RedHotel:世界規模で活動する多作な中国国営グループ
Insikt Groupの新しい調査では、その執拗さ、活動の激しさ、世界的な広がりで際立っている、中国政府の支援する脅威活動グループRedHotelを取り上げています。RedHotelは、2021年から2023年にかけて、アジア、欧州、北米の17か国で活動しており、そのターゲットには、学術界、航空宇宙、政府、メディア、通信、研究の各分野が含まれます。特に東南アジアの政府や特定のセクターの 民間企業に焦点を当てたRedHotelのマルウェアのコマンド&コントロール、偵察、エクスプロイトのインフラストラクチャは、管理が中国の成都で行われていることを示しています。その手法は中国国家安全部(MSS)と関係のある他の請負業者グループと一致しており、成都のサイバー人材と活動が結びついていることを示しています。
RedHotelの多層C2インフラストラクチャネットワークの概略図
少なくとも2019年以来、RedHotelは高い活動ペースを維持し、世界中の公共部門および民間部門の組織を標的にすることで中国政府が支援する広範なサイバースパイ活動の容赦ない範囲と規模を実証してきました。このグループには情報収集と経済スパイの二重の使命があり、従来のようなインテリジェンスや政府機関と、新型コロナウイルス感染症の研究・技術研究開発に関与する組織の両方を対象としています。特に、2022年に発生した米国の州議会に対する攻撃では、その影響範囲の拡大が浮き彫りになりました。観察された被害者組織の大半は、首相官邸、財務省、立法機関、内務省などの政府機関であり、このグループのスパイ活動の可能性が高いタスクと一致しています。しかし、2021年7月に報じられた台湾の工業技術研究院(ITRI)や新型コロナウイルス感染症の研究を狙ったインシデントなどのいくつかのケースでは、産業スパイや経済スパイが動機であった可能性が高いと考えられます。同グループが過去に中国市場向けのオンラインギャンブル業界を標的にしてきたことは、Insikt Groupが観察した中国を拠点とするサイバースパイアクター全体の広範な傾向とも一致しており、中国政府によるオンラインギャンブルのより広範な取り締まりを支援するための情報収集も目的としている可能性があります。
RedHotelの技術スタック
RedHotel employs a multi-tiered infrastructure with a distinct focus on reconnaissance and long-term network access via command-and-control servers. The group’s multi-tier infrastructure setup consists of large quantities of provisioned virtual private servers (VPS) configured to act as reverse proxies for C2 traffic associated with the multiple malware families used by the group. These reverse proxy servers are typically configured to listen on standard HTTP(s) ports such as TCP 80, 443, 8080, and 8443) and to redirect traffic to upstream actor-controlled servers. These upstream servers are then likely directly administered by the threat actor using the open-source virtual private network (VPN) software SoftEther.
このグループは、攻撃的なセキュリティツール、共有機能、Cobalt Strike、Brute Ratel C4、Winnti、ShadowPad、FunnySwitch、Spyderバックドアなどの特注ツールを組み合わせて利用することがよくあります。2022年から2023年にかけて、Insikt GroupはRedHotelが使用している100を超えるC2 IPアドレスを追跡しましたが、AS-CHOOPA(Vultr)、G-Core Labs SA、Kaopu Cloud HK Limitedなどの特定のホスティングプロバイダーが特によく使用されていました。特定のホスティングプロバイダーに対する脅威アクターの選好は、コスト、信頼性、セットアップのしやすさ、データセンターの場所、政府や民間組織との協力や組織からの情報収集の度合い、ホスティングプロバイダーがサービスの悪用に対処するスピードと意欲などの要因の影響を受ける可能性があります。
Recorded FutureのInsikt Groupは中国国家が後援するさまざまなサイバー脅威を観察していますが、RedHotelはその幅広い範囲と活動の激しさで際立っています。RedHotelのキャンペーンには、盗まれたコード署名証明書の悪用やベトナム政府のインフラ乗っ取りなどのイノベーションが含まれています。一般公開されているにもかかわらず、RedHotelの大胆なアプローチは、その活動が今後も続くことを示唆しています。
防衛戦略
組織は、インターネットに接続された機器(特に企業のVPN、メールサーバー、ネットワークデバイス)の強化と脆弱性パッチの適用を優先し、これらのデバイスのログ記録と監視を行い、ネットワークセグメンテーションを実装して内部ネットワークへの露出と横方向の移動の可能性を制限することで、RedHotelの活動から身を守ることができます。
注:本レポートの概要は2023年8月8日に発表され、2024年10月29日に更新されました。当初の分析と調査結果に変更はありません。
文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。
付録A — 侵害を示す指標
|
ドメイン: dga[.]asia kb.dga[.]asia video.dga[.]asia sc.dga[.]asia dgti.dga[.]asia nhqdc[.]com msdn.microsoft.nhqdc[.]com icoreemail[.]com demo.icoreemail[.]com officesuport[.]com kiwi.officesuport[.]com cdn.officesuport[.]com test.officesuport[.]com mail.officesuport[.]com ntpc.officesuport[.]com main.officesuport[.]com excel.officesuport[.]com remote.officesuport[.]com ismtrsn[.]club lrm.ismtrsn[.]club tgoomh.ismtrsn[.]club news.ismtrsn[.]club icarln.ismtrsn[.]club liveonlin[.]com npgsql.liveonlin[.]com public.liveonlin[.]com tech.liveonlin[.]com main.liveonlin[.]com cctv.liveonlin[.]com alexa-api[.]com www.alexa-api[.]com ngndc[.]com air.ngndc[.]com spa.ngndc[.]com mkn.ngndc[.]com ekaldhfl[.]club ts.ekaldhfl[.]club ist.ekaldhfl[.]club downloads.ekaldhfl[.]club pps.ekaldhfl[.]club plt.ekaldhfl[.]club tlt.ekaldhfl[.]club thy.ekaldhfl[.]club us.ekaldhfl[.]club asia-cdn[.]asia report.asia-cdn[.]asia freehighways[.]com map.freehighways[.]com iredemail[.]com index.iredemail[.]com demo.iredemail[.]com open.iredemail[.]com api.iredemail[.]com full.iredemail[.]com bbs.iredemail[.]com 0nenote[.]com keep.0nenote[.]com asia-cdn[.]asia api.asia-cdn[.]asia speedtest.asia-cdn[.]asia cyberoams[.]com checkip.cyberoams[.]com ekaldhfl[.]club pps.ekaldhfl[.]club usa.ekaldhfl[.]club mtlklabs[.]co conhostsadas[.]website itcom666[.]live qbxlwr4nkq[.]itcom666[.]live 8kmobvy5o[.]itcom666[.]live itcom888[.]live bwlgrafana[.]itcom888[.]live itsm-uat-app[.]itcom888[.]live dkxvb0mf[.]itcom888[.]live nvw3tdetwx[.]itcom888[.]live 0j10u9wi[.]itcom888[.]live yt-sslvpn[.]itcom888[.]live vappvcsa[.]itcom888[.]live 94ceaugp[.]itcom888[.]live sibersystems[.]xyz fyalluw0[.]sibersystems[.]xyz sijqlfnbes.sibersystems[.]xyz jmz8xhxen3.sibersystems[.]xyz 2h3cvvhgtf.sibersystems[.]xyz 3tgdtyfpt9.sibersystems[.]xyz n71qtqemam.sibersystems[.]xyz 711zm77cwq.sibersystems[.]xyz R77wu4s847.sibersystems[.]xyz caamanitoba[.]us jw7uvtodx4.caamanitoba[.]us xdryqrbe.caamanitoba[.]us b1k10pk9.caamanitoba[.]us 6hi6m62bzp.caamanitoba[.]us livehost[.]live sci.livehost[.]live C2 IP Addresses (seen May to June 2023) 1.13.82[.]101 5.188.33[.]188 5.188.33[.]254 5.188.34[.]164 5.188.34[.]173 38.54.16[.]131 38.54.16[.]179 38.60.199[.]87 38.60.199[.]208 45.76.186[.]26 45.77.153[.]197 61.238.103[.]165 64.227.132[.]226 92.38.169[.]222 92.38.176[.]128 92.38.178[.]40 92.38.178[.]60 92.223.90[.]133 95.85.91[.]50 103.140.239[.]41 103.157.142[.]95 108.61.158[.]179 139.180.193[.]182 140.82.7[.]72 141.164.63[.]244 154.212.129[.]132 156.236.114[.]202 TLS Certificate (SHA256 Fingerprints): f8cd64625f8964239dad1b2ce7372d7a293196455db7c6b5467f7770fd664a61 294fb8f21034475198c3320d01513cc9917629c6fd090af76ea0ff8911e0caa3 9c8e5f6e5e843767f0969770478e3ad449f8a412dad246a17ea69694233884b9 29ed44228ed4a9883194f7e910b2aac8e433ba3edd89596353995ba9b9107093 b02aed9a615b6dff2d48b1dd5d15d898d537033b2f6a5e9737d27b0e0817b30e Cobalt Strike Loaders 5cba27d29c89caf0c8a8d28b42a8f977f86c92c803d1e2c7386d60c0d8641285 48e81b1c5cc0005cc58b99cefe1b6087c841e952bb06db5a5a6441e92e40bed6 25da610be6acecfd71bbe3a4e88c09f31ad07bdd252eb30feeef9debd9667c51 233bb85dbeba69231533408501697695a66b7790e751925231d64bddf80bbf91 aeceaa7a806468766923a00e8c4eb48349f10d069464b53674eeb150e0a59123 Brute Ratel Loaders 6e3c3045bb9d0db4817ad0441ee3c95b8fe3e087388d1ceefb9ebbd2608aef16 6f31a4656afb8d9245b5b2f5a634ddfbdb9db3ca565d2c52aee68554ede068d1 c00991cfeafc055447d7553a14be2303e105b6a97ab35ecf820b9dbd42826f9d Winnti 5861584bb7fa46373c1b1f83b1e066a3d82e9c10ce87539ee1633ef0f567e743 69ff2f88c1f9007b80d591e9655cc61eaa4709ccd8b3aa6ec15e3aa46b9098bd 2f1321c6cf0bc3cf955e86692bfc4ba836f5580c8b1469ce35aa250c97f0076e f1dcf623a8f8f4b26fe54fb17c8597d6cc3f7066789daf47a5f1179bd7f7001a Spyder 7a61708f391a667c8bb91fcfd7392a328986059563d972960f8237a69e375d50 5d3a6f5bd0a72ee653c6bdad68275df730b836d6f9325ee57ec7d32997d5dcef 1ded9878f8680e1d91354cbb5ad8a6960efd6ddca2da157eb4c1ef0f0430fd5f e053ca5888fb0d5099efed76e68a1af0020aaaa34ca610e7a1ac0ae9ffe36f6e 24d4089f74672bc00c897a74664287fe14d63a9b78a8fe2bdbbf9b870b40d85c FunnySwitch 7056e9b69cc2fbc79ba7a492906bcc84dabc6ea95383dff3844dfde5278d9c7a ede0c1f0d6c3d982f63abbdd5f10648948a44e5fa0d948a89244a06abaf2ecfe 9eb0124d822d6b0fab6572b2a4445546e8029ad6bd490725015d49755b5845a4 |
付録B — MITRE ATT&CK手法
| 戦術:手法 | ATT&CKコード | オブザーバブル |
| Reconnaissance: Active Scanning: Vulnerability Scanning | T1595.002 | RedHotelは、Acunetixなどの脆弱性スキャンツールを使用して、外部向けアプライアンスの脆弱性をスキャンしています |
| Resource Development: Acquire Infrastructure: Domains | T1583.001 | RedHotelは、主にNamecheapを介してドメインを購入しました。 |
| Resource Development: Acquire Infrastructure: Virtual Private Server | T1583.003 | RedHotelは、プロバイダーのChoopa(Vultr)、G-Core、およびKaopu Cloud HK Limitedを優先して、アクター制御のVPSをプロビジョニングしました。 |
| Resource Development: Compromise Infrastructure: Server | T1584.004 | RedHotelは、侵害されたGlassFishサーバーをCobalt Strike C2として使用し、ターゲットネットワークをスキャンしています。 |
| Initial Access: Exploit Public-Facing Application | T1190 | RedHotel has exploited public-facing applications for initial access, including Zimbra Collaboration Suite (CVE-2022-24682, CVE-2022-27924, CVE-2022-27925 chained with CVE-2022-37042, and CVE-2022-30333), Microsoft Exchange (ProxyShell), and the Log4Shell vulnerability in Apache Log4J. |
| Initial Access: Spearphishing: Spearphishing Attachment | T1566.001 | RedHotelは、リモートでホストされているスクリプト(HTA、VBScript)をフェッチするショートカット(LNK)ファイルを含むアーカイブスピアフィッシング添付ファイルを使用しています。 これらのスクリプトは、DLLの検索順序ハイジャックの感染チェーンをトリガーし、ユーザーにおとり文書を表示するために使用されます。 |
| Persistence: Server Software Component: Web Shell | T1505.003 | RedHotelは、被害者の環境内でWebシェルを使用し、侵害されたGlassFishサーバーと対話しています |
| Persistence:: Scheduled Task/Job: Scheduled Task | T1053.005 | RedHotelは、グループのSpyderバックドアの永続化にスケジュールされたタスクを使用しています。
|
| Persistence: Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | T1547.001 | ScatterBee ShadowPadローダーは、Runレジストリキーを介して保持され、暗号化されたShadowPadペイロードをレジストリに保存します。 |
| Defense Evasion: 難読化されたファイルまたは情報 | T1027 | RedHotel has used the tool ScatterBee to obfuscate ShadowPad payloads. The group has also repeatedly stored encrypted or encoded payloads within files named bin.config.
|
| Defense Evasion: Deobfuscate/Decode Files or Information | T1140 | |
| Defense Evasion: Subvert Trust Controls: Code Signing | T1553.002 | RedHotelは、盗まれたコード署名証明書(参照されているWANIN International証明書など)を使用して悪意のあるバイナリに署名しています。 |
| Defense Evasion: Hijack Execution Flow: DLL Search Order Hijacking | T1574.001 | RedHotel has abused multiple legitimate executables for DLL search order hijacking, including vfhost.exe, mcods.exe, and BDReinit.exe.
|
| Defense Evasion: Masquerading: Match Legitimate Name or Location | T1036.005 | RedHotelは、DLL検索順序ハイジャックと並行して正当なファイル名を使用して、悪意のあるDLLをロードしています。 |
| Command and Control: Proxy: External Proxy | T1090.002 | RedHotelはVPS C2を使用して、攻撃者が制御するサーバーにトラフィックをアップストリームでプロキシしています。 |
| Command and Control: Application Layer Protocol: Web Protocols | T1071.001 | このレポートで参照されているRedHotelBruteRatelおよびCobaltStrikeのサンプルは、HTTPSを介して通信します。 |
| Exfiltration: C2チャンネルを介した流出 | T1041 | RedHotelは、マルウェアのC2チャネルを介してデータを盗み出しました。 |
関連ニュース&研究