Insiktレポート

Chinese State-Sponsored Group ‘RedDelta’ Targets the Vatican and Catholic Organizations

投稿: 2020年7月28日
作成者 : Insikt Group®
中国

insikt-group-logo-updated-3.png

編集者注 : 以下の投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

Insikt Group®の研究者は、独自のRecorded Future Network Traffic AnalysisとRATコントローラーの検出、および一般的な分析手法を使用して、中国国家が支援する脅威活動グループが疑われるサイバースパイ活動を特定し、プロファイリングしました。

データソースには、Recorded Future® Platform、Farsight SecurityのDNSDB、SecurityTrails、VirusTotal、Shodan、BinaryEdge、および一般的なOSINT技術が含まれます。

このレポートは、アジアに拠点を置く民間セクター、公共セクター、非政府組織のネットワーク擁護者だけでなく、中国の地政学に関心のある人々にとっても最も興味深いものとなるでしょう。

Executive Summary

2020年5月初旬から、バチカンと香港カトリック教区は、Insikt Groupが追跡する中国国家が支援する脅威活動グループであるRedDeltaの標的となったいくつかのカトリック教会関連組織の1つでした。 この一連のネットワーク侵入の疑いは、香港中国調査団とイタリアの教皇庁外国使節団研究所(PIME)も標的にしていました。 これらの組織は、このキャンペーン以前に中国の脅威活動グループの標的として公に報告されていませんでした。

これらのネットワークへの侵入は、2020年9月に予定されている画期的な2018年の中国・バチカン 暫定協定の更新に先立って発生し、その結果、中国共産党(CCP)が歴史的に迫害されてきた中国の「地下」カトリックコミュニティに対する支配と監視を強化する結果となったと報じられている。 法王庁自体に加えて、キャンペーンの別の有力な標的には、2018年の合意で重要な役割を果たしたと考えられている前任者の現在の中国調査団の責任者が含まれます。

バチカンへの侵入疑惑は、2020年9月の取引更新に先立つ法王庁の交渉上の立場について、RedDeltaに洞察を与えることになる。 香港調査団とそのカトリック教区を標的にしたことは、教区とバチカンとの関係や、広範な抗議行動や最近の 全面的な香港国家安全維持法の中での香港の民主化運動に対する教区の立場を監視するための貴重な情報源にもなり得る。

RedDeltaの観測されたTTPと、Mustang Panda(BRONZE PRESIDENTおよびHoneyMyteとも呼ばれる)として公に呼ばれている脅威活動グループとの間にはかなりの重複がありますが、この活動をRedDeltaとして指定するように導くいくつかの注目すべき違いがあります。

  • このキャンペーンでRedDeltaが使用したPlugXのバージョンは、従来のPlugXとは異なるC2トラフィック暗号化方式を使用し、設定暗号化メカニズムも異なります。
  • このキャンペーンで採用されたマルウェア感染チェーンは、Mustang Pandaによって使用されたと公に報告されていません。

Insikt Groupは、カトリック教会に関連する団体を標的にしていることに加え、RedDeltaがインドの法執行機関や政府機関、インドネシアの政府機関を標的にしていることも特定しました。

reddelta-targets-catholic-organizations-1-1.png

図1:PlugXの亜種とRedDeltaおよびMustang Pandaが使用する感染チェーンとの主な違いの選択。

主な判断

  • カトリック教会に関連する団体を標的にしていることは、中国共産党が「地下」のカトリック教会に対する支配を強化し、中国で宗教を「中国化」し、中国のカトリックコミュニティ内でバチカンが認識している影響力を弱めるという目的を示している可能性が高い。
  • RedDeltaが中国の戦略的利益に大きく連携する組織を標的にしていること、中国を拠点とするグループが伝統的に使用していた共有ツールの使用、および中国の国家支援が支援する脅威活動グループが疑われるグループと重複していることから、Insikt Groupは、このグループが中華人民共和国(PRC)政府に代わって活動している可能性が高いと考えています。
  • 特定されたRedDeltaの侵入の特徴は、インフラストラクチャ、ツール、および被害者学を特徴としており、Mustang Panda(BRONZE PRESIDENTおよびHoneyMyteとしても知られる)として公に報告されている脅威活動グループと重複しています。 これには、重複するネットワークインフラストラクチャの使用や、以前に公開報告でこのグループに起因するとされた同様の被害者像の使用、およびMustang Pandaが通常使用するマルウェア(PlugX、Poison Ivy、Cobalt Strikeなど)の使用が含まれます。

背景

中国とカトリック教会

長年にわたり、中国の国家支援団体は、中国国内の宗教的少数派、特にチベット人、法輪功、ウイグル人イスラム教徒のコミュニティなど、いわゆる「五毒」の少数派を標的にしてきた。 Insikt Groupは、 RedAlphaext4バックドア中央チベット政府、他のチベット組織、トルキスタンイスラム党を対象としたScanbox水飲み場キャンペーンに関する調査結果など、この活動の側面について公に報告しています。 最近では、2020年7月に 米国で起訴 された事件で、中国のキリスト教宗教家である西安を拠点とする牧師と成都の地下教会の牧師(後に中国国家安全部(MSS)の代理として活動しているとされる2人の請負業者によって逮捕された成都の地下教会の牧師)の電子メールが標的にされていたことが特定された。 中国公安部(MPS)の地域支部も、中国国内の民族的・宗教的少数派のデジタル監視に深く関与しており 、特にウイ グル人イスラム教徒の場合は新疆ウイグル自治区公安局(XPSB)が注目している。

歴史的に、中国はバチカンとその統治機関である教皇庁と非常に混乱した関係を築いてきた。 特に、伝統的にバチカンに忠実な 中国の歴史的に迫害されてきた「地下」カトリック教会の司教 たちを教皇庁が認め、その台湾 との関係 は1950年代以降、公式な関係を欠いてきた。 中国共産党は、この行動を教皇庁が中国国内の宗教問題に干渉していると認識していた。 2018年9月、中国と教皇庁は画期的な2年間の暫定合意 に達し 、外交関係の再開に向けた重要な一歩を踏み出した。

暫定合意の下で、中国は地下教会に対する支配力を取り戻し、バチカンは国家が支援する「公式」カトリック教会内の司教の任命に対する影響力を増すだろう。 この取引は、地下教会に対する裏切りであり、そのメンバーに対する迫害の増加につながると主張する批評家とともに、 さまざまな反応で迎えられました。 最も厳しい批判の多くは、香港内の聖職者から出された。合意から1年後、2019年後半に始まった香港の抗議行動に対してバチカンが沈黙したことを指摘する多くの 報道 があり、これは批評家が北京の気分を害し、2018年の合意を危険にさらすことを避けるための努力と呼んだ。

脅威分析

カトリック教会の侵入の概要

reddelta-targets-catholic-organizations-1-2.png

Figure 2: Intelligence Card for RedDelta PlugX C2 Server 167.88.180[.]5.

Insikt Groupは、Recorded Future RATコントローラーの検出とネットワークトラフィック分析技術を使用して、2020年5月中旬から少なくとも2020年7月21日までにバチカンのホストと通信している複数のPlugX C2サーバーを特定しました。 同時に、Poison IvyとCobalt Strike BeaconのC2インフラストラクチャがバチカンのホストとも通信していること、バチカンをテーマにしたフィッシングルアーであるPlugXを配信すること、およびカトリック教会に関連する他のエンティティを標的にしていることを特定しました。

reddelta-targets-catholic-organizations-1-3.png

図3:中国への香港調査団の責任者を対象としたバチカンの誘惑文書。

図3のルアードキュメントは、香港カトリック教会の標的化へのリンクに関連して以前に 報告 されていますが、C2ドメインsysteminfor[.]コム。 その文書は、現在の香港調査団の中国代表に宛てたバチカンの公式書簡であると主張していた。 現在、攻撃者が自ら文書を作成したのか、それとも彼らが入手して武器化することができた正当な文書なのかは不明です。 手紙が直接この人物に宛てられていたことを考えると、彼がスピアフィッシングの標的であった可能性があります。 さらに、このサンプルはバチカンネットワークへの侵入の兆候の後に収集されたため、フィッシングルアーが侵害されたバチカンのアカウントを介して送信された可能性もあります。 この仮説は、サンプルのコンパイル日から公開マルウェアリポジトリへの最初の提出までの前後の数日間に、PlugX C2とバチカンのメールサーバーとの間の通信が特定されたことで裏付けられています。

香港調査団の代表は、教皇の事実上の対中代表であり、北京とバチカンをつなぐ重要な人物と見なされている。 この役職の前任者は、2018年の中国・バチカン暫定協定の締結に重要な役割を果たし、後継者は、協定の満了と2020年9月 の更新 を前に、情報収集の貴重なターゲットとなった。

2020年6月と7月には、イタリアに拠点を置く国際宣教師センターのメールサーバーや香港のカトリック教区のメールサーバーなど、カトリック教会に関連するその他の団体もRedDeltaの標的にされました。

reddelta-targets-catholic-organizations-1-4.png

図4:Union of Catholic Asian Newsの記事のルアー文書(左)とイスラム教バチカンのクムのルアー文書(右)。

Insikt Groupは、同じカスタマイズされたPlugXの亜種をロードする2つの追加のフィッシングルアーを特定しました。これらはどちらもバチカンのルアーと同じC2インフラストラクチャで通信していました。 最初のサンプルには、新しい香港国家安全維持法の差し迫った導入に関するアジアカトリックニュース連合のニュース速報を偽装したおとり文書が含まれていました。 「香港の安全law.docに関する中国の計画について」と題されたおとりファイルの内容は、正当なアジアカトリック連合ニュース の記事から取られた。 もう 1 つのサンプルでも、おとりのドキュメントに "QUM, IL VATICANO DELL'ISLAM.doc" というタイトルのドキュメントを使用してバチカンを参照しています。 この特定のおとり文書は、「イスラム教のバチカン、クム」と訳され、シーア派の重要な政治的および宗教的中心地であるイランの都市クム(コム)を指しています。 これは、イランに住むイタリアのカトリック学者であるフランコ・オメットの著作から取られています。 これら2つの誘惑の直接の標的は不明ですが、どちらもカトリック教会に関連しています。

この標的化は、中国国内の地下カトリック教会に対する支配を強化するという中国の目標と、中国のカトリック教徒に対するバチカンの認識された影響力を減少させるという中国の目標の両方を示していると私たちは信じています。 同様に、民主化を求める抗議運動や最近の全面的な国家安全維持法の中で香港のカトリック教徒に焦点を当てることは、特に元香港司教 のジョセフ・ゼン・ゼキウン枢機卿 を含む多くのメンバーの反北京 姿勢 を考えると、中国の戦略的利益と一致している。

今後の展望

私たちの調査では、2020年9月に予定されている中国とバチカンの暫定的な取引の更新に先立ち、カトリック教会に関連する複数の著名な団体を標的とした中国国家主導のキャンペーンが疑われていることが明らかになりました。 中国共産党と教皇庁との外交関係の温暖化は、非公式のカトリック教会に対する監視と統制を強化する手段であると一般的に解釈されてきた。 これは、中国共産党が掲げる「中国における宗教の中国化」という広範な 目標 を裏付けるものでもある。 さらに、宗教的少数派の統制と監視に対する中国の関心は、地下教会のメンバーに対する 継続的な迫害 と拘留、公式のカトリック教会とプロテスタント教会の物理的監視 の申し立て に代表されるように、「五毒」の人々に限定されていないことを示している。

米国の国際宗教自由担当大使は最近、香港における新しい国家安全維持法の影響について懸念 を表明し 、「宗教の自由を著しく損なう可能性がある」と述べた。 香港のカトリック教区を標的にしたことは、香港の民主化運動に対する教区の立場とバチカンとの関係を監視するための貴重な情報源である可能性が高い。 これは、特別行政区内での宗教の自由に対する制限が拡大する前兆となり、特にそれが民主化支持または反北京の立場と一致する場合である。

RedDeltaは、中国の戦略的利益に関連するエンティティを標的とした非常に活発な脅威活動グループです。 このグループは、PlugXやCobalt Strikeなどのよく知られたツールを一貫して使用しており、インフラストラクチャの再利用、運用のセキュリティ障害が発生しているにもかかわらず、これらの侵入は、RedDeltaが依然としてインテリジェンス要件を満たす任務を負っていることを示しています。 特に、このキャンペーンは宗教団体を標的にするという明確な目的を示しているため、宗教団体や非政府組織(NGO)が、RedDeltaのような中国の国家支援型脅威活動グループによる脅威に対抗するために、ネットワーク防御に注目し、投資することが特に適切であると感じています。 多くのNGOや宗教団体のセキュリティ対策や検知対策に投資する能力が不足していると、十分なリソースを持ち、粘り強いグループにとっては、十分に文書化されたツール、TTP、インフラを使用しても、成功する可能性が大幅に高まります。

ネットワーク防御に関する推奨事項

Recorded Futureは、RedDeltaのアクティビティに関連するアクティビティを検出して軽減するために、ユーザーが次の対策を実行することを推奨しています。

  • 侵入検知システム (IDS)、侵入防止システム (IPS)、または任意のネットワーク防御メカニズムを設定して、 付録に記載されている外部 IP アドレスとドメインに対してアラートを発し、確認した上で不正な接続の試みをブロックすることを検討してください。

さらに、組織には、次の一般的な情報セキュリティのベストプラクティスガイドラインに従うことをお勧めします。

  • すべてのソフトウェアとアプリケーションを最新の状態に保ちます。特に、オペレーティング システム、ウイルス対策ソフトウェア、およびコア システム ユーティリティです。
  • 電子メールの通信をフィルタリングし、添付ファイルにマルウェアがないか精査する。
  • システムのバックアップを定期的に作成し、バックアップをオフライン、できればオフサイトに保存して、ネットワーク経由でデータにアクセスできないようにする。
  • 綿密なインシデント対応とコミュニケーション計画を立てる。
  • 会社の機密データの厳格な区分化を遵守します。 特に、従業員のアカウントやデバイスにアクセスできる人は、どのデータにアクセスできるかを調べます(たとえば、フィッシングによるデバイスやアカウントの乗っ取りなど)。
  • 役割ベースのアクセス、全社的なデータアクセスの制限、機密データへのアクセス制限の導入を強く検討する。
  • ホストベースの制御を採用する。攻撃を阻止するための最良の防御策と警告信号の1つは、クライアントベースのホストロギングと侵入検出機能を実行することである。
  • ネットワーク IDS、NetFlow 収集、ホスト ロギング、Web プロキシなどの基本的なインシデント対応と検出のデプロイと制御を実装するとともに、検出ソースを人間が監視します。
  • パートナーまたはサプライ チェーンのセキュリティ基準に注意してください。 エコシステムパートナーのセキュリティ標準を監視および実施できることは、組織のセキュリティ体制の重要な部分です。

編集者注 : この投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

関連ニュース&研究