RedAlpha:チベット人コミュニティを対象とした新しいキャンペーンが発見されました

ここをクリック をクリックして、完全な分析をPDFとしてダウンロードします。

スコープノート:Recorded Futureは、チベット人コミュニティを標的とした新しいマルウェアを分析しました。 このレポートには、マルウェア自体と関連するインフラストラクチャの詳細な分析が含まれています。 ソースには、Recorded Futureのプラットフォーム、VirusTotal、ReversingLabs、サードパーティのメタデータのほか、DomainTools IrisやPassiveTotalなどの一般的なOSINTおよびネットワークメタデータのエンリッチメント、および研究者のコラボレーションが含まれます。¹ この研究の推進力は、被害者と思われる人々の保護に活用できる指標を提供することと、敵対者のTTPの変化の可能性に対する認識を高めることの2つです。

Executive Summary

Recorded FutureのInsikt Groupは、過去2年間にチベット人コミュニティを標的とした2つの新たなサイバースパイ活動を特定しました。 私たちが総称してRedAlphaと名付けているキャンペーンは、光の偵察、選択的なターゲティング、および多様な悪意のあるツールを組み合わせたものです。 この活動は、インドに拠点を置くチベット人コミュニティを標的に観察された新しいマルウェアサンプルからピボットした結果として発見されました。

Insikt Groupが新しいキャンペーンのインフラストラクチャの重複を分析したところ、南アジアと東南アジアの政府に加えて、中国の「5つの毒」²をより広く標的にしていることが明らかになりました。 このキャンペーンが「Five Poisons」関連組織を対象としていること、重複するインフラストラクチャ、調査中に明らかになった他の中国のAPTが使用したマルウェアへのリンクに基づいて、RedAlphaキャンペーンは中国のAPTによって行われたと中程度の信頼性で評価しています。

背景

長年にわたり、チベット人とウイグル人のコミュニティは、 エクスプロイト、 フィッシング、 水飲み場型攻撃、 Windows、 MacOS、最近では Androidなどの複数のプラットフォームを悪用するマルウェアを通じて、多くの脅威アクターの標的にされてきました。 当然のことながら、攻撃者には複数の中国の脅威アクターが含まれており、その中には元の Winntiグループ、 LuckyCat、 NetTravelerだけでなく、 MiniDuke や EquationGroupなどの他の攻撃者も含まれています。 標的となるコミュニティを支援することで、研究者は被害者を保護しながら新たな悪意のあるキャンペーンを発見することができますが、繰り返し発見しても、最終的に攻撃者を抑止することにはほとんど役立ちません。

RedAlphaキャンペーンは、2017年半ばにインドのチベット人コミュニティをターゲットにして始まりました。 最新のキャンペーンは現在も進行中で、2018年4月下旬に新しいサブドメインが登録されました。 この脅威アクターは、被害者の偵察とフィンガープリントを慎重に組み合わせ、その後、多段階のマルウェアによる選択的なターゲティングを利用しました。 利用されたマルウェアは、2017年のキャンペーンでは信頼性の高いカスタムツールセットから、より慎重で控えめなアプローチに変わり、2018年にはコモディティマルウェアで終わりました。 これら2つのキャンペーンを連続して観察すると、比較的知られていない脅威アクターの進化が明らかになります。

RedAlphaキャンペーンから選択したアクティビティの将来のタイムラインを記録しました。

RedAlphaキャンペーンの概要

2017年のhktechyキャンペーンは、そのコマンドアンドコントロール(C2)サーバーの1つにちなんで名付けられ、2017年6月に開始されました。 32ビットと64ビットの両方のWindowsシステムに対して、主にカスタムマルウェアの2つのステージを採用しました。 最初の段階は、ペイロードをダウンロードし、Windowsサービスとしての永続性を確立するように設計された単純なドロッパーでした。 次の段階は、システム情報を収集し、ファイルとディレクトリ全体を圧縮して、それらを盗み出すように設計されたインフォスティーラーでした。 このマルウェアは、IISが設定されたサーバーに依存するデュアルC2インフラストラクチャを使用し、POSTリクエストを介してファイルと情報を2番目のサーバーに送信していました。

2017年のhktechyキャンペーンでC2ドメインの登録に使用されたのと同じメールアドレスが、別のドメインの登録にも使用され、香港のIPに解決されたことがわかりました。 このIPは、2016年と2017年にチベット人に対して行われたフィッシングキャンペーンと以前関連付けられており、今年初めにCitizen Labが 報告しました 。 このインフラストラクチャの重複により、3つのキャンペーンすべてを同じ脅威アクターに帰属させることができました。 この歴史的な活動は、南アジアおよび東南アジア諸国の政府ネットワークを含む、このグループの広範なターゲティングプロファイルを示しています。 また、このレポートでは、このグループが被害者のネットワークにアクセスするために、Microsoft、Google、Yahooなどの欧米のウェブメールやクラウドサービスプロバイダーになりすましていたことも強調されています。

シチズンラボは、彼らが観察したキャンペーンの背後にいるアクターは、「ずさんな」手口を示し、安価なインフラストラクチャを利用した「低レベルの請負業者」であった可能性があると評価しました。 2017年のhktechyキャンペーンの観察では、攻撃者が最初から冗長な通信を備えたカスタムマルウェアの使用に習熟していることが示されており、攻撃者の巧妙さのレベルが高まっていることを示唆しています。

2018年のinternetdocssキャンペーンは1月に始まり、少なくとも2018年4月下旬まで続いた。 このキャンペーンでは、hktechyツールキットからの突然の脱却が明らかになり、カスタムの第1段階ドロッパーが、被害者の環境をチェックし、C2に基本的なシステム情報をビーコンで送信してからさらにドロップを試みるバリデータースタイルのインプラントに置き換えられました。 その後、攻撃者はコモディティマルウェアであるnjRATを選択的に特定の被害者のマシンに展開しました。 その結果、どちらの段階も、被害者の偵察、ドロップ、流出など、攻撃キャンペーンのすべての側面で単一のC2サーバーと通信していることがわかりました。

カスタムツールからコモディティマルウェアへの移行は、APT研究コミュニティで観察されている敵対的TTPの広範な変化を表しています。 より厳しい監視の目にさらされる中、 犯罪 者グループと 国家支援グループ の両方が、コモディティマルウェアや侵入テストツールへの依存度を高めています。 この変化は、攻撃者にとって二重の付加価値を表しています:1つ目は、彼らの操作が一般的なツールのより大きな使用に溶け込むこと、そして2つ目は、発見時の再編成のコストを削減することです。

2018年のinternetdocssキャンペーンで示された慎重で選択的なターゲティングは、より経験豊富なアクターまたは組織が進行中のキャンペーンに関与しているという理論を裏付けています。 未熟な攻撃者は、被害者の機関にスプレーをかける傾向があり、多くの場合、同じ被害者を複数回標的にし、偵察フェーズを先取りして、騒々しいスマッシュアンドグラブスタイルの操作を好みます。 私たちの調査によると、このグループのターゲティングは細心の注意を払っています。 攻撃者は、目的の被害者を偵察することから始めて、C2サーバーを介して正当なニュース記事に誘導することで、被害者のオペレーティングシステムの指紋を採取することができました。 私たちがこれらのドロップを観察したところでは、クリックする意思のある人の一部だけが、チベット人学者の支援を求める慎重に細工されたルアーで提供されました。 添付ファイルは、永続性を確立し、第 1 段階のバリデーター インプラントをデプロイするエクスプロイト ドキュメントでした。

攻撃者の識別力を示す最後のショーとして、バリデーターインプラントは、一般的なウイルス対策ソリューションについて被害者の環境を調査し、仮想環境を調査し、基本的な被害者のシステム情報を送信する定期的なビーコンを確立します。 この保護措置は、hktechyキャンペーンのカスタムツールキットには存在していませんでした。 次に、攻撃者は、njRATコモディティマルウェアペイロードを配信する被害者を慎重に選択しました。

RedAlphaキャンペーンに関連するサンプルは依然として非常に稀で、2つのキャンペーンで確認されたサンプルは20未満です。 カスタム サンプルは C++ でコーディングされます。 2018 年のドロッパーは、 Haxe と呼ばれる珍しい C++ クロスプラットフォーム フレームワークに依存して、主に中国語のフォーラムやブログで公開されているソースコードの断片をつなぎ合わせました。

私たちは、RedAlphaキャンペーン中、そしておそらく彼らの古い作戦に使用された無数の絡み合ったインフラストラクチャを発見しました。これらは、以下のMaltegoチャートにまとめられています。

RedAlphaキャンペーンインフラストラクチャ2017–2018(画像をクリックすると拡大表示されます)。

テクニカル分析:マルウェアとツール

Hktechyキャンペーン(2017年半ば)

RedAlphaキャンペーンは、2017年半ばのhktechyキャンペーンから始まったと評価しています。 感染経路は現在不明ですが、カスタムのマルチステージマルウェア(単純なドロッパーとペイロード)が使用されています。 ドロッパーは、インフォスティーラーペイロードの永続性をWindowsサービスとして確立しました。 どちらのステージも、32 ビットと 64 ビットの両方の Windows システムで使用できます。 改良されたスタンドアロンの 64 ビット インフォスティーラー (NetHelp Striker) の 1 つのサンプルについても、以下で説明します。

2017年:オーディオドロッパー

ドロッパーは、スタートアップファイルとして独自の永続性を確立しようとしました。 次に、 http://doc.internetdocss[.]com/nethelpx86.dll 0 として保存し、<C:\Windows\nethelp.dll> として保存しました。 この次の段階のペイロードの永続性は、Windows Service Host(svchost.exe)を介して実行されるサービスとしてnethelp.dllを登録することによって確立されました 過程。 サービスが効果的に実行されていることを確認すると、ドロッパーはドロップされたファイルを削除して自己削除しました。 それ以外の場合は、 http://doc.internetdocss[.]com/audiox86.exe、 したがって、攻撃者は予期しない問題を軽減するための更新メカニズムを提供します。

ドロッパーのx86-64バリアントは同じ機能を持っていましたが、代わりに同じC2サーバーからの64ビットドロップを参照していました。

2017年:ドロッパーバリアント

2017年:NetHelp Infostealer

NetHelp ペイロードは、サービスとしてのみ機能するように設計されています (一致するビット数のオーディオドロッパーによって確立される永続化方法)。 ペイロードは、実行時に GetProcAddress と LoadLibrary を介して API を動的にリンクします。

インプラントは同時に2つの通信方法に依存していました:<www.hktechy[.]コム> ポート80のサーバー、および<index.ackques[.]コム> 特定のUser-Agentを持つC2サーバー(下の写真を参照)。

POST 要求テンプレートは、ファイル ハンドルとサイズと共にパラメーターとして渡されます。

hktechy ソケットは、被害者のシステムに関する情報を送信するために使用され、POST リクエストは "index.acques[.]com/index.html」 主に被害者のシステムからzlib圧縮ファイルをアップロードしました。

ファイル・スティーリング・ロジックのswitch文の部分的な逆コンパイル。

上のスクリーンショットが示すように、ファイル窃取ロジックは、以下を含む広範なswitchステートメントの形でインプラントに組み込まれています。

• ファイルとフォルダの列挙。
• 個々のファイルのアップロード、移動、削除。
• WinRAR^3e (rar.exe)を使用して、アップロード前にディレクトリ全体を圧縮します。
• フルパスでRARファイルを抽出します。
• ディレクトリ全体を削除する(クリーンアップまたは基本的なワイプを選択するため)。
• 特定のパラメータを持つファイルまたはプログラムを開く。

hktechy C2メカニズムは、論理ボリュームやファイルリストに関する情報など、被害者のシステムに関するより詳細な情報をアップロードするために使用されます。 また、攻撃者は感染したマシンにファイルを送信し、必要に応じてさらにペイロードを実行することもできます。

バイナリ内の実行時の型識別シンボルの分析は、クライアント ソケットを管理するためのコード、コマンド ライン シェルとの間のパイプ、ファイルのアップロードなど、一部の機能がオープン ソースの Gh0st RAT から削除されたことを示しています。 仮想クラス "CUploadManager" の追加ソース コードは、"Chinese Software Developer Network" の投稿から引用された可能性があります。

2017年:NetHelp Infostealer のバリエーション

2017年:NetHelpストライカーインフォスティーラー

元の NetHelp インフォスティーラーのコンパイルタイムスタンプから 1 か月後、攻撃者は新しいバージョンをコンパイルしました。

NetHelpバリアントの類似性の内訳。

標準の 64 ビット NetHelp インフォスティーラーと新しい NetHelp Striker インプラントの差分では、いくつかの小さな変更が示されました。関数の 10% 未満がまったく新しい機能を表していました。 これらの変更により、ペイロードは自立するようになり、最初のドロッパーモジュールを必要とせずに独自の永続性を確立することができ、被害者のマシンでは利用できない可能性のあるサードパーティのソフトウェアに頼らずに一連のドキュメントを盗むことができるようになりました。

2017年:NetHelpストライカーインフォスティーラー

最も注目すべきは、このアップデートにより、Infostealer Strikerペイロードがそれ自体をインストールできたことです。 これは、単語(x32|x86)の永続性機能を複製しました.exe ドロッパーは、svchost.exeが運営するサービスとしてのnethelp.dll(「Windowsインターネットヘルプ」)を確立しました。 その機能には、「install」という名前の新しいエクスポートを介してアクセスできます。

さらに、この新しいバージョンでは、ディレクトリ全体を圧縮するためにWinRar(rar.exe)の可用性に依存しなくなりました。 インフォスティーラーは、ファイルサイズの変更を監視し、更新されたファイルのコピーをC2サーバーに送信するようになりました。

最終的に、hktechyドメインはstriker.internetdocss[.]コム このバリアントの名前の由来です。

Internetdocssキャンペーン(2018年〜現在)

RedAlpha internetdocssキャンペーンは2018年1月に始まりました。 確認された感染経路は、チベット人学者の助けを求めるソーシャルエンジニアリングの電子メールで配信されるエクスプロイトルアー文書の使用です。 このキャンペーンは、単一のC2、最小限のツール、およびより選択的な感染のみに依存しています。 エクスプロイトドキュメントは、公開されているソースコードからつなぎ合わせたカスタムバリデータースタイルのインプラントと、クロスプラットフォームのC ++フレームワークをインストールします。 次に、攻撃者は、感染した被害者のうち、第2段階のペイロードに値するものを選択します。 このキャンペーンで特定された唯一の第2段階の下落は、コモディティRATで構成されていました。

2018年:感染ベクター

おとり文書は、埋め込まれたDLLをロードするためにMicrosoft Office Equation Editor⁴ を悪用するために武器化されています。 興味深いことに、おとりドキュメント自体には、言語リソース (米国英語、サウジアラビア アラビア語、中国語) の珍しい組み合わせがあります。 ルアー(下の写真)は仮想マシンで適切にレンダリングされませんでしたが、マルウェアの実行を防ぐことはできませんでした。

ルアー ドキュメントが誤ってレンダリングされました。

実行されると、ルアードキュメントは埋め込みDLL(MD5:e6c0ac26b473d1e0fa9f74fdf1d01af8)をロードし、バリデータインプラントを「winlogon.exe」という名前でユーザーの「Temp」ディレクトリにドロップします。 永続性は、レジストリ実行キーによって確立されます。

バリデーターの埋め込みを「winlogon.exe」として入力します。

2018年:バリデータースタイルのビーコン

2018年のinternetdocssキャンペーンのマルウェアは、2017年のhktechyキャンペーンで同じ脅威アクターが使用したマルウェアとは一線を画しています。 最初の段階はもはやナイーブなドロッパーではなく、攻撃者はさらにマルウェアを展開する前に被害者を検証することを選択しました。 このインプラントは、マシンのマルウェア対策製品を調査し、被害者のマシンをプロファイリングし、ビーコン情報をC2サーバーで収集します。 その後、攻撃者は次の段階のペイロードを選択的に活用できます。

マルウェア自体のコーディングは、その洗練されていないカットアンドスプライスの効率で注目に値します。 これは、 Haxe クロスプラットフォーム フレームワークを使用して C++ 用にコンパイルされています。 ほとんどの実行フローは、1 つの main 関数にまとめられています。 基本的な機能は、以下に示すように、中国のブログやフォーラムにあるさまざまなオープンソースコードからコピーされたようです。

OSのバージョンと正確な比較リストの決定。

WMI はセキュリティ製品をチェックします。

このインプラントは、軽く難読化されたユーザー情報とOSバージョンを一定の間隔でdoc.internetdocss[.]コム C2 サーバー。

2018年:カスタムドロッパーバリアント

njRAT: 第 2 段階ペイロード

We were able to identify a single case of a next-stage drop. Despite its scarcity, the payload turned out to be a standard version of njRAT (aka Bladabindi). This piece of commodity malware was originally highly prevalent in targeting entities in the Middle East, but variants have been observed being used against victims worldwide. The only thing that sets this payload apart from the standard njRAT is its configuration,⁵ which points to the same C2 server and subdomain as the first-stage validator: doc.internetdocss[.]com. 

njRATデコードされた出力。

Citizen Labが説明したマルウェアとの類似性

Citizen Labがレポートで説明した マルウェア は、2017年のhktechyキャンペーンで使用されたNetHelp Infostealerの亜種と直接重複するコードを共有していません。 ただし、2018年のinternetdocssキャンペーンとコーディングスタイルにいくつかの類似点があります。 internetdocss validatorと同様に、Citizen Labが説明したマルウェアはC++でコーディングされ、クロスプラットフォームフレームワーク(この場合はHaxecppではなくQtバージョン4)に依存していました。 さらに同様の特性として、Citizen Labが説明しているマルウェアは、単一のC2サーバーと通信して被害者のマシンからファイルを盗むファイルスティーラーとして機能し、中国語の文字との間の変換にGBKコーデックに依存していることが挙げられます。

インフラ

Hktechyキャンペーン(2017年半ば)

2017年のhktechyキャンペーンでは、C2ドメインdoc.internetdocss[.]コム。 このドロッパーは、さらに2つのC2ドメイン( www.hktechy[.]コム および index.ackques[.]コム。

2017年のhktechyキャンペーンインフラストラクチャの概要(画像をクリックすると拡大表示されます)。

Passive DNS resolutions reveal that doc.internetdocss[.]com first resolved to Japanese IP 220.218.70[.]160 on June 28, 2017, only a few weeks after the original dropper was compiled on June 11. The domain continued to resolve to the same Japanese IP until September 14, 2017, after which it was withdrawn from use until the domain reappeared again for the internetdocss campaign in 2018.

Additional domains that resolved to 220.218.70[.]160 between June 28 and September 14, 2017 are detailed below:

Hktechy[.]com was first observed on June 19, 2017, when it resolved to a Chinese IP, 198.44.172[.]97, belonging to Chinese VPS provider VPSQuan LLC. Four hashes, listed in the table below, were correlated with this IP, using the Proofpoint’s Emerging Threats data within RiskIQ.⁶ All except one of the samples were also deployed from Japanese IP 220.218.70[.]160 that hosted doc.internetdocss[.]com in 2017. While three of the hashes were positively identified in this report as being associated with the 2017 hktechy campaign, we were unable to acquire one of the samples (MD5: 1b67183acc18d7641917f4fe07c1b053) from common malware multiscanner repositories at the time of writing. We suspect this sample may be a variant of the 2017 infostealer malware.

Links between hktechy NetHelp Infostealer variants and 220.218.70[.]160.

Internetdocssキャンペーン(2018-進行中)

前に詳述したように、internetdocssバリデータはdoc.internetdocss[.]コム C2の場合。

2018年のinternetdocssキャンペーンインフラストラクチャの概要(画像をクリックすると拡大表示されます)。

Forward DNS lookups reveal that doc.internetdocss[.]com currently points to Singaporean IP 45.77.250[.]80 (Choopa, LLC), and historically resolved to at least two other IPs:

doc.internetdocss[.]コム。

As noted earlier, doc.internetdocss[.]com was also configured as a C2 during the 2017 hktechy campaign when it resolved to Japanese IP 220.218.70[.]160. This infrastructure overlap ties the two campaigns together, increasing our confidence in attributing both to the same threat actor.

Singapore IP 45.77.250[.]80

Investigation into the 45.77.250[.]80 IP revealed several related subdomains of internetdocss[.]com:

Other domains resolving to SG IP 45.77.250[.]80.

上の表に挙げたドメインの多くには、チベット独立運動、法輪功信者、民主化運動など、中国で検閲されたトピックを参照し、 中国の五毒に関連する用語が含まれていることがわかります。 インドの著名なメディアであるNDTVも、おそらくインドに亡命したチベット人コミュニティをさらに標的にするために、なりすましをしている。

これらのドメイン登録の性質から、このキャンペーンは、中国の伝統的な、イデオロギー的な、地域的な地政学的なターゲットを包含し、より広範なものとなることを意図していたと思われます。

Japan IP 220.218.70[.]160

As briefly noted previously, Japanese IP 220.218.70[.]160 hosted doc.internetdocss[.]com between June 28, 2017 and September 14, 2017.

Additionally, u2xu2[.]com also resolved to 220.218.70[.]160 between August 20, 2017 and April 8, 2018. The full resolution history of u2xu2[.]com is noted below:

u2xu2[.]コム。

While conducting further research on 220.218.70[.]160, we came across the file “Microsoft_Word_97_-_2003___1.doc” (MD5: 1929db297c9d7d88a6427b8603a7145b) in VirusTotal which referenced 220.218.70[.]160 within the document body.

Preliminary analysis of this file suggest it was authored by one “AdminFuke” with the character encoding set to “Simplified Chinese GBK.” Once opened, this Word document attempts to download an HTML executable (HTA) file from the same C2 (hXXp://220.218.70[.]160/sec.hta).

This trojanized Microsoft Word document exploits CVE-2017-0199 and was first uploaded to multiscanner repositories on May 8, 2017, putting it firmly within the 57-day CNNVD publication lag for the disclosure of the CVE-2017-0199 vulnerability that was first disclosed by Recorded Future in research published in November 2017.

NetHelp Striker Infostealer と共有 SSL 証明書

Earlier in this report, we discussed the NetHelp Striker implant which amongst other modifications resulted in a new C2 domain being embedded into the malware — striker.internetdocss[.]com. This domain’s recent DNS resolution history differs from the wider infrastructure used by the threat actor responsible for the RedAlpha campaigns; it has never resolved to the common 45.77.250[.]80 Choopa LLC VPS like every other subdomain of internetdocss[.]com.

Striker.internetdocss[.]com currently resolves to a WebNX U.S. IP address, 142.4.62[.]249. Previously, striker.internetdocss.com resolved to HK IP 27.126.179[.]157 (Forewin Telecom Group Limited). It is important to note that this IP is in the same immediate netblock as the IP that previously hosted u2xu2[.]com (27.126.179[.]158). Furthermore, the exact same SSL cert (SHA1: c8e61a4282589c93774be2cddc109599316087b7) was observed on all Forewin Telecom registered IPs in the range 27.126.179[.]156 — 27.126.179[.]160.

Delving deeper into historical SSL certs assigned to this small netblock, we found four of the five Forewin telecom IPs had also shared SSL cert SHA1: dd3f4da890fa00b0b6032d1141f54490c093c297 in the past. This cert was active on the 27.126.179[.]159 Forewin IP when it had tk.u2xu2[.]com pointing to it. This enabled us to identify http.ackques[.]com, a sibling of the 2017 NetHelp infostealer C2 domain index.ackques[.]com, resolving to the same IP 27.126.179[.]159, thus reaffirming that 27.126.179[.]156 – 27.126.179[.]160 is a netblock likely managed by the same threat actors behind the RedAlpha campaigns. Common SSL certificates and sibling domains among the same small netblock are strong indicators that that this small netblock was administered by the same group.

Hong Kong IP 122.10.84[.]146

前に述べたように、doc.internetdocss[.]コム 2018年2月8日から2018年3月27日の間にこの香港のIPに解決しました。 しかし、2018年3月23日以降、ドメインsp.u2xu2[.]コム それに解決します。

We assess that sp.u2xu2[.]com and doc.internetdocss[.]com are likely administered by the same threat actor because both have pointed at 122.10.84[.]146 in the past and the parent domain, u2xu2[.], resolved to the same Japanese IP 220.218.70[.]160 as doc.internetdocss[.]com also resolved to previously. There is no evidence to suggest either domain or associated IP infrastructure were reassigned or picked up by another entity in the researched timeframe.

Retrospective analysis in malware multiscanner repositories identified several files associated with the 122.10.84[.]146 IP:

• MD5: c94a39d58450b81087b4f1f5fd304add. これは、RedAlpha 2018 internetdocss キャンペーンで使用されたカスタムの 1 段階目のドロッパーの亜種です。
• MD5: 3a2b1a98c0a31ed32759f48df34b4bc8 ("qww.exe")。 これは、njRATをドロップする第2ステージのペイロードを含む代替の第1ステージバリデータです。
• Likely related to the “qww.exe” validator. We discovered a version of njRAT (also known as Bladibindi) hosted on the same 122.10.84[.]146 Hong Kong IP (filename serverdo7468.exe, MD5: c74608c70a59371cbf016316bebfab06).

ターゲット

チベット人だけが標的ではない

The domain registrant for RedAlpha’s 2017 campaign C2, hktechy[.]com, was steven-jain@outlook[.]com. Pivoting on this email address reveals it was also used to register a similar domain, angtechy[.]com, on June 20, 2017. Angtechy[.]com continues to resolve to Hong Kong IP 115.126.39[.]107 which has hosted over 60 domains since mid-2015. Many of these domains were spoofing specific organizations such as the Office of His Holiness the Dalai Lama (webmail-dalailama[.]com), the Sri Lankan Ministry of Defense (mail-defense[.]tk), and a Chinese online car auction site (mail-youxinpai[.]com) as shown in the table below. Other domains hosted on 115.126.39[.]107 included spoofs of generic webmail and cloud services provided by Google, Yahoo, and Microsoft.

Selection of spoofed domains hosted on 115.126.39[.]107.

115.126.39[.]107 and many of the spoofed domains were reported in research conducted by Citizen Lab in January 2018, detailing a widespread phishing campaign targeting the Tibetan community and government agencies in South and Southeast Asia. The infrastructure overlap associating the campaigns reported by Citizen Lab with the hktechy campaign provides strong evidence that the same threat actor may be responsible for the targeting of the Tibetan community and other victims from as early as 2015.

インドのターゲティング?

Metadata analysis of the researched Hong Kong IP 122.10.84[.]146 revealed that between April 2 and April 23, repeated SSL connections were made with two IPs in India (103.245.22[.]117, 103.245.22[.]124) that resolve to MahaOnline services. MahaOnline is an e-portal for the Government of Maharashtra, a state in Western India for which Mumbai is the capital. The e-portal enables citizens to access civil services and hosts domains such as swayam.mahaonline.gov[.]in (a tribal development program website) and molpg.mahaonline.gov[.]in (an online payment gateway).

While we have not directly observed any malicious communications between the Hong Kong IP 122.10.84[.]146 and the Mahaonline IPs, the volume of connections from the Mahaonline IPs to port 443 on the Hong Kong C2 may indicate the successful targeting of the e-portal. In addition, there are no legitimate services hosted on the Hong Kong C2 that could explain these connections.

脅威アクター

FF-RATの使用と中国のAPTへのリンク

As highlighted previously, a shared SSL certificate was present on Hong Kong IP 27.126.179[.]159 when it hosted tk.u2xu2[.]com. Exploring historical DNS resolutions, we found tk.u2xu2[.]com resolved to Hong Kong IP 103.20.193[.]156 between June 2016 and November 2016. This IP was registered to Shenzhen Katherine Heng Technology Information Company Ltd. During the same time window, we found that malicious MD5: 83ffd697edd0089204779f5bfb031023 was communicating with tk.u2xu2[.]com.

The ReversingLabs enrichment in Recorded Future confirmed that 83ffd697edd0089204779f5bfb031023 was first observed in the wild in June 2016, assigning it a “65” risk rating and classifying it under the Tiniwen malware family. Tiniwen is more widely known as FF-RAT which has been around since at least 2012, with public reporting of FF-RAT exclusively associating it with Chinese APT activity. In 2015, the FBI reportedly highlighted FF-RAT as “one of the more effective tools” leveraged during the successful targeting of the U.S. Office of Personnel Management (OPM), widely believed to have been conducted by a Chinese APT.

さらに、2017年6月 の研究論文で 、CylanceはC2 tk.u2xu2[.]コム。 ここで示された関連性に基づいて、FF-RATは、おそらく2016年という早い時期に、RedAlphaの背後にいるのと同じ脅威アクターによって使用された可能性が高いと評価します。

Finally, according to WHOIS data, 13316874955@163[.]com was used to register the Hong Kong IP 103.20.193[.]156. This email address has registered at least another 125 IP addresses, all at Shenzhen Katherine Heng Technology Information Company Ltd, with several of the IPs tagged for linkages⁷ to Chinese APT groups such as NetTraveler, Icefog, and DeputyDog:

• 103.30.7[.]76; ネットトラベラー;カスペルスキー
• 103.30.7[.]77; ネットトラベラー;カスペルクシー
• 103.20.192[.]59; NetTraveler; Kaspersky
• 103.20.195[.]140; Icefog; Kaspersky
• 103.20.192[.]4; DeputyDog; FireEye
• 103.20.192[.]248; MILE TEA campaign; Palo Alto Networks

中国人民解放軍の関与の可能性を示す指標

One of the domains, cqyrxy[.]com, that historically resolved to 115.126.39[.]107, was registered with the contact name “ren minjie.” Interestingly, “Ren Minjie” is the English transliterated spelling of 人民 (Renmin) and 解 (Jie), with 解 (Jie) likely being the abbreviation of 解放军 (Jiefangjun). Jiefangjun is translated to “The Chinese People’s Liberation Army” (PLA), and therefore, “Ren Minjie” is likely a transliterated shorthand for the PLA. It is unclear whether this is an intentional false-flag planted in the registration details for the domain, or if it is merely the result of sloppy behavior by the threat actor unveiling the possible identity of the perpetrating organization.

Nanjing Qinglan Information Technology Co., Ltd.へのリンク

また、南京青苜信息技术有限公司(Nanjing Qinglan Information Technology Co., Ltd)という中国の情報セキュリティ企業とのつながりも明らかになりました。

悪意のあるドメイン drive-mail-google[.]comおよびdrive-accounts-gooogle[.]comは、Citizen Labが2018年1月のレポートでリリースした付属のIOCデッキに掲載されました。 どちらのドメインもQQの電子メール6060841@qq[.]コム。 このメールアドレスは、中国の求人サイト www.52pojie[.]cn、 「南京青蘭情報技術有限公司」の「情報セキュリティエンジニア」 QQアカウントの関連付けられた名前は、「Mr. リャン」

南京省政府のウェブサイトに掲載されている公式文書によると、Nanjing Qinglan Information Technology Co., Ltd.は南京を拠点とする企業で、「...セキュリティ評価、セキュリティ強化、侵入テスト、セキュリティコンサルティング、攻撃的および防御的訓練、セキュリティトレーニング。」 同社はまともなウェブプレゼンスを持っています(hXXp:// www.cimer.com[.]cn) しかし、それが確立されたエンティティであることを示していますが、チベット人コミュニティを標的にするために使用される2つの悪意のあるドメインが、攻撃的な「訓練」を行う情報セキュリティ企業に関連付けられていることは興味深いです。

Job advertisement on hXXps://www.52pojie[.]cn/thread-93849-1-1.html noting 6060841@qq[.]com (Click image to view larger).

今後の展望

私たちの調査では、2017年と2018年に中国のAPTがチベット人コミュニティに対して実施した2つの新しいキャンペーンが明らかになりました。

現在、RedAlphaキャンペーンが新しい脅威アクターによって行われたことを断定的に証明するのに十分な証拠はありません。 Citizen Labの優れたレポートを除けば、私たちの調査で詳述されたマルウェアとTTPを既存の脅威アクターと関連付ける公開資料は不足しています。 既存の中国のAPTへのインフラストラクチャ登録を通じて、いくつかの暫定的なつながりを概説しましたが、確固たる帰属を得るには、悪意のある活動の背後にいる個人や組織についてさらに詳細にする必要があります。

The use of previously undisclosed custom malware in the hktechy campaign alongside the demonstrable evolution of their tradecraft in the internetdocss campaign indicate that the threat actor has a skillful capability development program for malware and tooling — something that is likely to be sponsored by a well-resourced nation state. We also observed the group tactically exploiting new vulnerabilities (CVE-2017-0199) during a time window in which the Chinese national vulnerability database (CNNVD) deliberately chose to delay its disclosure of the vulnerability to the public. In the past year, we have reported extensively on the influence of the Chinese Ministry of State Security (MSS) on the CNNVD which points to the withholding of high-risk vulnerabilities from public disclosure being done to possibly enable offensive cyberespionage operations.

RedAlphaキャンペーンの背後にいる加害者が「人民解放軍」の略語を使用してドメインを登録したOPSECの失敗の可能性を明らかにすることは、興味深い展開でした。 このことは、中国のAPTグループであるIcefog、NetTraveler、DeputyDog、MILE TEAキャンペーンの背後にいる人々とのインフラストラクチャの重複に加えて、南京青蘭情報技術会社へのリンクとともに、RedAlpha活動の背後にいる脅威アクターの起源が中国であることを示しています。 さらに、彼らがFF-RATを使用している可能性が高いことも示されており、これは中国の高度な脅威アクターによってほぼ独占的に使用されていると報告されています。

組織を選択的に標的にすることは、その地域に拠点を置くすべての政府と市民団体にとって懸念の原因となるべきです。 私たちは、このグループの活動がファイブ・ポイズンに対する最初の標的型攻撃ではなく、特に市民団体、NGO、慈善団体の場合、間違いなく最後ではないことがわかりました。 このような組織の多くがネットワーク防御への投資を怠っているため、リソースが豊富で意欲的な脅威アクターからの攻撃に対する防御能力が必然的に低下します。

チベット人コミュニティやその他の五毒に対する広範な監視と検閲は、中国国家にとって引き続き極めて重要である。 中国共産党(CPC)の継続的な支配に対する脅威は、国家安全保障の問題として扱われます。したがって、このような民間組織を標的としたサイバースパイ活動が明らかになることは驚くことではありません。 さらに、隣接する南と南東部の政府を標的にしていることから、脅威アクターは、地政学的なイベントに応じて進化する可能性のあるCPC要件を拡大しようとしている可能性があります。 この脅威アクターがこれまで公開されていなかったマルウェアやインフラストラクチャを使用していること、そして私たちの調査で概説したTTPに関連する公的および私的な報告が不足していることから、私たちは、中国国家に起因する可能性が高い、あまり知られていない脅威アクターを発見したと考えています。

関連する侵害の兆候の完全なリストを表示するには 、付録をダウンロードしてください。