RedHotel:世界規模で活動する多作な中国国営グループ
Insikt Groupの新しい調査では、その執拗さ、活動の激しさ、世界的な広がりで際立っている、中国政府の支援する脅威活動グループRedHotelを取り上げています。RedHotelは、2021年から2023年にかけて、アジア、欧州、北米の17か国で活動しており、そのターゲットには、学術界、航空宇宙、政府、メディア、通信、研究の各分野が含まれます。特に東南アジアの政府や特定のセクターの 民間企業に焦点を当てたRedHotelのマルウェアのコマンド&コントロール、偵察、エクスプロイトのインフラストラクチャは、管理が中国の成都で行われていることを示しています。その手法は中国国家安全部(MSS)と関係のある他の請負業者グループと一致しており、成都のサイバー人材と活動が結びついていることを示しています。
RedHotelの多層C2インフラストラクチャネットワークの概略図
少なくとも2019年以来、RedHotelは高い活動ペースを維持し、世界中の公共部門および民間部門の組織を標的にすることで中国政府が支援する広範なサイバースパイ活動の容赦ない範囲と規模を実証してきました。このグループには情報収集と経済スパイの二重の使命があり、従来のようなインテリジェンスや政府機関と、新型コロナウイルス感染症の研究・技術研究開発に関与する組織の両方を対象としています。特に、2022年に発生した米国の州議会に対する攻撃では、その影響範囲の拡大が浮き彫りになりました。観察された被害者組織の大半は、首相官邸、財務省、立法機関、内務省などの政府機関であり、このグループのスパイ活動の可能性が高いタスクと一致しています。しかし、2021年7月に報じられた台湾の工業技術研究院(ITRI)や新型コロナウイルス感染症の研究を狙ったインシデントなどのいくつかのケースでは、産業スパイや経済スパイが動機であった可能性が高いと考えられます。同グループが過去に中国市場向けのオンラインギャンブル業界を標的にしてきたことは、Insikt Groupが観察した中国を拠点とするサイバースパイアクター全体の広範な傾向とも一致しており、中国政府によるオンラインギャンブルのより広範な取り締まりを支援するための情報収集も目的としている可能性があります。
RedHotelの技術スタック
RedHotelはコマンド&コントロールサーバーを介した偵察と長期的なネットワークアクセスに重点を置いた多層インフラストラクチャを採用しています。その多層インフラストラクチャは、使用する複数のマルウェアファミリーに関連するC2トラフィックのリバースプロキシとして機能するよう設定された大量のプロビジョニング済み仮想プライベートサーバー(VPS)で構成されています。これらのリバースプロキシサーバーは通常、標準のHTTP(s)ポート(TCP 80、443、8080、8443など)でリッスンし、トラフィックを上流のアクターが制御するサーバーにリダイレクトするように設定されています。これらの上流サーバーは、オープンソースの仮想プライベートネットワーク(VPN)ソフトウェアSoftEtherを使用して脅威アクターによって直接管理されている可能性があります。
このグループは、攻撃的なセキュリティツール、共有機能、Cobalt Strike、Brute Ratel C4、Winnti、ShadowPad、FunnySwitch、Spyderバックドアなどの特注ツールを組み合わせて利用することがよくあります。2022年から2023年にかけて、Insikt GroupはRedHotelが使用している100を超えるC2 IPアドレスを追跡しましたが、AS-CHOOPA(Vultr)、G-Core Labs SA、Kaopu Cloud HK Limitedなどの特定のホスティングプロバイダーが特によく使用されていました。特定のホスティングプロバイダーに対する脅威アクターの選好は、コスト、信頼性、セットアップのしやすさ、データセンターの場所、政府や民間組織との協力や組織からの情報収集の度合い、ホスティングプロバイダーがサービスの悪用に対処するスピードと意欲などの要因の影響を受ける可能性があります。
Recorded FutureのInsikt Groupは中国国家が後援するさまざまなサイバー脅威を観察していますが、RedHotelはその幅広い範囲と活動の激しさで際立っています。RedHotelのキャンペーンには、盗まれたコード署名証明書の悪用やベトナム政府のインフラ乗っ取りなどのイノベーションが含まれています。一般公開されているにもかかわらず、RedHotelの大胆なアプローチは、その活動が今後も続くことを示唆しています。
防衛戦略
組織は、インターネットに接続された機器(特に企業のVPN、メールサーバー、ネットワークデバイス)の強化と脆弱性パッチの適用を優先し、これらのデバイスのログ記録と監視を行い、ネットワークセグメンテーションを実装して内部ネットワークへの露出と横方向の移動の可能性を制限することで、RedHotelの活動から身を守ることができます。
注:本レポートの概要は2023年8月8日に発表され、2024年10月29日に更新されました。当初の分析と調査結果に変更はありません。
文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。
付録A — 侵害を示す指標
|
ドメイン: dga[.]アジア kb.dga[.]アジア video.dga[.]アジア sc.dga[.]アジア dgti.dga[.]アジア nhqdc[.]コム msdn.microsoft.nhqdc[.]コム icoreemail[.]コム demo.icoreemail[.]コム オフィスサポートコム kiwi.officesuport[.]コム cdn.officesuport[.]コム test.officesuport[.]コム mail.officesuport[.]コム ntpc.officesuport[.]コム main.officesuport[.]コム Excel.OfficeSuport[.]コム remote.officesuport[.]コム ismtrsn[.]クラブ lrm.ismtrsn[.]クラブ tgoomh.ismtrsn[.]クラブ news.ismtrsn[.]クラブ icarln.ismtrsn[.]クラブ liveonlin[.]コム npgsql.liveonlin[.]コム public.liveonlin[.]コム tech.liveonlin[.]コム main.liveonlin[.]コム cctv.liveonlin[.]コム alexa-api[.]コム www.alexa-api[.]コム ngndc[.]コム air.ngndc[.]コム spa.ngndc[.]コム mkn.ngndc[.]コム ekaldhfl[.]クラブ ts.ekaldhfl[.]クラブ ist.ekaldhfl[.]クラブ ダウンロード.ekaldhfl[.]クラブ pps.ekaldhfl[.]クラブ plt.ekaldhfl[.]クラブ tlt.ekaldhfl[.]クラブ thy.ekaldhfl[.]クラブ us.ekaldhfl[.]クラブ asia-cdn[.]アジア report.asia-cdn[.]アジア フリーハイウェイ[.]コム map.freehighways[.]コム iredemail[.]コム index.iredemail[.]コム demo.iredemail[.]コム open.iredemail[.]コム api.iredemail[.]コム full.iredemail[.]コム bbs.iredemail[.]コム 0nenote[.]コム keep.0nenote[.]コム asia-cdn[.]アジア api.asia-cdn[.]アジア speedtest.asia-cdn[.]アジア サイバーオーム[.]コム checkip.cyberoams[.]コム ekaldhfl[.]クラブ pps.ekaldhfl[.]クラブ usa.ekaldhfl[.]クラブ mtlklabs[.]共 コンホストサダスウェブサイト ITCOM666[.]住む qbxlwr4nkq[.]ITCOM666[.]住む 8kmobvy5o[.]ITCOM666[.]住む ITCOM888[.]住む bwlgrafana[.]ITCOM888[.]住む itsm-uat-app[.]ITCOM888[.]住む dkxvb0mf[.]ITCOM888[.]住む nvw3tdetwx[.]ITCOM888[.]住む 0j10u9wi[.]ITCOM888[.]住む yt-sslvpn[.]ITCOM888[.]住む vappvcsa[.]ITCOM888[.]住む 94ceaugp[.]ITCOM888[.]住む シベルシステムズ[.]xyz fyalluw0[.]シベルシステムズ[.]xyz sijqlfnbes.sibersystems[.]xyz JMZ8xhxen3.SiberSystems[.]xyz 2h3cvvhgtf.sibersystems[.]xyz 3TGDTYFPT9.SiberSystems[.]xyz n71qtqemam.sibersystems[.]xyz 711ZM77CWQ.SiberSystems[.]xyz R77wu4s847.sibersystems[.]xyz カアマニトバ州[.]私達 jw7uvtodx4.caamanitoba[.]私達 xdryqrbe.caamanitoba[.]私達 b1k10pk9.caamanitoba[.]私達 6hi6m62bzp.caamanitoba[.]私達 livehost[.]住む sci.livehost[.]住む C2 IPアドレス(2023年5月から6月を確認) 1.13.82[.]101 5.188.33[.]188 5.188.33[.]254 5.188.34[.]164 5.188.34[.]173 38.54.16[.]131 38.54.16[.]179 38.60.199[.]87 38.60.199[.]208 45.76.186[.]26 45.77.153[.]197 61.238.103[.]165 64.227.132[.]226 92.38.169[.]222 92.38.176[.]128 92.38.178[.]40 92.38.178[.]60 92.223.90[.]133 95.85.91[.]50 103.140.239[.]41 103.157.142[.]95 108.61.158[.]179 139.180.193[.]182 140.82.7[.]72 141.164.63[.]244 154.212.129[.]132 156.236.114[.]202 TLS 証明書 (SHA256 フィンガープリント): f8cd64625f8964239dad1b2ce7372d7a293196455db7c6b5467f7770fd664a61 294fb8f21034475198c3320d01513cc9917629c6fd090af76ea0ff8911e0caa3 9c8e5f6e5e843767f0969770478e3ad449f8a412dad246a17ea69694233884b9 29ED44228ED4A9883194F7E910B2AAC8E433BA3EDD89596353995BA9B9107093 b02aed9a615b6dff2d48b1dd5d15d898d537033b2f6a5e9737d27b0e0817b30e コバルトストライクローダー 5CBA27D29C89CAF0C8A8D28B42A8F977F86C92C803D1E2C7386D60C0D8641285 48e81b1c5cc0005cc58b99cefe1b6087c841e952bb06db5a5a6441e92e40bed6 25DA610BE6ACECFD71BBE3A4E88C09F31AD07BDD252EB30FEEF9DEBD9667C51 233bb85dbeba69231533408501697695a66b7790e751925231d64bddf80bbf91 aeceaa7a806468766923a00e8c4eb48349f10d069464b53674eeb150e0a59123 ブルートラテルローダー 6e3c3045bb9d0db4817ad0441ee3c95b8fe3e087388d1ceefb9ebbd2608aef16 6F31A4656AFB8D9245B5B2F5A634DDFBDB9DB3CA565D2C52AEE68554EDE068D1 C00991CFEAFC055447D7553A14BE2303E105B6A97AB35ECF820B9DBD42826F9D Winnti 5861584bb7fa46373c1b1f83b1e066a3d82e9c10ce87539ee1633ef0f567e743 69ff2f88c1f9007b80d591e9655cc61eaa4709ccd8b3aa6ec15e3aa46b9098bd 2F1321C6CF0BC3CF955E86692BFC4BA836F5580C8B1469CE35AA250C97F0076E f1dcf623a8f8f4b26fe54fb17c8597d6cc3f7066789daf47a5f1179bd7f7001a スパイダー 7A61708F391A667C8bb91FCFD7392A328986059563D972960F8237A69E375D50 5d3a6f5bd0a72ee653c6bdad68275df730b836d6f9325ee57ec7d32997d5dcef 1ded9878f8680e1d91354cbb5ad8a6960efd6ddca2da157eb4c1ef0f0430fd5f E053CA5888FB0D5099EFED76E68A1AF0020AAAA34CA610E7A1AC0AE9FFE36F6E 24D4089F74672BC00C897A74664287fe14D63A9B78A8FE2BDBBF9B870B40D85C ファニースイッチ 7056E9B69CC2fbc79BA7A492906BCC84DAC6EA95383DFF3844DFDE5278D9C7A EDE0C1F0D6C3D982F63ABBBDD5F10648948A44E5FA0D948A89244A06ABAF2ECFE 9eb0124d822d6b0fab6572b2a4445546e8029ad6bd490725015d49755b5845a4 |
付録B — MITRE ATT&CK手法
| 戦術:手法 | ATT&CKコード | オブザーバブル |
| 偵察: アクティブスキャン:脆弱性スキャン | T1595.002 | RedHotelは、Acunetixなどの脆弱性スキャンツールを使用して、外部向けアプライアンスの脆弱性をスキャンしています |
| リソース開発: インフラストラクチャの取得:ドメイン | T1583.001 | RedHotelは、主にNamecheapを介してドメインを購入しました。 |
| リソース開発: インフラストラクチャの取得:仮想プライベートサーバー | T1583.003 | RedHotelは、プロバイダーのChoopa(Vultr)、G-Core、およびKaopu Cloud HK Limitedを優先して、アクター制御のVPSをプロビジョニングしました。 |
| リソース開発: 侵害インフラストラクチャ:サーバー | T1584.004 | RedHotelは、侵害されたGlassFishサーバーをCobalt Strike C2として使用し、ターゲットネットワークをスキャンしています。 |
| 初期アクセス: 公開アプリケーションの悪用 | T1190 | RedHotelは、Zimbra Collaboration Suite(CVE-2022-24682、CVE-2022-27924、CVE-2022-27925とCVE-2022-37042、CVE-2022-30333と連鎖)、Microsoft Exchange(ProxyShell)、Apache Log4Jの Log4Shell の脆弱性など、公開アプリケーションを悪用して初期アクセスを行っています。 |
| 初期アクセス: スピアフィッシング:スピアフィッシングの添付ファイル | T1566.001 | RedHotelは、リモートでホストされているスクリプト(HTA、VBScript)をフェッチするショートカット(LNK)ファイルを含むアーカイブスピアフィッシング添付ファイルを使用しています。 これらのスクリプトは、DLLの検索順序ハイジャックの感染チェーンをトリガーし、ユーザーにおとり文書を表示するために使用されます。 |
| 固執: サーバーソフトウェアコンポーネント: Web シェル | T1505.003 | RedHotelは、被害者の環境内でWebシェルを使用し、侵害されたGlassFishサーバーと対話しています |
| 永続性:: スケジュールされたタスク/ジョブ: スケジュールされたタスク | T1053.005 | RedHotelは、グループのSpyderバックドアの永続化にスケジュールされたタスクを使用しています。
|
| 固執: ブートまたはログオンの自動開始の実行: レジストリ実行キー/スタートアップ フォルダー | T1547.001 | ScatterBee ShadowPadローダーは、Runレジストリキーを介して保持され、暗号化されたShadowPadペイロードをレジストリに保存します。 |
| 防御回避: 難読化されたファイルまたは情報 | T1027 | RedHotelは、ScatterBeeツールを使用してShadowPadペイロードを難読化しました。 また、このグループは、暗号化またはエンコードされたペイロードを bin.configという名前のファイルに繰り返し保存しています。
|
| 防御回避: ファイルまたは情報の難読化/デコード | T1140 | |
| 防御回避: 信頼のコントロールを覆す:コード署名 | T1553.002 | RedHotelは、盗まれたコード署名証明書(参照されているWANIN International証明書など)を使用して悪意のあるバイナリに署名しています。 |
| 防御回避:ハイジャック実行フロー:DLL検索順序ハイジャック | T1574.001 | RedHotelは、 vfhost.exeを含む複数の正規の実行可能ファイルをDLL検索順序のハイジャックに悪用しました。 mcods.exe, と BDReinit.exe。
|
| 防御回避:マスカレード:正当な名前または場所を照合します | T1036.005 | RedHotelは、DLL検索順序ハイジャックと並行して正当なファイル名を使用して、悪意のあるDLLをロードしています。 |
| コマンド&コントロール: プロキシ:外部プロキシ | T1090.002 | RedHotelはVPS C2を使用して、攻撃者が制御するサーバーにトラフィックをアップストリームでプロキシしています。 |
| コマンド&コントロール: アプリケーション層プロトコル:Webプロトコル | T1071.001 | このレポートで参照されているRedHotelBruteRatelおよびCobaltStrikeのサンプルは、HTTPSを介して通信します。 |
| 流出: C2チャネルを介した流出 | T1041 | RedHotelは、マルウェアのC2チャネルを介してデータを盗み出しました。 |
関連