中国国家支援のRedJuliettがネットワーク境界の悪用により台湾のサイバースパイ活動を強化

2023年11月から2024年4月にかけて、Insikt Groupは、中国の国家支援グループである可能性が高いRedJuliettが、主に台湾の政府、学術、技術、外交組織を標的としたサイバースパイ活動を行っていることを確認しました。 RedJuliettは、ファイアウォール、仮想プライベートネットワーク(VPN)、ロードバランサーなどのネットワークエッジデバイスの既知の脆弱性を悪用して、初期アクセスを行いました。 このグループは、中国の福州で活動している可能性が高く、台湾を執拗に標的にしていることと一致しています。 レッドジュリエットの活動は、台湾の経済・外交関係に関する北京 の情報収集 と重要な技術開発を支援することを目的としている可能性が高い。

中国国営のRedJuliettが台湾政府、学術、テクノロジーセクターに対するサイバースパイ活動を強化

RedJuliettが台湾の企業を標的にすることに重点を置いていることは、グループの過去の活動と一致しています。 Insikt Groupは、RedJuliettが香港、マレーシア、ラオス、韓国、米国、ジブチ、ケニア、ルワンダの組織を侵害するために事業を拡大していることも確認しています。

RedJuliettは、インターネットに接続されたデバイスの脆弱性を標的にすることに加えて、WebおよびSQLアプリケーションに対して構造化照会言語(SQL)インジェクションとディレクトリトラバーサルエクスプロイトも使用しました。 組織は、これらの脅威に対抗するために、エクスプロイト後の永続化、検出、およびラテラルムーブメントアクティビティの検出に重点を置いた多層防御戦略で定期的なパッチ適用を補完する必要があります。 また、組織はインターネットに接続されたデバイスを定期的に監査し、可能な限り攻撃対象領域を減らす必要があります。 RedJuliettは、Flax TyphoonとEthereal Pandaという別名で公の報道と密接に重複しています。

主な調査結果

• 被害者団体: RedJuliettは、台湾、ラオス、ケニア、ルワンダの政府機関を含む24の組織を侵害しました。 また、台湾の70以上の学術機関、政府、シンクタンク、技術組織、および台湾で活動する複数の事実上の大使館に対して、ネットワーク偵察や悪用の試みも行った。
• エクスプロイト手法: RedJuliett は、被害者のネットワークに SoftEther VPN ブリッジまたはクライアントを作成しました。 さらに、このグループは、Acunetix Web Application Security Scannersを使用して偵察とエクスプロイト活動の試みを行いました。 RedJuliettは、WebおよびSQLアプリケーションに対してSQLインジェクションとディレクトリトラバーサルのエクスプロイトも試みました。 エクスプロイト後、このグループはオープンソースのWebシェルを使用し、Linuxオペレーティングシステムの特権昇格の脆弱性を悪用しました。
• インフラ： RedJuliett は、SoftEther VPN を使用して運用インフラストラクチャを管理し、脅威アクターが制御するリースサーバーと台湾の大学に属する侵害されたインフラストラクチャの両方を活用しています。
• 台湾への影響: レッドジュリエットの活動は、台湾の経済政策、貿易、外交関係に関する情報を収集するという北京の目的と一致しています。 また、このグループは複数の重要なテクノロジー企業を標的にしており、中国の国家支援を受けた脅威アクターにとってこのセクターの戦略的重要性を強調しています。

組織への推奨事項

RedJuliettの標的となる可能性のある組織は、以下の対策を講じる必要があります。

1. ネットワークセグメンテーション: 非武装地帯(DMZ)でインターネットに接続されたサービスを分離することで、ネットワークのセグメンテーションを実践します。
2. セキュリティ監視: すべての外部向けサービスとデバイスのセキュリティ監視および検出機能を確保します。 Webシェル、バックドア、リバースシェルの使用、内部ネットワーク内での横方向の移動など、後続のアクティビティを監視します。
3. パブリックガイダンスを確認します。 中国の国家支援団体が使用する一般的なTTPの緩和に関する公的ガイダンスと、中国のAPT活動をより広く緩和するための傾向と推奨事項に関するInsikt Groupの レポート を確認してください。
4. リスクベースのパッチ適用: 脆弱性にパッチを適用するためのリスクベースのアプローチを確保し、リスクの高い脆弱性と、 Recorded Future Vulnerability Intelligenceによって特定された悪用されている脆弱性を優先します。
5. RCE脆弱性の優先順位付け: 一般的なVPN、メール サーバー、ファイアウォール、ロード バランシング アプライアンス、特にF5 BIG-IP、Fortinet FortiGate、ZyXEL ZyWALLデバイスのリモート コード実行(RCE)の脆弱性への対処に重点を置いています。
6. 悪意のあるトラフィックの分析: 悪意のあるトラフィック分析(MTA)を監視して、既知のRedJuliettコマンドアンドコントロール(C2)IPアドレスと通信するインフラストラクチャをプロアクティブに検出して警告します。
7. サプライチェーンの監視: Recorded Future Third-Party Intelligenceを使用して 、リアルタイムの出力を監視し、主要なベンダーやパートナーが関与する侵入の疑いのあるアクティビティを特定します。
8. 脅威インテリジェンス拡張機能:Recorded Future Threat Intelligence Browser Extensionをインストールすると、Webベースのリソースから脅威インテリジェンスに即座にアクセスでき、セキュリティ情報イベント管理(SIEM)内でのアラート処理を高速化し、パッチ適用の脆弱性に優先順位を付けることができます。

Insikt Groupは、RedJuliettやその他の中国の国家支援を受けた脅威アクターが、大学、政府機関、シンクタンク、テクノロジー企業を中心に、情報収集のために台湾を標的にし続けると予想しています。 中国の国家支援グループは、公開デバイスの偵察と悪用を継続することが予想されており、この戦術は、幅広いグローバルターゲットへの初期アクセスを獲得するために活動を拡大するのに効果的であることが証明されています。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

付録A — 侵害を示す指標

2024年5月21日現在稼働中のRedJuliettのサーバー： 38.147.190[.]192 (since 2024-04-07) 61.238.103[.]155 (since 2024-02-23) 122.10.89[.]230 (since 2024-01-24) 137.220.36[.]87 (since 2024-05-09) 140.120.98[.]115 (since 2023-11-14) 154.197.98[.]3 (since 2023-11-14) 154.197.99[.]202 (since 2023-12-16) 176.119.150[.]92 (since 2024-04-01) Known RedJuliett SoftEther TLS Certificates (SHA-1 Fingerprint) 7992c0a816246b287d991c4ecf68f2d32e4bca18 5437d0195c31bf7cedc9d90b8cb0074272bc55df cc1f0cdc131dfafd43f60ff0e6a6089cd03e92f1 2c95b971aa47dc4d94a3c52db74a3de11d9ba658 0cc0ba859981e0c8142a4877f3af99d98dc0b707 9f01fc7cad8cdd8d934e2d2f033d7199a5e96e4a Domains: cktime.ooguy[.]com www.sofeter[.]ml www.dns361[.]tk

付録B — MITRE ATT&CK手法

戦術：手法	ATT&CKコード
Resource Development: Acquire Infrastructure: Virtual Private Server	T1583.003
Resource Development: Compromise Infrastructure: Server	T1584
Reconnaissance: Active Scanning: Vulnerability Scanning	T1595.002
Initial Access: Exploit Public-Facing Application	T1190
Persistence: External Remote Services	T1133
Persistence: Server Software Component: Web Shell	T1505.003
Privilege Escalation: Exploitation for Privilege Escalation	T1068