
Chinese State-Sponsored Group ‘RedDelta’ Targets the Vatican and Catholic Organizations
中国

Insikt Group®の研究者は、独自のRecorded Future Network Traffic AnalysisとRATコントローラーの検出、および一般的な分析手法を使用して、中国国家が支援する脅威活動グループが疑われるサイバースパイ活動を特定し、プロファイリングしました。
データソースには、Recorded Future® Platform、Farsight SecurityのDNSDB、SecurityTrails、VirusTotal、Shodan、BinaryEdge、および一般的なOSINT技術が含まれます。
このレポートは、アジアに拠点を置く民間セクター、公共セクター、非政府組織のネットワーク擁護者だけでなく、中国の地政学に関心のある人々にとっても最も興味深いものとなるでしょう。
Executive Summary
2020年5月初旬から、バチカンと香港カトリック教区は、Insikt Groupが追跡する中国国家が支援する脅威活動グループであるRedDeltaの標的となったいくつかのカトリック教会関連組織の1つでした。 この一連のネットワーク侵入の疑いは、香港中国調査団とイタリアの教皇庁外国使節団研究所(PIME)も標的にしていました。 これらの組織は、このキャンペーン以前に中国の脅威活動グループの標的として公に報告されていませんでした。
これらのネットワーク侵入は、2020年9月に予定されている画期的な2018年の中国・バチカン 暫定合意の更新に先立って発生し、この合意により、中国共産党(CCP)が歴史的に迫害されてきた中国の「地下」カトリックコミュニティに対する支配と監視を強化することになったと伝えられている。教皇庁自体に加えて、このキャンペーンのもう一つの潜在的な標的には、2018年の合意で重要な役割を果たしたと考えられていた中国への香港調査団の現団長も含まれる。
バチカンへの侵入の疑いは、2020年9月の協定更新に先立って、教皇庁の交渉立場についての洞察をレッドデルタに提供することになる。香港スタディミッションとそのカトリック教区を標的にすることは、教区とバチカンとの関係と、広範な抗議活動と最近の香港国家 安全維持法の全面的な中での香港の民主化運動に対する教区の立場の両方を監視するための貴重な情報源を提供する可能性もある。
RedDeltaの観測されたTTPと、Mustang Panda(BRONZE PRESIDENTおよびHoneyMyteとも呼ばれる)として公に呼ばれている脅威活動グループとの間にはかなりの重複がありますが、この活動をRedDeltaとして指定するように導くいくつかの注目すべき違いがあります。
- このキャンペーンでRedDeltaが使用したPlugXのバージョンは、従来のPlugXとは異なるC2トラフィック暗号化方式を使用し、設定暗号化メカニズムも異なります。
- このキャンペーンで採用されたマルウェア感染チェーンは、Mustang Pandaによって使用されたと公に報告されていません。
Insikt Groupは、カトリック教会に関連する団体を標的にしていることに加え、RedDeltaがインドの法執行機関や政府機関、インドネシアの政府機関を標的にしていることも特定しました。
図1:PlugXの亜種とRedDeltaおよびMustang Pandaが使用する感染チェーンとの主な違いの選択。
主な判断
- カトリック教会に関連するエンティティの標的化は、「地下」カトリック教会に対する支配を強化し、中国における「宗教を中国化」し、中国のカトリックコミュニティ内でのバチカンの影響力を弱めるという中国共産党の目的を示している可能性が高い。
- RedDeltaが中国の戦略的利益に大きく連携する組織を標的にしていること、中国を拠点とするグループが伝統的に使用していた共有ツールの使用、および中国の国家支援が支援する脅威活動グループが疑われるグループと重複していることから、Insikt Groupは、このグループが中華人民共和国(PRC)政府に代わって活動している可能性が高いと考えています。
- 特定されたRedDeltaの侵入の特徴は、インフラストラクチャ、ツール、および被害者学を特徴としており、Mustang Panda(BRONZE PRESIDENTおよびHoneyMyteとしても知られる)として公に報告されている脅威活動グループと重複しています。 これには、重複するネットワークインフラストラクチャの使用や、以前に公開報告でこのグループに起因するとされた同様の被害者像の使用、およびMustang Pandaが通常使用するマルウェア(PlugX、Poison Ivy、Cobalt Strikeなど)の使用が含まれます。
背景
中国とカトリック教会
長年にわたり、中国の国営グループは中国国内の宗教的少数派、特にチベット人、法輪功、ウイグル人のイスラム教徒コミュニティなど、いわゆる「五毒」内の宗教的少数派を標的にしてきた。Insikt Group は、 RedAlpha、 ext4 バックドア、Scanbox 水飲み場キャンペーン チ ベット中央行政当局、その他のチベット エンティティ、トルキスタン イスラム党を標的とした調査結果など、この活動の側面について公に報告しています。 最近では、2020年7月の米国の起 訴状 で、中国のキリスト教宗教者(西安を拠点とする牧師と成都の地下教会の牧師)の電子メールが標的にされていたことが判明し、後者は後に中国国家安全部(MSS)の代理人として活動したとされる請負業者2人によって中国政府に逮捕された。中国公安省(MPS)の地域支部も、中国国内の民族的および宗教的少数派のデジタル監視に深く関与しており 、特にウ イグル族イスラム教徒の場合、新疆公安局(XPSB)によるものである。
歴史的に、中国はバチカンとその統治機関である教皇庁と非常に激動の関係を築いてきた。特に、伝統的にバチカンに忠実な中国 の歴史的に迫害された「地下」カトリック教会内の司教を教 皇庁が認め、 台湾との関係 は1950年代以降、公式関係の欠如を維持してきた。中国共産党は、この行動を教皇庁が中国国内の宗教問題に干渉していると認識した。2018年9月、中国とローマ教皇庁は画期的な2年間の暫定協定 に達し 、外交関係の再構築に向けた重要な一歩を踏み出した。
暫定合意の下では、中国は地下教会に対する支配力を取り戻し、バチカンは国家が支援する「公式」カトリック教会内の司教の任命に対する影響力を増大させることになる。この取引には さまざまな反応があり、批評家らはこの取引は地下教会への裏切りであり、信者への迫害の増加につながるだろうと主張した。最も厳しい批判の多くは、香港国内の聖職者からのものでした。合意から1年後、 多くの報道 がバチカンの沈黙を指摘した 対応 2019年後半から始まった香港の抗議活動は、批評家らは中国政府を怒らせ、2018年の合意を危険にさらすことを避けるための努力と呼んだ。
脅威分析
カトリック教会の侵入の概要
図2:RedDelta PlugX C2サーバー167.88.180[.]5.
Insikt Groupは、Recorded Future RATコントローラーの検出とネットワークトラフィック分析技術を使用して、2020年5月中旬から少なくとも2020年7月21日までにバチカンのホストと通信している複数のPlugX C2サーバーを特定しました。 同時に、Poison IvyとCobalt Strike BeaconのC2インフラストラクチャがバチカンのホストとも通信していること、バチカンをテーマにしたフィッシングルアーであるPlugXを配信すること、およびカトリック教会に関連する他のエンティティを標的にしていることを特定しました。
図3:中国への香港調査団の責任者を対象としたバチカンの誘惑文書。
図3のルアー文書は、香港カトリック教会の標的化へのリンクに関連して以前に 報告 されており、C2ドメインsysteminfor[.]comです。この文書は、中国駐在香港研究使節団の現長に宛てたバチカンの公式書簡であるとされる。攻撃者が自ら文書を作成したのか、それとも彼らが入手して武器化できた正当な文書なのかは現時点では不明です。手紙がこの人物に直接宛てられたものであることを考えると、彼がスピアフィッシングの標的だった可能性が高いです。また、このサンプルはバチカンネットワーク内に侵入の兆候が見られた後にコンパイルされたため、フィッシングルアーが侵害、ハッキングバチカンアカウントを通じて送信された可能性もあります。 この仮説は、サンプルの編集日と公共のマルウェアリポジトリへの最初の送信の前後の数日間に、PlugX C2とバチカンのメールサーバー間の通信が特定されたことによって裏付けられています。
香港調査団の団長は、教皇の事実上の中国代表であり、北京とバチカンの間の重要なつながりとみなされている。この役割の前任者は、2018年の中国とバチカンの暫定合意の最終決定において重要な役割を果たし、彼の後任は、合意の満了と2020年9月の 更新 の可能性に先立って、情報収集の貴重な標的となった。
2020年6月と7月には、イタリアに拠点を置く国際宣教師センターのメールサーバーや香港のカトリック教区のメールサーバーなど、カトリック教会に関連するその他の団体もRedDeltaの標的にされました。
図4:Union of Catholic Asian Newsの記事のルアー文書(左)とイスラム教バチカンのクムのルアー文書(右)。
Insikt Groupは、同じカスタマイズされたPlugX亜種をロードする2つの追加のフィッシングルアーを特定し、どちらもバチカンのルアーと同じC2インフラストラクチャと通信していました。最初のサンプルには、差し迫った新しい香港国家安全維持法の導入に関するカトリックアジアニュース連合のニュース速報を偽装したルアー文書が含まれていました。「香港の安全保障law.docに関する中国の計画について」と題されたルアーファイルの内容は、正規の連合・オブ・カトリック・アジア・ニュースの 記事から引用された。もう1つのサンプルも、おとり文書に「QUM, IL VATICANO DELL'ISLAM.doc」というタイトルの文書を使用してバチカンを参照しています。この特定のおとり文書は「クム、イスラム教のバチカン」と訳され、シーア派の重要な政治的および宗教的中心地であるイランの都市クム(コム)を指します。これは、イランに住むイタリアのカトリック学者であるフランコ・オメットの著作から引用されています。これら 2 つのルアーの直接のターゲットは不明ですが、どちらもカトリック教会に関連しています。
この標的は、中国国内の地下カトリック教会に対する支配を強化することと、中国のカトリック教徒に対するバチカンの影響を弱めるという中国の目的の両方を示していると私たちは考えている。同様に、民主化運動や最近の包括的な国家安全維持法の中で香港カトリック教徒に焦点を当てることは、特に元香港司教ジョ セフ・ゼキウン枢機卿 を含む多くの信者の反北京 姿勢 を考慮すると、中国の戦略的利益と一致している。
今後の展望
私たちの調査では、中国が後援する疑いのあるキャンペーン 複数の注目度の高いものを標的とした エンティティ 2020年9月に中国とバチカンの暫定協定が更新される可能性に先立って、カトリック教会に関連しています。 中国共産党と教皇庁との外交関係の温化は、非公式のカトリック教会に対する監視と統制を強化する手段として一般に解釈されてきた。これは、中国における「宗教の中国化」という中国共産党のより広範な 目標 を裏付けるものでもある。さらに、宗教的少数派の支配と監視に対する中国の関心は、地下教会の信者に対する 継続的な迫害 と拘禁、カトリックとプロテスタントの公式教会に対する物理的監視の 疑 惑に代表される「五毒」内の人々に限定されていないことを示している。
米国国際宗教の自由担当無任所大使は最近、香港における新しい国家安全維持法の影響について懸念を 表明 し、「宗教の自由を著しく損なう可能性がある」と述べた。カトリックの香港教区を標的にしたことは、香港の民主化運動に対する教区の立場とバチカンとの関係を監視するための貴重な情報源となる可能性が高い。これは、特に民主化または反中国の立場と一致する場合、特別行政区内での信教の自由に対する制限の強化の前兆となる可能性がある。
RedDeltaは、中国の戦略的利益に関連するエンティティを標的とした非常に活発な脅威活動グループです。 このグループは、PlugXやCobalt Strikeなどのよく知られたツールを一貫して使用しており、インフラストラクチャの再利用、運用のセキュリティ障害が発生しているにもかかわらず、これらの侵入は、RedDeltaが依然としてインテリジェンス要件を満たす任務を負っていることを示しています。 特に、このキャンペーンは宗教団体を標的にするという明確な目的を示しているため、宗教団体や非政府組織(NGO)が、RedDeltaのような中国の国家支援型脅威活動グループによる脅威に対抗するために、ネットワーク防御に注目し、投資することが特に適切であると感じています。 多くのNGOや宗教団体のセキュリティ対策や検知対策に投資する能力が不足していると、十分なリソースを持ち、粘り強いグループにとっては、十分に文書化されたツール、TTP、インフラを使用しても、成功する可能性が大幅に高まります。
ネットワーク防御に関する推奨事項
Recorded Futureは、RedDeltaのアクティビティに関連するアクティビティを検出して軽減するために、ユーザーが次の対策を実行することを推奨しています。
- 侵入検知システム (IDS)、侵入防止システム (IPS)、または任意のネットワーク防御メカニズムを設定して、 付録に記載されている外部 IP アドレスとドメインに対してアラートを発し、確認した上で不正な接続の試みをブロックすることを検討してください。
さらに、組織には、次の一般的な情報セキュリティのベストプラクティスガイドラインに従うことをお勧めします。
- すべてのソフトウェアとアプリケーションを最新の状態に保ちます。特に、オペレーティング システム、ウイルス対策ソフトウェア、およびコア システム ユーティリティです。
- 電子メールの通信をフィルタリングし、添付ファイルにマルウェアがないか精査する。
- システムのバックアップを定期的に作成し、バックアップをオフライン、できればオフサイトに保存して、ネットワーク経由でデータにアクセスできないようにする。
- 綿密なインシデント対応とコミュニケーション計画を立てる。
- 会社の機密データの厳格な区分化を遵守します。 特に、従業員のアカウントやデバイスにアクセスできる人は、どのデータにアクセスできるかを調べます(たとえば、フィッシングによるデバイスやアカウントの乗っ取りなど)。
- 役割ベースのアクセス、全社的なデータアクセスの制限、機密データへのアクセス制限の導入を強く検討する。
- ホストベースの制御を採用する。攻撃を阻止するための最良の防御策と警告信号の1つは、クライアントベースのホストロギングと侵入検出機能を実行することである。
- ネットワーク IDS、NetFlow 収集、ホスト ロギング、Web プロキシなどの基本的なインシデント対応と検出のデプロイと制御を実装するとともに、検出ソースを人間が監視します。
- パートナーまたはサプライ チェーンのセキュリティ基準に注意してください。 エコシステムパートナーのセキュリティ標準を監視および実施できることは、組織のセキュリティ体制の重要な部分です。
編集者注: この投稿はレポート全文の抜粋です。分析全体を読むには、 ここをクリック をクリックして、レポートをPDFとしてダウンロードします。