
混乱にもかかわらず戻ってきた:RedDeltaは運航を再開します

_Dataソースには、Recorded Future® Platform、Farsight SecurityのDNSDB、SecurityTrails、VirusTotal、Shodan、BinaryEdge、および一般的なOSINT手法が含まれます。 _
このレポートは、アジアに拠点を置く民間部門、公共部門、非政府組織のネットワーク擁護者だけでなく、中国の地政学に関心のある人々にとっても最も興味深いものとなるでしょう。
Executive Summary
前回のInsikt Groupの報告から2カ月間、RedDeltaは、バチカンや他のカトリック組織を標的にした広範な公開報道にほとんど動揺していない。 この報告の直後に、コマンド&コントロール(C2)ドメインの解決状況を変更することで基本的な運用上のセキュリティ対策を講じたにもかかわらず、グループの戦術、技術、手順(TTP)は一貫していました。 RedDeltaの粘り強さは、レポートの公開から2週間以内にバチカンと香港カトリック教区の両方のメールサーバーを標的にしていることで実証されています。 より広い範囲では、カトリック、チベットとラダックの関係、国連総会安全保障理事会をテーマにしたおとり文書を特徴とするPlugXサンプルの形で、このグループに起因する新しい活動や、ミャンマー政府のシステムと香港の2つの大学を標的とした追加のネットワーク侵入活動がありました。
主な判断
- RedDeltaは、中国の戦略的優先事項に沿って事業を継続しています。 これは、同グループがバチカンと香港のカトリック教区を標的にし続け、中国国内のカトリック教やチベット・ラダック関係など、中華人民共和国(中国)が懸念する時事的な地政学的問題を中心とした標的を絞ったおとり文書を、サイバースパイ活動と整合的な方法で使用していることにさらに例証されている。
- このグループが公に報告されたインフラストラクチャとTTPを再利用していることは、グループが運用上の成功を収めていることを示している可能性が高く、RedDeltaはアクセスが維持されている限り、公に知られているインフラストラクチャを使用し続けることを望んでいるという、運用上のセキュリティに対する実用的なアプローチを強調しています。
背景
2020年7月28日、Insikt Groupは、バチカンとカトリック香港教区が、中国政府が支援する脅威活動グループRedDeltaの疑いの標的となったカトリック教会関連組織の一部であることを特定する調査を 発表しました 。この一連のネットワーク侵入の疑いは、中国への香港研究使節団とイタリアの教皇庁外国宣教研究所(PIME)も標的にした。Insikt Group 、カトリック教会に関連するエンティティの標的化は、「地下」カトリック教会に対する支配を強化し、中国における「宗教を中国化」し、中国のカトリックコミュニティ内でバチカンの影響力を弱めるという中国共産党(CCP)の目的を示している可能性が高いと評価した。
Insikt Groupは、カトリック教会に関連する団体を標的にしただけでなく、インドの法執行機関や政府機関、インドネシアの政府機関、ミャンマー、香港、オーストラリアなどの未確認の標的にも影響を与えているネットワークへの侵入を特定しました。 この活動では、「RedDelta PlugX」と呼ばれるカスタマイズされたPlugXの亜種、Cobalt Strike Beacon、Poison Ivyなど、複数のマルウェアの亜種が使用されました。
脅威分析
RedDelta の公開後のクリーンアップ
2020年7月28日にRedDeltaの最初のレポートが公開された後、このグループは、特定されたコマンド&コントロール(C2)ドメインのいくつかでIP解像度を変更するなど、侵入に使用されたインフラストラクチャに関連する多くの回避措置を講じました。 たとえば、RedDeltaの研究が発表されてから1日も経たないうちに、「ポイズンアイビー/コバルトストライク」クラスター内で特定されたすべてのC2サブドメインが分解を停止しました。

さらに、PlugX C2ドメインcabsecnow[.]コム は167.88.180[.]32から103.85.24[.]2020年8月3日には149人。 しかし、これは特定されたすべてのインフラストラクチャに当てはまるわけではありませんでした。 PlugX C2サーバーの多くは稼働したままで、最初のレポートで特定されたいくつかの侵入で使用され続けました。 この対照は、アクセスが維持されている限り、公に知られているインフラストラクチャを使用し続けるというグループの意欲を浮き彫りにしています。
RedDeltaは、バチカンと香港のカトリック教区へのターゲティングを再開します

Recorded Future Network Traffic Analysisを使用して、標的となった組織とRedDelta C2インフラストラクチャ間の通信を分析したところ、レポートの公開直後にカトリック教会組織間のネットワーク通信が停止したことがわかりました。 しかし、これは短命で、10日以内に香港カトリック教区のメールサーバーを標的にし、14日以内にバチカンのメールサーバーを標的にしました。 これは、RedDeltaが前述の高いリスク許容度に加えて、情報を収集するためにこれらの環境へのアクセスを維持することに固執していることを示しています。
2020年9月10日、中国外務省は、2018年の中国と教皇庁の合意が「成功裏に実施された」と 発表 し、協定の更新は今後数週間以内に発表される 予定 だ。この発表のタイミングは、バチカンのネットワークを標的としたRedDeltaの活動が1週間前に沈閉し、8月下旬に中国の王毅外相が ローマを訪問 したことに続くもので、同グループの諜報任務の要件が達成されたか、もはや必要ではない可能性を示唆している。前回の報告からの中間期間において、このグループがバチカンのネットワークへのアクセスをうまく取り戻すことができたかどうかは不明です。しかし、そうしようとする試みとそれに続く、カトリック教会をテーマにした新しいルアー文書の出現は、中国共産党が中国国内のカトリックコミュニティに対する監視を強化することに重点を置いていることを改めて浮き彫りにしている。

中国の戦略的利益に沿ったさらなるターゲティング
RedDeltaは、中国の戦略的および地政学的利益に合致する組織を標的にし続けています。 前回のレポートでは、2018年の中国と教皇庁の協定の更新が予定されている両国間の協議に先立って行われた、いくつかのカトリック教会組織を標的とした一連のネットワーク侵入とフィッシングの試みをこのグループに関連付けました。 その間、このグループは、中国国内のカトリック教徒、チベットとラダックの関係、国連総会の安全保障理事会など、追加のおとりを使って、PlugXを標的のマシンにロードしようと試みました。

最初のサンプルは、前の RedDelta レポートで説明したサンプルと同様の方法でロードされます。 第 1 段階の DLL サイドローディング フェーズでは、正規の Microsoft Word 実行可能ファイルを使用して第 1 段階の DLL ローダーをサイドローディングし、両方のファイルを最初に zip ファイル内に格納します。 このとき、zipファイルはGoogleドライブに保存されているようで、ユーザーはスピアフィッシングリンクを介してダウンロードするように指示された可能性があります。 最初のDLLサイドローディングフェーズに続いて、暗号化されたPlugX DATペイロードが http://103.85.24[.]161/8.dat。

以前に特定されたRedDelta PlugXサンプルとは異なり、このサンプルは、以前に分析されたサンプルで使用された正規のAdobe実行可能ファイルではなく、2番目のDLLサイドローディングフェーズに正規のアバストプロキシ実行可能ファイルを使用します。 メモリにロードされると、PlugXペイロードは www.systeminfor[.]コマンド &コントロールのcomは、カトリック教会をテーマにしたPlugXのサンプルで使用されているのと同じドメインです。 新たに分析された4つのサンプルすべてにおいて、第1段階のDLLローダーファイルは、以前に観測された第1段階のRedDelta PlugX DLLと同一で一般的ではないインポートハッシュとリッチヘッダーを共有しています。 ロードされたPlugXペイロードは、前述のカスタムRedDelta PlugXバリアントとも一致し、同じハードコードされたRC4パスフレーズと構成ブロックデコード機能を備えたC2通信にRC4暗号化を使用します。
このサンプルでは、図3に示すように、「チベットとラダックの関係の歴史とその現代的影響」というタイトルのおとり文書がユーザーに示されています。 このサンプルの具体的な標的は不明ですが、チベットが中国の国家支援によるサイバースパイ活動の標的として頻繁に行われている一方で、この地域全体で中国とインドの間の国境緊張が最近高まっていることを考えると、ラダックへの言及が含まれていることは特に興味深いことです。 他のいくつかのRedDeltaサンプルと同様に、おとり文書の内容は正当な情報源、この場合はアジア太平洋地域の時事ニュースサイトであるThe Diplomatによる2020年7月の記事から取得されています。

2番目のPlugXサンプルは、上記のTibet-Ladakhサンプルとほぼ同じ方法でロードされ、この場合、暗号化されたPlugX DATペイロードを http://103.85.24[.]158/eeas.dat。 このサンプルは、カトリック教会の PlugX サンプルの 1 つで見られる DLL サイドローディングに対して脆弱な Adobe 実行可能ファイルと同じものを使用し、第 2 段階のサイドローディングには上記の Tibet-Ladakh サンプルで見られる Avast Proxy 実行可能ファイルを使用します。 このとき、zipファイルはDropboxに保存されているようで、悪意のあるリンクを含むスピアフィッシングを介して配信された可能性があります。 このPlugXサンプルでは、 ここでもwww.systeminfor[.]コマンド アンドコントロールのcom。

このサンプルで使用されている18ページのおとり文書(図4参照)は、国連総会事務総長が執筆した「平和構築と平和の維持に関する2020年事務総長報告書」の高度な未編集コピーであると主張しています。しかし、正当な報告書は国連 のウェブサイト から入手され、「Advanced Unedited Edition」の分類を追加し、日付を変更するために改ざんされた可能性が最も高いです。正当な報告書は、10月に 開催 される予定の第75回総会に先立って、2020年8月4日に発表されました。国連はウェブサイトで、この文書が2020年の国連平和構築アーキテクチャのレビューへの主要なインプットとなり、報告書は国連のコアグループによって作成されている と述べ ています。
この特定のサンプルの具体的なターゲットは不明ですが、話題の地政学的問題に基づいた公開文書をおとりとして使用することは、これまで複数のRedDeltaルアーで見られました。さらに、このサンプルで見られる eeas.dat というタイトルのDATペイロードファイル名は、おそらく欧州連合の外交機関であり、外務・防衛合同省でもある欧州対外行動局(EEAS)を指しています。密接に重複する脅威活動グループであるマスタングパンダも、以前は国連安全保障理事会をテーマにしたルアーを歴史活動に使用していました。

最後の 2 つの RedDelta PlugX サンプルは、他のサンプルとよく似ており、どちらも http://103.85.24[.]158/hk097.dat、最終的にquochoice[.]comコマンドとコントロールのために。このドメインは現在、2EZネットワークIP 167.88.177[.]179,新たに特定されたすべてのインフラストラクチャは、ホスティングプロバイダーが好まれるという以前に指摘された傾向に従っています。サンプルの1つは「カトリック教徒は中国の変化にどのように適応するか:宣教の視点」と題され、中国のキリスト教に焦点を当てた中国のカトリック学者の著作から抜粋され、もう1つは インディペンデント・カトリック・ニュースの2020年2月の記事から抜粋したものである。これは、カトリック教会に関連する組織や個人に関する情報を収集するというRedDeltaの任務を改めて浮き彫りにしています。


ミャンマーと香港のRedDelta
前回のRedDelta (脅威についての)レポート作成では、ミャンマーと香港の通信事業者に割り当てられたIPアドレスとRedDelta C2インフラ間のネットワーク通信が広範囲に及ぶことが確認されました。 香港とミャンマーはどちらも、密接に重複するグループであるマスタングパンダの歴史的な標的でした( 1,2)。中間期間に、PlugX (C2 103.85.24[.]149)ミャンマーの政府システムを標的にしたネットワーク侵入は、RedDelta によるものと考えられます。これには、ミャンマー政府の電子文書管理システム用のVPNログインポータルが含まれていました。RedDeltaは、この活動を8月4日(場合によってはそれ以前)から少なくとも2020年9月2日まで実施したと考えられます。これらのシステムへのアクセスは、システムに保存されている電子文書にアクセスするための貴重な情報源となる可能性があります。
ミャンマー国内のこの新たな被害者に加えて、追加の PlugX (C2 85.209.43[.]21ネットワーク侵入は香港の2つの大学を標的にしている可能性が高い。この IP アドレスは現在、ドメイン ipsoftwarelabs[.]com、これは、古いPlugX亜種を使用して香港を標的とした活動に関する (脅威についての)レポート作成 で以前に指摘されていました。 メタデータだけでは侵害、ハッキングは確認されませんが、これらの標的組織内のホストからこれらのC2への大量かつ繰り返しの通信は、侵入の可能性を示すのに十分であると考えています。
軽減策
- 侵入検知システム(IDS)、侵入防御システム(IPS)、またはネットワーク防御メカニズムを構成して、 付録Aにリストされている外部IPアドレスとドメインに(脅威)アラートを発し、確認した際に、不正な接続の試みをブロックすることを検討します。
- 内部および外部からアクセス可能なシステムの両方のシステム構成(アクセス制御を含む)が適切に評価され、すべてのシステムで強力なパスワードが使用されていることを確認してください。
- ネットワークセグメンテーションを実践し、多要素認証や、内部ネットワーク経由でのみアクセス可能なシステム上でのアクセスとストレージの極端に制限など、機密情報に対する特別な保護が存在することを確認します。
- 基本認証とレガシ認証は、攻撃者がインプレースセキュリティ対策をバイパスする可能性があるため、可能な場合は無効にします。
- すべてのソフトウェアとアプリケーション、特にオペレーティングシステム、ウイルス対策ソフトウェア、コアシステムユーティリティを最新の状態に保ちます。
- 電子メールの通信をフィルタリングし、添付ファイルにマルウェアがないか精査する。
- ホストベースの制御を採用する。攻撃を阻止するための最良の防御策と警告信号の1つは、クライアントベースのホストロギングと侵入検出機能を実行することである。
- ネットワーク IDS、NetFlow 収集、ホスト ロギング、Web プロキシなどの基本的なインシデント対応と検出のデプロイと制御を実装するとともに、検出ソースを人間が監視します。
今後の展望
RedDeltaが公に報告されたインフラストラクチャとTTP(戦術・技術・手順)を再利用していることは、中国国家が支援する脅威活動グループ全体のリスク選好度の対比を浮き彫りにしています。 一部のグループは、APT41やRedDeltaなど、大規模な公開(脅威についての)レポート作成にもかかわらず、行動を大幅に変えたり、行動を減らしたりするグループもあります。いずれの場合も、コンピュータネットワークエクスプロイテーション(CNE)の作戦によってもたらされるもっともらしい否定可能性により、中国は、歴史的な証拠にもかかわらず、RedDelta事件を含め、 そのような活動への関与を定期的に否定しています( 1,2)。
広範な公開報道にもかかわらずRedDeltaの活動が続いていることを考えると、グループはTTPの微調整を伴いながら、高い運用テンポで運営を続けると予想しています。 前回のレポートでは、このグループが宗教団体や非政府組織(NGO)などの団体を標的にしていることを強調しましたが、これらの団体はセキュリティや検出対策に十分な投資を行う能力や意志が不足していることが多いとされています。 このことが、公に知られているインフラやTTPを再利用しようとするグループの意欲をさらに高めている可能性があります。