混乱にもかかわらず戻ってきた:RedDeltaは運航を再開します

Insikt Group®の研究者は、独自のRecorded Future Network Traffic AnalysisとRATコントローラーの検出を、一般的な分析手法とともに使用して、中国の国家が支援する脅威活動グループと疑われるRedDeltaの活動を追跡し続けました。

_Dataソースには、Recorded Future® Platform、Farsight SecurityのDNSDB、SecurityTrails、VirusTotal、Shodan、BinaryEdge、および一般的なOSINT手法が含まれます。 _

このレポートは、アジアに拠点を置く民間部門、公共部門、非政府組織のネットワーク擁護者だけでなく、中国の地政学に関心のある人々にとっても最も興味深いものとなるでしょう。

Executive Summary

前回のInsikt Groupの報告から2カ月間、RedDeltaは、バチカンや他のカトリック組織を標的にした広範な公開報道にほとんど動揺していない。 この報告の直後に、コマンド&コントロール(C2)ドメインの解決状況を変更することで基本的な運用上のセキュリティ対策を講じたにもかかわらず、グループの戦術、技術、手順(TTP)は一貫していました。 RedDeltaの粘り強さは、レポートの公開から2週間以内にバチカンと香港カトリック教区の両方のメールサーバーを標的にしていることで実証されています。 より広い範囲では、カトリック、チベットとラダックの関係、国連総会安全保障理事会をテーマにしたおとり文書を特徴とするPlugXサンプルの形で、このグループに起因する新しい活動や、ミャンマー政府のシステムと香港の2つの大学を標的とした追加のネットワーク侵入活動がありました。

主な判断

• RedDeltaは、中国の戦略的優先事項に沿って事業を継続しています。 これは、同グループがバチカンと香港のカトリック教区を標的にし続け、中国国内のカトリック教やチベット・ラダック関係など、中華人民共和国(中国)が懸念する時事的な地政学的問題を中心とした標的を絞ったおとり文書を、サイバースパイ活動と整合的な方法で使用していることにさらに例証されている。
• このグループが公に報告されたインフラストラクチャとTTPを再利用していることは、グループが運用上の成功を収めていることを示している可能性が高く、RedDeltaはアクセスが維持されている限り、公に知られているインフラストラクチャを使用し続けることを望んでいるという、運用上のセキュリティに対する実用的なアプローチを強調しています。

背景

2020年7月28日、Insikt Groupは、バチカンと香港カトリック教区が、中国国家が支援する脅威活動グループ「RedDelta」の標的となったカトリック教会関連組織の1つであることを示す調査結果 を発表しました 。 この一連のネットワーク侵入の疑いは、香港の中国調査団とイタリアの教皇庁外国使節団(PIME)も標的にしました。 Insikt Groupは、カトリック教会に関連する団体を標的にすることは、「地下」カトリック教会に対する支配を強化し、中国で「宗教を中国化」し、中国のカトリックコミュニティ内でのバチカンの影響力を弱めるという中国共産党(CCP)の目的を示している可能性が高いと評価しました。

Insikt Groupは、カトリック教会に関連する団体を標的にしただけでなく、インドの法執行機関や政府機関、インドネシアの政府機関、ミャンマー、香港、オーストラリアなどの未確認の標的にも影響を与えているネットワークへの侵入を特定しました。 この活動では、「RedDelta PlugX」と呼ばれるカスタマイズされたPlugXの亜種、Cobalt Strike Beacon、Poison Ivyなど、複数のマルウェアの亜種が使用されました。

脅威分析

RedDelta の公開後のクリーンアップ

2020年7月28日にRedDeltaの最初のレポートが公開された後、このグループは、特定されたコマンド&コントロール(C2)ドメインのいくつかでIP解像度を変更するなど、侵入に使用されたインフラストラクチャに関連する多くの回避措置を講じました。 たとえば、RedDeltaの研究が発表されてから1日も経たないうちに、「ポイズンアイビー/コバルトストライク」クラスター内で特定されたすべてのC2サブドメインが分解を停止しました。

表1: レポート公開の翌日に解決を停止した「Poison Ivy Cluster」ドメイン。

さらに、PlugX C2ドメインcabsecnow[.]コム は167.88.180[.]32から103.85.24[.]2020年8月3日には149人。 しかし、これは特定されたすべてのインフラストラクチャに当てはまるわけではありませんでした。 PlugX C2サーバーの多くは稼働したままで、最初のレポートで特定されたいくつかの侵入で使用され続けました。 この対照は、アクセスが維持されている限り、公に知られているインフラストラクチャを使用し続けるというグループの意欲を浮き彫りにしています。

RedDeltaは、バチカンと香港のカトリック教区へのターゲティングを再開します

図 1: 香港カトリック教区とRedDelta C2インフラストラクチャ間のネットワークトラフィック。

Recorded Future Network Traffic Analysisを使用して、標的となった組織とRedDelta C2インフラストラクチャ間の通信を分析したところ、レポートの公開直後にカトリック教会組織間のネットワーク通信が停止したことがわかりました。 しかし、これは短命で、10日以内に香港カトリック教区のメールサーバーを標的にし、14日以内にバチカンのメールサーバーを標的にしました。 これは、RedDeltaが前述の高いリスク許容度に加えて、情報を収集するためにこれらの環境へのアクセスを維持することに固執していることを示しています。

2020年9月10日、中国外務省は、2018年の中国と教皇庁の協定が「成功裏に実施された」と 発表 し、今後数週間以内に協定の更新が発表される 予定 である。 この発表のタイミングは、バチカンのネットワークを標的としたRedDeltaの活動が1週間前に停止し、8月下旬に中国の王毅外相が ローマを訪問し たことに続くもので、グループの諜報任務要件が達成されたか、もはや必要とされていない可能性があることを示唆しています。 前回の報告からの暫定的な期間に、グループがバチカンのネットワークへのアクセスを首尾よく回復できたかどうかは不明です。 しかし、そうしようとする試みと、それに続くカトリック教会をテーマにした新しいおとり文書の出現は、中国共産党が中国国内のカトリックコミュニティの監視を強化することに重点を置いていることを再び浮き彫りにしている。

図 2: 最近のRedDeltaアクティビティのタイムライン。 (ソース: Recorded Future)

中国の戦略的利益に沿ったさらなるターゲティング

RedDeltaは、中国の戦略的および地政学的利益に合致する組織を標的にし続けています。 前回のレポートでは、2018年の中国と教皇庁の協定の更新が予定されている両国間の協議に先立って行われた、いくつかのカトリック教会組織を標的とした一連のネットワーク侵入とフィッシングの試みをこのグループに関連付けました。 その間、このグループは、中国国内のカトリック教徒、チベットとラダックの関係、国連総会の安全保障理事会など、追加のおとりを使って、PlugXを標的のマシンにロードしようと試みました。

図 3: 「チベットとラダックの関係の歴史とその現代的影響」PlugXのおとり文書。

最初のサンプルは、前の RedDelta レポートで説明したサンプルと同様の方法でロードされます。 第 1 段階の DLL サイドローディング フェーズでは、正規の Microsoft Word 実行可能ファイルを使用して第 1 段階の DLL ローダーをサイドローディングし、両方のファイルを最初に zip ファイル内に格納します。 このとき、zipファイルはGoogleドライブに保存されているようで、ユーザーはスピアフィッシングリンクを介してダウンロードするように指示された可能性があります。 最初のDLLサイドローディングフェーズに続いて、暗号化されたPlugX DATペイロードが http://103.85.24[.]161/8.dat。

表2: 「チベット・ラダック関係史とその現代Implications.zip」の内容 第1段階のDLLサイドローディング用。

以前に特定されたRedDelta PlugXサンプルとは異なり、このサンプルは、以前に分析されたサンプルで使用された正規のAdobe実行可能ファイルではなく、2番目のDLLサイドローディングフェーズに正規のアバストプロキシ実行可能ファイルを使用します。 メモリにロードされると、PlugXペイロードは www.systeminfor[.]コマンド &コントロールのcomは、カトリック教会をテーマにしたPlugXのサンプルで使用されているのと同じドメインです。 新たに分析された4つのサンプルすべてにおいて、第1段階のDLLローダーファイルは、以前に観測された第1段階のRedDelta PlugX DLLと同一で一般的ではないインポートハッシュとリッチヘッダーを共有しています。 ロードされたPlugXペイロードは、前述のカスタムRedDelta PlugXバリアントとも一致し、同じハードコードされたRC4パスフレーズと構成ブロックデコード機能を備えたC2通信にRC4暗号化を使用します。

このサンプルでは、図3に示すように、「チベットとラダックの関係の歴史とその現代的影響」というタイトルのおとり文書がユーザーに示されています。 このサンプルの具体的な標的は不明ですが、チベットが中国の国家支援によるサイバースパイ活動の標的として頻繁に行われている一方で、この地域全体で中国とインドの間の国境緊張が最近高まっていることを考えると、ラダックへの言及が含まれていることは特に興味深いことです。 他のいくつかのRedDeltaサンプルと同様に、おとり文書の内容は正当な情報源、この場合はアジア太平洋地域の時事ニュースサイトであるThe Diplomatによる2020年7月の記事から取得されています。

図 4: 「平和構築と持続的な平和に関する事務総長の2020年報告書の事前版」PlugXのおとり文書の抜粋。

2番目のPlugXサンプルは、上記のTibet-Ladakhサンプルとほぼ同じ方法でロードされ、この場合、暗号化されたPlugX DATペイロードを http://103.85.24[.]158/eeas.dat。 このサンプルは、カトリック教会の PlugX サンプルの 1 つで見られる DLL サイドローディングに対して脆弱な Adobe 実行可能ファイルと同じものを使用し、第 2 段階のサイドローディングには上記の Tibet-Ladakh サンプルで見られる Avast Proxy 実行可能ファイルを使用します。 このとき、zipファイルはDropboxに保存されているようで、悪意のあるリンクを含むスピアフィッシングを介して配信された可能性があります。 このPlugXサンプルでは、 ここでもwww.systeminfor[.]コマンド アンドコントロールのcom。

表3: 第1段階DLLサイドローディングの「平和構築と持続Peace.zipに関する事務総長報告書2020年版速報」の内容。

このサンプルで使用されている18ページのおとり文書(図4を参照)は、国連総会事務総長が執筆した「平和構築と持続的平和に関する事務総長の2020年報告書」の未編集の高度なコピーであると主張しています。 しかし、正当な報告書はおそらく国連 のウェブサイト から入手され、「Advanced Unedited Edition」の分類を追加し、日付を変更するために改ざんされたものです。 正当な報告書は、10月に開催される予定の第75回国連総会に先立つ2020年8月4日に発表されました。国連はウェブサイトで、この論文が2020年の国連平和構築アーキテクチャのレビューへの主要なインプットとなり、報告書は国連機関の中核グループによって作成されている と述べています 。

この特定のサンプルの具体的なターゲットは不明ですが、時事的な地政学的な問題に基づく公開文書をデコイとして使用することは、以前に複数のRedDeltaルアーで見られました。 さらに、このサンプルに見られる DAT ペイロードのファイル名 (eeas.dat) は、欧州連合の外交官であり、外務省と防衛省が統合されている欧州対外行動局 (EEAS) を指している可能性があります。 密接に重複する脅威活動グループであるMustang Pandaも、歴史的な活動で国連安全保障理事会をテーマにしたルアー を使用した ことがあります。

図 5: 「カトリック教徒は中国の変化にどのように適応するか:宣教学的な視点」(左)と「カトリック司教が緊急のカメルーン和平交渉を呼びかける」(右)PlugXのおとり文書のスニペット。

最後の2つのRedDelta PlugXサンプルは、他のサンプルと非常によく似ており、どちらも http://103.85.24[.]158/hk097.dat、 最終的に quochoice[.]コム コマンドとコントロールのために。 このドメインは現在、2EZネットワークIPアドレス167.88.177[.]179, 新たに特定されたすべてのインフラストラクチャは、以前に指摘されたホスティングプロバイダーの傾向に従っています。 「カトリック教徒が中国の変化にどのように適応するか:宣教学的視点」と題されたサンプルの1つは、中国のカトリック学者の著作から抜粋され、中国のキリスト教に焦点を当てており、もう1つは インディペンデント・カトリック・ニュースによる2020年2月の記事から抜粋したものである。 これは、カトリック教会に関連する組織や個人に関する情報を収集するというRedDeltaの任務を再び浮き彫りにしています。

表4: 「カトリック教徒は中国の変化にどのように適応するか:宣教学Perspective.zip」の内容 第 1 段階の DLL サイドローディング用。

表5: 「カトリック司教団、カメルーン和平talks.zipの緊急要請」の内容 第 1 段階の DLL サイドローディング用。

ミャンマーと香港のRedDelta

前回のRedDeltaのレポートでは、ミャンマーと香港の通信プロバイダーに割り当てられたIPアドレスとRedDelta C2インフラストラクチャとの間の幅広いネットワーク通信を観察しました。 香港とミャンマーは、密接に重なるグループであるムスタンパンダの歴史的標的でした( 1,2 )。その間に、PlugX(C2 103.85.24[.]149) ネットワークへの侵入は、ミャンマーの政府システムを標的にしている可能性が高く、RedDeltaが原因であると考えています。 これには、ミャンマー政府の電子文書管理システム用のVPNログインポータルが含まれていました。 RedDeltaは、2020年8月4日から少なくとも9月2日までこの活動を行ったと考えています。 これらのシステムへのアクセスは、システムに保存されている電子文書にアクセスするための貴重な情報源になる可能性があります。

ミャンマー国内で新たに発生した被害者に加えて、追加のPlugX(C2 85.209.43[.]21 ネットワークへの侵入は、香港の2つの大学を標的にしている可能性があります。 このIPアドレスは現在、ドメインipsoftwarelabs[.]com、 これは、古いPlugXバリアントを使用した香港を標的とした活動に関する レポート で以前に指摘されました。 メタデータだけでは侵害を確認しませんが、これらの標的組織内のホストからこれらのC2への大量かつ反復的な通信は、侵入の可能性を示すのに十分であると考えています。

軽減策

• 侵入検知システム (IDS)、侵入防止システム (IPS)、またはネットワーク防御メカニズムを設定して、 付録 A にリストされている外部 IP アドレスとドメインからの不法な接続の試みを警告し、確認した上でブロックを検討してください。
• 内部および外部からアクセス可能なシステムの両方のシステム構成(アクセス制御を含む)が適切に評価され、すべてのシステムで強力なパスワードが使用されていることを確認してください。
• ネットワークセグメンテーションを実践し、多要素認証や、内部ネットワーク経由でのみアクセス可能なシステム上でのアクセスとストレージの極端に制限など、機密情報に対する特別な保護が存在することを確認します。
• 基本認証とレガシ認証は、攻撃者がインプレースセキュリティ対策をバイパスする可能性があるため、可能な場合は無効にします。
• すべてのソフトウェアとアプリケーション、特にオペレーティングシステム、ウイルス対策ソフトウェア、コアシステムユーティリティを最新の状態に保ちます。
• 電子メールの通信をフィルタリングし、添付ファイルにマルウェアがないか精査する。
• ホストベースの制御を採用する。攻撃を阻止するための最良の防御策と警告信号の1つは、クライアントベースのホストロギングと侵入検出機能を実行することである。
• ネットワーク IDS、NetFlow 収集、ホスト ロギング、Web プロキシなどの基本的なインシデント対応と検出のデプロイと制御を実装するとともに、検出ソースを人間が監視します。

今後の展望

RedDeltaが公的に報告されたインフラストラクチャとTTPを再利用していることは、中国の国家が支援する脅威活動グループ間のリスク選好度の違いを浮き彫りにしています。 APT41やRedDeltaなど、大規模な公開報告にもかかわらず、非常に活発な活動を続けているグループがある一方で、APT3のように、公開報告に対応して行動を劇的に変えたり、活動を減らしたりするグループもあります。すべての場合において、コンピュータネットワークエクスプロイト(CNE)作戦によって提供されるもっともらしい否認により、中国は、過去の証拠にもかかわらず、RedDeltaのケースを含め、そのような活動への関与 を定期的に否定しています( 1,2 )。

広範な公開報道にもかかわらずRedDeltaの活動が続いていることを考えると、グループはTTPの微調整を伴いながら、高い運用テンポで運営を続けると予想しています。 前回のレポートでは、このグループが宗教団体や非政府組織(NGO)などの団体を標的にしていることを強調しましたが、これらの団体はセキュリティや検出対策に十分な投資を行う能力や意志が不足していることが多いとされています。 このことが、公に知られているインフラやTTPを再利用しようとするグループの意欲をさらに高めている可能性があります。