중국 국영 그룹 TA413, 티베트 목표 달성을 위해 새로운 기능 도입

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 내용입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

이 보고서는 중국 국가가 후원하는 것으로 추정되는 위협 활동 그룹 TA413이 수행한 여러 캠페인에 대해 자세히 설명합니다. 이 활동은 대규모 자동 네트워크 트래픽 분석과 전문가 분석의 조합을 통해 식별되었습니다. 이 보고서는 중국의 사이버 위협 활동과 관련된 전략 및 작전 정보 요구 사항이 있는 개인과 조직, 티베트의 이익과 관련된 인도주의 단체 및 기타 단체가 가장 관심을 가질 것입니다. 조기에 정보를 공유하고 협력해준 Sophos의 동료들에게 감사의 마음을 전합니다.

Executive Summary

Recorded Future's analysts continue to observe targeting of ethnic and religious minority communities by Chinese state-sponsored groups for surveillance and intelligence-gathering purposes. Previously, we covered activity of this nature that we attributed to RedAlpha. We have since identified an additional group that has been particularly relentless in its targeting of the Tibetan community, commonly referred to in open source as TA413. Over the first half of 2022, we have observed TA413 exploit a now-patched zero-day vulnerability targeting the Sophos Firewall product (CVE-2022-1040), weaponize the "Follina" (CVE-2022-30190) vulnerability shortly after discovery and publication, and employ a newly observed custom backdoor we track as LOWZERO in campaigns targeting Tibetan entities. This willingness to rapidly incorporate new techniques and methods of initial access contrasts with the group’s continued use of well known and reported capabilities, such as the Royal Road RTF weaponizer, and often lax infrastructure procurement tendencies.

주요 판단

• TA413 likely conducts cyber espionage on behalf of the Chinese state. This assessment is based on the group’s persistent targeting of the Tibetan community for intelligence-gathering purposes, use of custom capabilities shared across other known Chinese state-sponsored groups, and other technical evidence supporting this attribution.
• TA413 is likely a consumer of a shared capability development pipeline serving multiple Chinese state-sponsored groups, exemplified by the group’s continued use of the Royal Road RTF builder, a shared zero-day exploit in Sophos Firewall observed in use by multiple China-linked groups, and historical access to other shared malware families such as the TClient backdoor.
• In total, we observed at least 3 Chinese state-sponsored groups targeting Sophos Firewall zero-day vulnerability CVE-2022-1040. More widely, this activity is further evidence of both the continued increase in zero-day use by Chinese state-sponsored actors and the ongoing sharing of custom capabilities — including exploits — across groups linked to China’s intelligence agencies.
• TA413은 잘 알려진 오픈 소스 툴을 사용하지 않고 새로운 커스텀 백도어인 LOWZERO를 배포합니다.

배경

TA413의 활동이 처음 공개적으로 보고된 것은 2020년 9월, 이 단체가 티베트 커뮤니티를 지속적으로 표적으로 삼고 코로나19 팬데믹 초기 몇 달 동안 여러 유럽 단체를 잠시 표적으로 삼은 것이 관찰되면서 Proofpoint에 의해 처음 보고되었습니다. 이 활동에서 TA413은 여러 중국 국가 후원 그룹에서 공유되는 로열 로드 RTF 웨포나이저를 사용하여 세펄처로 추적된 맞춤형 멀웨어 제품군을 로드했습니다. 보다 역사적으로, TA413 인프라와 이메일 발신자 도메인은 티베트 단체를 대상으로 하는 공개적으로 보고된 ExileRAT 활동과 LuckyCat 안드로이드 멀웨어의 사용과도 연결되어 있습니다.

In February 2021, further TA413 activity was reported that featured the use of a customized malicious Mozilla Firefox browser extension tracked as FriarFox. FriarFox allowed access and control of targeted users’ Gmail accounts and contacted command-and-control infrastructure associated with the Javascript reconnaissance framework Scanbox. This activity and other related TA413 campaigns around this time also targeted organizations and individuals associated with the Tibetan community and featured continued use of Sepulcher and Royal Road.

Surprisingly, TA413 actors have regularly reused phishing email sender addresses for up to several years (such as tseringkanyaq@yahoo[.]com and mediabureauin@gmail[.]com), allowing for the connection of disparate campaign activity to the group. We have also observed historical correlations between TA413 and publicly reported Tropic Trooper (Keyboy, Pirate Panda) activity, suggesting a degree of overlap between these clusters. For instance, a December 2018 campaign that we observed targeting the Tibetan community used the sender email address mediabureauin@gmail[.]com historically associated with TA413 activity, and also shared C2 infrastructure overlaps with the peopleoffreeworld[.]tk domain noted in the Cisco Talos LuckyCat campaign. The infection chain ultimately loaded the custom TClient backdoor seen in historical Tropic Trooper activity reported by Citizen Lab, Trend Micro, and PWC. Both TA413- and Tropic Trooper-attributed activity also used the URI string /qqqzqa. The use of TClient was also recently sighted by Check Point researchers bundled with a Chinese language greyware, “SMS Bomber”.

There was also observable Infrastructure overlap between Tropic Trooper activity and TA413 campaigns. For example, the domain tibetnews[.]today referenced in Citizen Lab and Trend Micro reporting was hosted on Forewin Telecom IP Address 118.99.13[.]68 until early 2019, which later hosted multiple Tibet-themed domains matching unique TA413 infrastructure tactics, techniques, and procedures (TTPs). Importantly, the Citizen Lab report discusses some ambiguity around public reporting on the Tropic Trooper cluster that has conflated campaign and group names. Furthermore, based on wider trends in Chinese cyber-espionage activity, it is also highly plausible that these groups have shared a capability and/or infrastructure pipeline, and that TA413 is a subset of wider Tropic Trooper activity.

위협/기술 분석

Over the past several years, we have observed TA413 activity relentlessly targeting organizations and individuals associated with the Tibetan community. While the group has occasionally expanded to a wider target set, targeting this community has been a constant and is almost certainly indicative of one of the group’s primary intelligence assignments. TA413 has also displayed an unusual mixture of consistency in using well publicized toolsets and infrastructure TTPs while also proving adaptable and agile in adopting zero-day or recently publicized vulnerabilities into infection chains. In the section below, we highlight some notable TA413 campaign activity observed throughout 2022 to date.

최근 TA413 캠페인 활동 분석

소포스 방화벽 제로데이 익스플로잇

On March 25, 2022, Sophos published an advisory regarding a patched authentication bypass vulnerability allowing remote code execution (RCE) in the User Portal and Webadmin of Sophos Firewall, which is tracked as CVE-2022-1040. According to the advisory, Sophos observed this vulnerability being exploited to gain initial access to a small number of targeted organizations primarily in the South Asia region. All affected organizations were informed directly by Sophos. Subsequently, Volexity and Sophos both published research regarding multiple likely Chinese state-sponsored threat activity groups exploiting CVE-2022-1040. In total, we identified at least 3 distinct Chinese state-sponsored threat activity groups with access to this exploit prior to public reporting, including TA413.

The targeting observed within TA413-attributed exploitation of CVE-2022-1040 aligned with the group’s typical activity. The group used the Choopa (Vultr) IP address 192.46.213[.]63 in post-exploitation activity, which hosted multiple known TA413 domains at the time. A second IP address used in post-exploitation, 134.122.129[.]102, hosted applestatic[.]com at the time of activity, which has historical hosting overlaps with the TA413 domain newsindian[.]xyz.

Table 1: Post-exploitation infrastructure linked to TA413 targeting of CVE-2022-1040 (Source: Recorded Future)

로얄로드 RTF 웨폰라이저 계속 사용

TA413 continues to use variants of the shared Royal Road RTF weaponizer tool in targeted phishing attempts. Royal Road is widely shared across Chinese state-sponsored groups and allows the creation of malicious RTF files intended to exploit vulnerabilities in Microsoft Equation Editor (CVE-2017-11882, CVE-2018-0798, CVE-2018-0802). In May 2022, we identified a targeted spearphishing attempt against a Tibetan organization containing a link to a Royal Road sample hosted on the Google Firebase service. The group used the sender domain tibet[.]bet, which we had previously linked to TA413 activity based on infrastructure characteristics specific to the group, while a Proofpoint security researcher also attributed this campaign to the group.

표 2: 로얄 로드를 사용하여 무기화된 TA413 MalDoc(출처: 레코디드 퓨처)

The RTF drops a file named dcnx18pwh.wmf which is encoded using the XOR key B2 A6 6D FF associated with a known Royal Road variant. The decoded payload (028e07fa88736f405d24f0d465bc789c3bcbbc9278effb3b1b73653847e86cf8) ultimately loads a custom backdoor which we track as LOWZERO and contacts a hardcoded C2 IP address 45.77.19[.]75 over TCP Port 110. Further analysis of LOWZERO is included in the section Malware Analysis: TA413’s Custom LOWZERO Backdoor.

그림 1: TA413이 사용하는 티베트어 로열로드 루어(출처: Recorded Future)

Exploitation of MSDT Vulnerability CVE-2022-30190 (Follina)

2022년 5월 30일, 티베트 망명 정부와 관련된 단체를 대상으로 한 스피어피싱 시도를 확인했습니다. 이 활동에서 공격자들은 티베트 중앙정부를 사칭하여 티베트 커뮤니티 내 여성 사진작가들을 지원하기 위한 사진 보조금이라는 주제를 사용했습니다. 피싱 이메일은 다시 발신자 도메인 tibet[.]bet을 사용했습니다. 피싱 이메일은 구글 파이어베이스 서비스와 관련된 하위 도메인인 티벳 정부 웹[.]앱에 호스팅된 파일로 연결됩니다, Proofpoint의 후속 오픈소스 보고에서도 언급된 바와 같이.

피싱 이메일은 두 차례에 걸쳐 전송되었는데, 첫 번째는 Microsoft Word .docx 파일로 연결되었습니다. Follina 취약점을 사용하려는 구글 파이어베이스 서비스에서 호스팅되는 첨부 파일과 악성 Microsoft Word 첨부 파일과 미끼 .png가 모두 포함된 .RAR 아카이브 파일에 연결된 두 번째 첨부 파일을 발견했습니다. 이미지 파일입니다.

표 3: 악성 TA413 .docx Follina 취약점을 악용하는 파일 (출처: Recorded Future)

그림 2: 구글 파이어베이스 도메인에서 호스팅되는 RAR 파일의 내용: 미끼 PNG 파일(왼쪽)과 악성 .docx의 내용 파일(오른쪽) (출처: 레코딩된 미래)

Word 문서가 열리면 원격 웹 서버( http://65.20.75[.]158/poc.html)에서 HTML 파일 검색을 시도합니다. 다운로드된 HTML 파일은 ms-msdt MSProtocol URI 체계를 사용하여 Follina 익스플로잇을 트리거하고, 궁극적으로 Base64로 인코딩된 PowerShell 명령을 실행하여 http://65.20.75[.]158/0524x86110.exe에서 후속 페이로드를 다운로드합니다. 분석 당시 65.20.75[.]158은 최근 등록된 티베트 테마 도메인인 t1bet[.]net과 airjaldi[.]online도 호스팅했습니다, 인도의 ISP AirJaldi를 스푸핑합니다. 특히 에어잘디는 여러 티베트 단체에 인터넷 접속을 제공하는 다람살라 네트워크를 운영하고 있습니다.

그림 3: TA413에서 Base64로 인코딩된 PowerShell 명령을 실행하고 후속 페이로드를 다운로드하는 데 사용되는 ms-msdt 명령(출처: Recorded Future)

그림 4: 디코딩된 PowerShell 명령(출처: Recorded Future)

다운로드한 파일 0524x86110.exe는 UPX 압축되어 있고 SHA256 파일 해시 5217c2a1802b0b0fe5592f9437cdfd21f87da1b6ebdc917679ed084e40096bfd를 가집니다. 압축을 푼 UPX 파일은 또한 LOWZERO를 로드하고 포트 TCP 110을 통해 C2에 45.77.45[.]222의 Choopa C2 IP 주소를 사용합니다. 특히 45.77.45[.]222 이 활동 당시 tibetyouthcongress[.]com 도메인을 호스팅했는데, 이 도메인은 이전에 분석 결과 TA413의 소행으로 밝혀졌습니다.

TA413에서 사용 중인 기타 툴링

From further analysis of TA413 activity, we also identified evidence that the group is likely using the open-source proxy tool Stowaway. This is based on the identification of an ELF sample (SHA256: 86f45f0d6778fda90a56ea8986a9124d768715af425784bbd1c371feeb2bfe68) configured to communicate with the IP address 134.122.129[.]38, which was uploaded to public malware repositories in close proximity to the time this IP hosted the TA413 domain freetibet[.]in. Notably, Stowaway has also been observed in use by other likely Chinese state-sponsored groups, per recent reporting by Kaspersky.

Additionally, through historical scanning data we identified an open directory present on a TA413-controlled server 172.105.35[.]111 in June 2022. While this was no longer accessible at the time of discovery, one of the files present was named fscan_amd64. This is likely indicative of the group’s use of the open-source internal network scanning tool fscan, which uses a file of the same name. This tool was also observed in use by another suspected Chinese state-sponsored actor TAG-22 (Bronze University, Earth Lusca, Fishmonger, Red Dev 10) by Trend Micro researchers.

피해자학

In all of these recent campaigns, we have observed TA413 persistently targeting organizations associated with the Tibetan community, including entities associated with the Tibetan government-in-exile. While this appears to make up a large proportion of the group’s activity, open-source reporting also identified short-lived TA413 activity targeting European diplomatic and legislative bodies, non-profit policy research organizations, and global organizations dealing with economic affairs during the early stages of COVID-19 in 2020. Using Recorded Future Network Traffic Analysis (NTA), we also identified infrastructure associated with multiple government organizations in Nepal and the corporate network of an Indian Internet Service Provider (ISP) regularly communicating with TA413 C2 infrastructure during the first half of 2022.

인프라 분석

TA413 continues to use a consistent set of infrastructure TTPs aligning with historical public reporting when procuring and weaponizing operational infrastructure. The group has predominantly registered domains through GoDaddy and used a combination of Forewin Telecom, Choopa (Vultr), and Linode for hosting. Notably, a large majority of identified TA413 domains also used the registrant organization name “asfasf”, likely due to consistent keyboard walking of the left hand keyboard home keys. These TTPs also align with publicly attributed TA413 domains such as vaccine-icmr[.]net, as featured in historical Proofpoint reporting.

TA413은 또한 비정부 조직(티베트 국민회의, 티베트 청년회의 등) 및 미디어 조직( 티베트 타임즈 등) 등 티베트와 관련된 조직을 스푸핑하는 도메인을 주로 사용하고 있습니다. 이 그룹은 또한 원격 근무 고용 사이트인 FlexJobs와 인도 뉴스 회사인 Rediff News 등 더 광범위한 조직을 사칭하는 도메인을 등록했습니다.

표 4: 특정 조직을 스푸핑하는 TA413 도메인(출처: Recorded Future)

Malware Analysis: TA413’s Custom LOWZERO Backdoor

로우제로는 감염된 머신을 프로파일링하고 데이터를 명령 및 제어 서버로 전송한 후 실행할 추가 모듈을 수신하는 백도어입니다. 샌드박스 환경에서 실행하는 동안 추가 모듈이 관찰되지 않았기 때문에 모듈은 액터가 관심 있는 경우에만 전달되고 실행되는 것으로 판단됩니다. 이 모듈은 로우제로에 있는 기본 백도어 기능을 확장한 것으로 보입니다. 로우제로는 네트워크 리스너를 통해 수신한 통신을 이전에 수신한 데이터를 기반으로 정의된 다른 연결을 통해 외부로 프록시할 수도 있습니다.

다음 분석은 SHA256 해시 5217c2a1802b0b0fe5592f9437cdfd21f87da1b6ebdc917679ed084e40096bfd의 멀웨어 샘플에 대해 수행되었습니다.

실행 레이어

로우제로 실행 체인에는 여러 레이어/단계가 포함되어 있습니다:

• Stage 1 — Decompresses an embedded DLL file (stage 2) before XOR decrypting it and executing it
• Stage 2 — Launches rundll32.exe in a suspended state and injects the Stage 3 DLL into it; then it calls the DllEntryPoint and the exported function F exposed by the Stage 3 DLL
• Stage 3 — Exported function F contains the backdoor functionality

그림 5: 로우제로 로딩 프로세스(출처: Recorded Future)

구성 분석

LOWZERO’s configuration information is passed in as a buffer to Stage 3’s exported function F. The configuration data is both encrypted and compressed. The decompression algorithm is applied after the not operator is applied to decrypt the buffer. The decompression algorithm is likely LZF (Lempel-Ziv-Free). This same decompression algorithm is also used to decompress the Stage 2 dll and is used as part of the encryption / decryption scheme for C2 communication.

그림 6: 암호화 및 압축된 구성 데이터(출처: Recorded Future)

그림 7은 복호화 및 압축 해제 후 구성 정보 버퍼의 내용을 보여줍니다.

그림 7: 복호화 및 압축 해제된 구성 데이터(출처: Recorded Future)

캠페인 ID는 뮤텍스로 사용되며 구성 데이터에서 추출할 수 있습니다. 이 샘플에서 발견된 캠페인 ID는 8C9BB583-7C26-4990-AA73-E66F594A5AD5입니다.

이 단계에서는 C2 정보가 아직 난독화되어 있습니다. 문자열의 난독화를 부분적으로 해제하기 위해 각 바이트에 이진 not 연산자를 적용합니다. 그런 다음 사용자 지정 알파벳 Vhw4W3uB5OcY8qrp21NxbHs7ynSJFoPTEdAUtv9QagIDl6MR0KZkmjfeiCzGXL+/을 사용하여 문자열을 base64로 디코딩하여 최종 결과를 얻습니다. 최종 결과는 표 5와 같이 추출 및 구문 분석됩니다.

표 5: 추출된 C2 값(출처: Recorded Future)

C2 커뮤니케이션

이 LOWZERO 샘플은 비표준 TLS 포트(TCP 110)를 통한 TLS 버전 1.1 연결을 모방합니다. 그러나 TLS 연결은 사용자 지정이며 프로토콜 표준을 준수하지 않으며 겉으로 보기에 TLS처럼 보이도록 만들어졌을 가능성이 높습니다. 이렇게 하면 통신이 다른 TLS 트래픽과 혼합되는 동시에 행위자가 인증서 조달이나 관리에 대해 걱정하지 않아도 됩니다.

통신은 표준 TLS 핸드셰이크 구성 요소인 클라이언트 안녕하세요 및 서버 안녕하세요로 시작됩니다. 서버 키 교환 중에 C2는 b113bc93dcd87d350850b7fd643c2c5aee678c3dcb717d1296b0cf57c749f0ab의 EC(타원 곡선) Diffie-Hellman 공개키를 전달합니다. 저희가 확인한 두 C2는 모두 동일한 공개 키를 사용한다는 점에 유의하세요.

TLS 헬로 패킷이 전송된 후, LOWZERO는 백도어가 런타임에 무작위로 생성하는 C2와 EC Diffie-Hellman 공개 키를 교환하므로 각 C2 세션은 다른 공개 키를 갖게 됩니다. 그림 8은 로우제로 백도어에서 C2로의 TLS 버전 1.1 핸드셰이크를 보여줍니다.

그림 8: LOWZERO TLS 버전 1.1 핸드셰이크(출처: Recorded Future)

Up until this point, the C2 connection has seemingly followed the standard TLS 1.1 handshake. In a standard implementation of TLS, when data is exchanged between a client / server, the process is to use asymmetric encryption to securely exchange the symmetric key and then switch to the symmetric encryption as it's faster. However, this is where LOWZERO breaks protocol and doesn’t use public key encryption to securely transfer the symmetric key. Instead, the Random Bytes from the Client Hello packet and the Random Bytes from the Server Hello packet are XORed together to derive a key for the AES encryption algorithm that is used to decrypt / encrypt the C2 communication.

그림 9: 로우제로 AES 암호화/복호화 키 생성(출처: Recorded Future)

로우제로 초기화 패킷

TLS 핸드셰이크와 AES 키 도출 후, LOWZERO는 다음과 같은 기본 시스템 및 사용자 정보를 C2로 전송합니다:

1. 사용자 이름
2. 캠페인 ID
3. 프로세스 이름 및 프로세스 ID
4. IP 주소
5. 호스트 이름

그런 다음 데이터는 아래의 LOWZERO 사용자 지정 체계를 사용하여 인코딩 및 암호화되며 그림 10에도 나와 있습니다.

1. LZF 압축
2. 0x2b로 XOR
3. 사용자 지정 알파벳으로 Base64 인코딩
4. 무작위로 생성된 키로 AES 암호화(C2 전송 시 제공)
5. 클라이언트/서버 랜덤 바이트 키의 XOR에서 파생된 키로 AES 암호화

트래픽의 암호 해독은 위의 작업을 역순으로 수행하면 가능합니다.

그림 10: LOWZERO C2 암호화 체계(출처: Recorded Future)

그림 11은 C2와 주고받는 복호화된 AES 트래픽을 나타내는 C2 통신 구조를 보여줍니다. 응답의 핵심 부분은 명령(0x06)과 명령 데이터(0x0C)입니다.

그림 11: 로우제로 C2 통신 구조(출처: 레코디드 퓨처)

로우제로 명령

로우제로는 한 번에 1개 이상의 명령을 수신한 다음(명령 구조는 그림 11 참조) 각 명령을 한 번에 하나씩 실행할 수 있습니다. 오프셋 0x10005090에 있는 함수는 명령을 구문 분석하고 실행하기 전에 명령 섹션의 시작 부분에 ASCII 값 PK를 나타내는 바이트가 있는지 확인하는 헤더 검사를 처리합니다. 명령 선택 사항은 다음과 같습니다:

표 6: LOWZERO 명령(출처: Recorded Future)

C2에서 모듈을 복구할 수 없었으며, 그 결과 모듈이 LOWZERO에 어떤 기능을 추가하는지 확인할 수 없었습니다.

약한 C2 프로토콜

AES 키는 TLS 핸드셰이크 자체에서 파생되기 때문에 캡처된 통신을 복호화할 수 있었습니다. 이를 통해 전송된 명령을 검토하고 피해 머신에 전달된 모든 모듈을 추출할 수 있습니다. 자세한 내용은 부록 C에 나와 있습니다.

완화 조치

• Configure your intrusion detection systems (IDS), intrusion prevention systems (IPS), or any network defense mechanisms in place to alert on — and upon review, consider blocking connection attempts to and from — the external IP addresses and domains linked in Appendix A.
• 모든 외부 서비스 및 디바이스에 대한 보안 모니터링 및 탐지 기능을 갖추고 있는지 확인하세요. 웹셸, 백도어 또는 리버스 셸 배포와 같이 이러한 외부 대면 서비스를 악용한 후 발생할 수 있는 후속 활동을 모니터링합니다.
• 기록된 미래 취약점 인텔리전스 모듈을 통해 결정된 대로 고위험 취약점과 야생에서 악용되는 취약점의 우선순위를 지정하여 취약점 패치를 위한 위험 기반 접근 방식을 보장합니다.
• 기록된 미래 브랜드 인텔리전스 모듈을 통해 조직 및 공급업체를 스푸핑하는 타이포스쿼트 도메인과 같은 도메인 남용을 모니터링하세요.
• 부록 B에 강조 표시된 MITRE ATT&CK 기술에 대한 탐지 및 강화 적용 범위를 사용합니다.

전망

Our research identified persistent targeting of the Tibetan community in the first half of 2022 from the probable Chinese state-sponsored threat activity group TA413. The group continues to incorporate new capabilities while also relying on tried-and-tested TTPs. In particular, the stark contrast between some of the tooling employed by the group versus infrastructure management practices is likely indicative of separate teams involved in the development of malware and exploits versus those conducting operations. While mainly focused on Tibetan targeting, TA413 also has multiple historical infrastructure and malware ties to the group known as Tropic Trooper (Keyboy, Pirate Panda) that are indicative of some degree of operational overlap. More widely, TA413’s adoption of both zero-day and recently published vulnerabilities is indicative of wider trends with Chinese cyber-espionage groups whereby exploits regularly appear in use by multiple distinct Chinese activity groups prior to their widespread public availability.