
少なくとも2015年以降、RedAlphaは一貫して大量のドメインを登録し、武器化して認証情報を盗むキャンペーンに使用してきました。 これらのドメインは通常、有名な電子メールサービスプロバイダーを模倣し、RedAlphaの活動で直接標的にされているか、近接した組織や個人を標的とした活動でそれらの組織になりすますために使用できる特定の組織になりすます。 2021年には、グループが登録したドメインの量が大幅に増加し、合計で350を超えました。 この期間中、グループのインフラストラクチャTTPは、このアクティビティをまとめてクラスター化することを可能にした次の基準によって特徴付けられました。
- *resellerclub[.]コム ネームサーバー
- 仮想プライベートサーバー(VPS)ホスティングプロバイダーのVirtual Machine Solutions LLC(VirMach)の使用
- 一貫性のあるドメイン命名規則 (数百のドメインで "mydrive-"、"accounts-"、"mail-"、"drive-"、"files-" の文字列を使用するなど)
- WHOIS登録者の名前、メールアドレス、電話番号、組織の重複
- 特定のサーバー側のテクノロジーコンポーネントの使用と偽のHTTP 404 Not Foundエラー
Yahoo(135のタイポスクワットドメイン)、Google(91のタイポスクワットドメイン)、Microsoft(70のタイポスクワットドメイン)などの主要な電子メールおよびストレージサービスプロバイダーの一般的ななりすまし以外にも、次のような人道的組織、シンクタンク、政府機関をタイポスクワッティングする多数のドメインの使用が観察されました。
- ラジオ・フリー・アジア
- メルカトル美術館中国研究所
- アムネスティ
- 国際人権連盟
- 米国商工会議所(AmCham台湾を含む)
- パデュー大学
- インド国立情報センター
- 台湾の民主進歩党
- 台湾のアメリカンインスティテュート
- 世界各国の外務省
次のセクションで取り上げる多くのケースでは、観察されたフィッシングページは、上記の特定の組織の正当な電子メールログインポータルを反映していました。 これは、単にこれらの組織を模倣して他の第三者を標的にするのではなく、これらの組織に直接関係する個人を標的にすることを意図していたことを意味すると私たちは考えています。 また、フィッシングページが一般的なメールプロバイダーの一般的なログインページを使用しており、意図したターゲティングが曖昧なケースもありました。 このグループは、特定されたフィッシングサイトへのリンクを含む基本的なPDFファイルを使用しており、通常は、ユーザーがファイルをプレビューまたはダウンロードするためにリンクをクリックする必要があると述べています。
人道支援団体やシンクタンクを標的に
前述のように、RedAlphaは、MERICS、FIDH、アムネスティ・インターナショナル、RFA、複数の台湾のシンクタンクなど、人道支援団体やシンクタンクを模倣したドメインを定期的に登録しています。 特に注目すべきは、2021年初頭から半ばにかけて、MERICSを偽装するドメインが少なくとも16件登録されたのは、2021年3月に中国外交部(MOFA)がベルリンに拠点を置くシンクタンクに 制裁を課 したのと同時期であることです。
RedAlphaの一貫した台湾への注力
過去3年間、RedAlphaは一貫して台湾または台湾を拠点とする政府、シンクタンク、政治組織になりすましたドメインを登録していることを確認しました。 特に、これには、過去1年間に台湾に関する米中の緊張 が高まっ ていた時期に、台湾の事実上の アメリカ合衆国大使館である AITを模倣した複数のドメインの登録が含まれていました。広範な活動と同様に、これらのドメインは、Outlookなどの一般的な電子メールプロバイダーの偽のログインページを使用したクレデンシャルフィッシング活動や、これらの特定の組織で使用されているZimbraなどの他の電子メールソフトウェアをエミュレートして使用されていました(図6を参照)。 表1は、台湾の組織になりすましているタイポスクワットドメインのサンプルリストを示しています。
RedAlphaが外務省と大使館を標的に
PWCの2021年レビュー レポートに記載されているように、RedAlphaの活動は過去数年間で拡大し、複数の国の外務省になりすましたクレデンシャルフィッシングキャンペーンが含まれています。 台湾とポルトガルのMOFAのWebメールログインポータルを模倣したフィッシングページ(図7および図8を参照)や、ブラジルとベトナムのMOFAを偽装した複数のドメインが確認されました。 前のセクションでは、AITを模倣したドメインの一貫した使用についても取り上げました。 また、このグループは、インド政府の広範なITインフラストラクチャとサービスを管理するインドの国立情報センター(NIC)のログインページを一貫して偽装しています。
編集者注:この記事はレポート全文の抜粋です。 分析の全文を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。
関連