RedHotel：世界規模で活動する多作な中国国営グループ

Insikt Groupの新しい調査では、中国の国家支援による脅威活動グループであるRedHotelが、その持続性、運用強度、およびグローバルリーチで際立っています。 RedHotelの事業は、2021年から2023年まで、アジア、ヨーロッパ、北米の17か国にまたがっています。 そのターゲットは、学界、航空宇宙、政府、メディア、電気通信、および研究部門を網羅しています。 特に東南アジアの政府や特定の分野の民間企業に焦点を当てたRedHotelのマルウェアのコマンド&コントロール、偵察、エクスプロイトのインフラは、中国の成都の行政を指し示しています。 その手法は、中国国家安全部(MSS)に関連する他の請負業者グループと一致しており、成都におけるサイバー人材と事業の結びつきを示しています。

RedHotelの多層C2インフラストラクチャネットワークの概略図

RedHotelには、情報収集と経済スパイの2つの使命があります。 従来のインテリジェンスの政府機関と、COVID-19の研究と技術の研究開発に関与する組織の両方を対象としています。 特に、2022年に米国の州議会を侵害し、その範囲の拡大を浮き彫りにしました。 RedHotelは、偵察とコマンドアンドコントロールサーバーを介した長期的なネットワークアクセスに重点を置いた多層インフラストラクチャを採用しています。

少なくとも2019年以降、RedHotelは、高い運用テンポを維持し、世界中の公共および民間部門の組織を標的にすることで、中国国家が支援するサイバースパイ活動の容赦ない範囲と規模を例示してきました。 このグループは、攻撃的なセキュリティツール、共有機能、特注のツールを組み合わせて利用することがよくあります。

Recorded FutureのInsikt Groupは、中国政府が支援するさまざまなサイバー脅威を観察しており、RedHotelはその幅広い範囲と活動の強度で際立っています。 RedHotelのキャンペーンには、盗まれたコード署名証明書の悪用やベトナム政府のインフラの乗っ取りなどのイノベーションが含まれている。 公の場で公開されているにもかかわらず、レッドホテルの大胆なアプローチは、その活動を継続することを示唆しています。

文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

付録A — 侵害を示す指標

ドメイン： dga[.]アジア kb.dga[.]アジア video.dga[.]アジア sc.dga[.]アジア dgti.dga[.]アジア nhqdc[.]コム msdn.microsoft.nhqdc[.]コム icoreemail[.]コム demo.icoreemail[.]コム オフィスサポートコム kiwi.officesuport[.]コム cdn.officesuport[.]コム test.officesuport[.]コム mail.officesuport[.]コム ntpc.officesuport[.]コム main.officesuport[.]コム Excel.OfficeSuport[.]コム remote.officesuport[.]コム ismtrsn[.]クラブ lrm.ismtrsn[.]クラブ tgoomh.ismtrsn[.]クラブ news.ismtrsn[.]クラブ icarln.ismtrsn[.]クラブ liveonlin[.]コム npgsql.liveonlin[.]コム public.liveonlin[.]コム tech.liveonlin[.]コム main.liveonlin[.]コム cctv.liveonlin[.]コム alexa-api[.]コム www.alexa-api[.]コム ngndc[.]コム air.ngndc[.]コム spa.ngndc[.]コム mkn.ngndc[.]コム ekaldhfl[.]クラブ ts.ekaldhfl[.]クラブ ist.ekaldhfl[.]クラブ ダウンロード.ekaldhfl[.]クラブ pps.ekaldhfl[.]クラブ plt.ekaldhfl[.]クラブ tlt.ekaldhfl[.]クラブ thy.ekaldhfl[.]クラブ us.ekaldhfl[.]クラブ asia-cdn[.]アジア report.asia-cdn[.]アジア フリーハイウェイ[.]コム map.freehighways[.]コム iredemail[.]コム index.iredemail[.]コム demo.iredemail[.]コム open.iredemail[.]コム api.iredemail[.]コム full.iredemail[.]コム bbs.iredemail[.]コム 0nenote[.]コム keep.0nenote[.]コム asia-cdn[.]アジア api.asia-cdn[.]アジア speedtest.asia-cdn[.]アジア サイバーオーム[.]コム checkip.cyberoams[.]コム ekaldhfl[.]クラブ pps.ekaldhfl[.]クラブ usa.ekaldhfl[.]クラブ mtlklabs[.]共 コンホストサダスウェブサイト ITCOM666[.]住む qbxlwr4nkq[.]ITCOM666[.]住む 8kmobvy5o[.]ITCOM666[.]住む ITCOM888[.]住む bwlgrafana[.]ITCOM888[.]住む itsm-uat-app[.]ITCOM888[.]住む dkxvb0mf[.]ITCOM888[.]住む nvw3tdetwx[.]ITCOM888[.]住む 0j10u9wi[.]ITCOM888[.]住む yt-sslvpn[.]ITCOM888[.]住む vappvcsa[.]ITCOM888[.]住む 94ceaugp[.]ITCOM888[.]住む シベルシステムズ[.]xyz fyalluw0[.]シベルシステムズ[.]xyz sijqlfnbes.sibersystems[.]xyz JMZ8xhxen3.SiberSystems[.]xyz 2h3cvvhgtf.sibersystems[.]xyz 3TGDTYFPT9.SiberSystems[.]xyz n71qtqemam.sibersystems[.]xyz 711ZM77CWQ.SiberSystems[.]xyz R77wu4s847.sibersystems[.]xyz カアマニトバ州[.]私達 jw7uvtodx4.caamanitoba[.]私達 xdryqrbe.caamanitoba[.]私達 b1k10pk9.caamanitoba[.]私達 6hi6m62bzp.caamanitoba[.]私達 livehost[.]住む sci.livehost[.]住む C2 IPアドレス(2023年5月から6月を確認) 1.13.82[.]101 5.188.33[.]188 5.188.33[.]254 5.188.34[.]164 5.188.34[.]173 38.54.16[.]131 38.54.16[.]179 38.60.199[.]87 38.60.199[.]208 45.76.186[.]26 45.77.153[.]197 61.238.103[.]165 64.227.132[.]226 92.38.169[.]222 92.38.176[.]128 92.38.178[.]40 92.38.178[.]60 92.223.90[.]133 95.85.91[.]50 103.140.239[.]41 103.157.142[.]95 108.61.158[.]179 139.180.193[.]182 140.82.7[.]72 141.164.63[.]244 154.212.129[.]132 156.236.114[.]202 TLS 証明書 (SHA256 フィンガープリント): f8cd64625f8964239dad1b2ce7372d7a293196455db7c6b5467f7770fd664a61 294fb8f21034475198c3320d01513cc9917629c6fd090af76ea0ff8911e0caa3 9c8e5f6e5e843767f0969770478e3ad449f8a412dad246a17ea69694233884b9 29ED44228ED4A9883194F7E910B2AAC8E433BA3EDD89596353995BA9B9107093 b02aed9a615b6dff2d48b1dd5d15d898d537033b2f6a5e9737d27b0e0817b30e コバルトストライクローダー 5CBA27D29C89CAF0C8A8D28B42A8F977F86C92C803D1E2C7386D60C0D8641285 48e81b1c5cc0005cc58b99cefe1b6087c841e952bb06db5a5a6441e92e40bed6 25DA610BE6ACECFD71BBE3A4E88C09F31AD07BDD252EB30FEEF9DEBD9667C51 233bb85dbeba69231533408501697695a66b7790e751925231d64bddf80bbf91 aeceaa7a806468766923a00e8c4eb48349f10d069464b53674eeb150e0a59123 ブルートラテルローダー 6e3c3045bb9d0db4817ad0441ee3c95b8fe3e087388d1ceefb9ebbd2608aef16 6F31A4656AFB8D9245B5B2F5A634DDFBDB9DB3CA565D2C52AEE68554EDE068D1 C00991CFEAFC055447D7553A14BE2303E105B6A97AB35ECF820B9DBD42826F9D Winnti 5861584bb7fa46373c1b1f83b1e066a3d82e9c10ce87539ee1633ef0f567e743 69ff2f88c1f9007b80d591e9655cc61eaa4709ccd8b3aa6ec15e3aa46b9098bd 2F1321C6CF0BC3CF955E86692BFC4BA836F5580C8B1469CE35AA250C97F0076E f1dcf623a8f8f4b26fe54fb17c8597d6cc3f7066789daf47a5f1179bd7f7001a スパイダー 7A61708F391A667C8bb91FCFD7392A328986059563D972960F8237A69E375D50 5d3a6f5bd0a72ee653c6bdad68275df730b836d6f9325ee57ec7d32997d5dcef 1ded9878f8680e1d91354cbb5ad8a6960efd6ddca2da157eb4c1ef0f0430fd5f E053CA5888FB0D5099EFED76E68A1AF0020AAAA34CA610E7A1AC0AE9FFE36F6E 24D4089F74672BC00C897A74664287fe14D63A9B78A8FE2BDBBF9B870B40D85C ファニースイッチ 7056E9B69CC2fbc79BA7A492906BCC84DAC6EA95383DFF3844DFDE5278D9C7A EDE0C1F0D6C3D982F63ABBBDD5F10648948A44E5FA0D948A89244A06ABAF2ECFE 9eb0124d822d6b0fab6572b2a4445546e8029ad6bd490725015d49755b5845a4

付録B — MITRE ATT&CK手法

戦術：手法	ATT&CKコード	オブザーバブル
偵察： アクティブスキャン:脆弱性スキャン	T1595.002	RedHotelは、Acunetixなどの脆弱性スキャンツールを使用して、外部向けアプライアンスの脆弱性をスキャンしています
リソース開発: インフラストラクチャの取得:ドメイン	T1583.001	RedHotelは、主にNamecheapを介してドメインを購入しました。
リソース開発: インフラストラクチャの取得:仮想プライベートサーバー	T1583.003	RedHotelは、プロバイダーのChoopa(Vultr)、G-Core、およびKaopu Cloud HK Limitedを優先して、アクター制御のVPSをプロビジョニングしました。
リソース開発: 侵害インフラストラクチャ:サーバー	T1584.004	RedHotelは、侵害されたGlassFishサーバーをCobalt Strike C2として使用し、ターゲットネットワークをスキャンしています。
初期アクセス: 公開アプリケーションの悪用	T1190	RedHotelは、Zimbra Collaboration Suite(CVE-2022-24682、CVE-2022-27924、CVE-2022-27925とCVE-2022-37042、CVE-2022-30333と連鎖)、Microsoft Exchange(ProxyShell)、Apache Log4Jの Log4Shell の脆弱性など、公開アプリケーションを悪用して初期アクセスを行っています。
初期アクセス: スピアフィッシング:スピアフィッシングの添付ファイル	T1566.001	RedHotelは、リモートでホストされているスクリプト(HTA、VBScript)をフェッチするショートカット(LNK)ファイルを含むアーカイブスピアフィッシング添付ファイルを使用しています。 これらのスクリプトは、DLLの検索順序ハイジャックの感染チェーンをトリガーし、ユーザーにおとり文書を表示するために使用されます。
固執： サーバーソフトウェアコンポーネント: Web シェル	T1505.003	RedHotelは、被害者の環境内でWebシェルを使用し、侵害されたGlassFishサーバーと対話しています
永続性:: スケジュールされたタスク/ジョブ: スケジュールされたタスク	T1053.005	RedHotelは、グループのSpyderバックドアの永続化にスケジュールされたタスクを使用しています。 C:\Windows\System32\schtasks.exe /RUN /TN PrintWorkflow_10e3b
固執： ブートまたはログオンの自動開始の実行: レジストリ実行キー/スタートアップ フォルダー	T1547.001	ScatterBee ShadowPadローダーは、Runレジストリキーを介して保持され、暗号化されたShadowPadペイロードをレジストリに保存します。
防御回避: 難読化されたファイルまたは情報	T1027	RedHotelは、ScatterBeeツールを使用してShadowPadペイロードを難読化しました。 また、このグループは、暗号化またはエンコードされたペイロードを bin.configという名前のファイルに繰り返し保存しています。
防御回避: ファイルまたは情報の難読化/デコード	T1140
防御回避: 信頼のコントロールを覆す:コード署名	T1553.002	RedHotelは、盗まれたコード署名証明書(参照されているWANIN International証明書など)を使用して悪意のあるバイナリに署名しています。
防御回避:ハイジャック実行フロー:DLL検索順序ハイジャック	T1574.001	RedHotelは、 vfhost.exeを含む複数の正規の実行可能ファイルをDLL検索順序のハイジャックに悪用しました。 mcods.exe, と BDReinit.exe。
防御回避:マスカレード:正当な名前または場所を照合します	T1036.005	RedHotelは、DLL検索順序ハイジャックと並行して正当なファイル名を使用して、悪意のあるDLLをロードしています。
コマンド&コントロール: プロキシ:外部プロキシ	T1090.002	RedHotelはVPS C2を使用して、攻撃者が制御するサーバーにトラフィックをアップストリームでプロキシしています。
コマンド&コントロール: アプリケーション層プロトコル:Webプロトコル	T1071.001	このレポートで参照されているRedHotelBruteRatelおよびCobaltStrikeのサンプルは、HTTPSを介して通信します。
流出: C2チャネルを介した流出	T1041	RedHotelは、マルウェアのC2チャネルを介してデータを盗み出しました。