中国のスパイグループTEMP.Periscopeは、2018年7月の選挙に先立ってカンボジアを標的とし、世界的な広範な活動を明らかにする

Decoy document associated with AIRBREAK downloader file TOP_NEWS_Japan_to_Support_the_Election.js news

序章

FireEye は、さまざまな TEMP.Periscope の活動を調査した結果、カンボジアの選挙制度に関連する複数のカンボジアの組織による積極的な侵害により、カンボジアの政治への広範な関心が明らかになりました。これには、選挙の監督を担当するカンボジア政府機関の妥協や、反対派の人物の標的化が含まれます。このキャンペーンは、2018 年 7 月 29 日の総選挙に向けて実施されます。 TEMP.Periscope は、米国の防衛産業基地やヨーロッパに拠点を置く化学会社など、他のより伝統的な標的に対するさまざまな活動に同じインフラストラクチャを使用していました。前回のブログ投稿では、このグループが米国のエンジニアリングおよび海事事業体を標的にしていることに焦点を当てました。

全体として、この活動は、このグループが大規模な侵入アーキテクチャとさまざまな悪意のあるツールを維持しており、多数の被害者セットを標的にしていることを示しており、これは典型的な中国ベースの APT の取り組みと一致しています。この活動により、中国政府がカンボジアの選挙と政府の運営を広く把握できるようになると期待しています。さらに、このグループは明らかに、さまざまなタイプの被害者に対して複数の大規模な侵入を同時に実行できます。

私たちの分析はまた、このグループの全体的な帰属を強化しました。以前にこのグループに帰属したツールセットを観察しました。観察されたターゲットは、過去のグループの取り組みと一致しており、既知の中国の APT の取り組みにも非常に類似しています。また、リモート アクセスと管理に使用された中国の海南に由来する IP アドレスを特定しました。コマンド アンド コントロール (C2) サーバー。

TEMP.ペリスコープの背景

少なくとも 2013 年から活動している TEMP.Periscope は、エンジニアリング会社、海運および輸送、製造、防衛、官公庁、研究大学など、複数の業種にわたる海事関連の標的に主に焦点を当ててきました (標的は図 1 にまとめられています)。このグループは、専門/コンサルティング サービス、ハイテク産業、ヘルスケア、メディア/出版も標的にしています。 TEMP.Periscope は、ターゲティングおよび戦術、技術、手順 (TTP) において、TEMP.Jumper と重複しています。TEMP.Jumper は、 ProofpointおよびF-Secureによる「NanHaiShu」に関する公開レポートとも大きく重複しています。

 

TEMP.Periscope アクティビティの概要

図 1: TEMP.Periscope の活動の概要

事件の背景

FireEye は、TEMP.Periscope によって制御されていると考えられる 3 つのオープン インデックス上のファイルを分析しました。これにより、グループの目的、運用戦術、および大量の技術的な帰属/検証に関する洞察が得られました。これらのファイルは「オープン インデックス化」されているため、公共のインターネット上で誰でもアクセスできます。これらのサーバーでの TEMP.Periscope の活動は、少なくとも 2017 年 4 月から現在まで続いており、最新の活動はカンボジアの政府と選挙に焦点を当てています。

  • 2 つのサーバー chemscalere[.]com と scsnewstoday[.]com は、典型的な C2 サーバーおよびホスティング サイトとして動作し、3 つ目の mlcdailynews[.]com はアクティブな SCANBOX サーバーとして機能します。 C2 サーバーには、ログとマルウェアの両方が含まれていました。
  • 3 台のサーバーからのログを分析すると、次のことが明らかになりました。
    • 潜在的な攻撃者は、中国の海南にある IP アドレスからログインします。この IP アドレスは、サーバーへのリモート アクセスと管理、および被害組織に展開されたマルウェアとの対話に使用されました。
    • 複数の地域にまたがる教育、航空、化学、防衛、政府、海事、および技術セクターの被害組織からのマルウェア コマンド アンド コントロール チェックイン。 FireEye は、特定できたすべての被害者に通知しました。
  • サーバーに存在するマルウェアには、新しいファミリ (DADBOD、EVILTECH) と以前に特定されたマルウェア ファミリ (AIRBREAK、EVILTECH、HOMEFRY、MURKYTOP、HTRAN、および SCANBOX) の両方が含まれていました。

カンボジアの選挙機関の妥協

サーバー上のコマンド アンド コントロール ログの分析により、主に 2018 年 7 月の選挙に関連する複数のカンボジアのエンティティの侵害が明らかになりました。さらに、FireEye が分析した別のスピア フィッシング メールは、TEMP.Periscope が同時にカンボジア国内の野党勢力を標的にしていることを示しています。

分析の結果、次のカンボジア政府組織および個人が TEMP.Periscope によって侵害されたことが示されました。

  • 国家選挙管理委員会、内務省、外務・国際協力省、カンボジア上院、経済財政省
  • カンボジア救国党を代表する国会議員
  • 現在の与党に批判的に書いた人権と民主主義を主張する複数のカンボジア人
  • 海外で働く2人のカンボジア人外交官
  • 複数のカンボジアのメディアエンティティ

TEMP.Periscope は、AIRBREAK マルウェアを含むスピア フィッシングを、カンボジア国民救済党 (CNRP) の広報担当副局長であり、(投獄されている) カンボジアの野党党首であるケム ソカの娘であるモノビシア ケムに送信しました (図 2)。おとり文書は、LICADHO (人権を促進するために 1992 年に設立されたカンボジアの非政府組織 [NGO]) から送信されたとされています。このサンプルは、C2 に scsnewstoday[.]com を利用しました。

 

人権擁護調査ルアー

図 2: 人権保護調査ルアー

おとり文書「Interview Questions.docx」(MD5: ba1e5b539c3ae21c756c48a8b5281b7e) は、同名の AIRBREAK ダウンローダに関連付けられています。質問は、野党カンボジア救国党、人権、選挙に言及しています (図 3)。

 

インタビューの質問おとり

図 3: インタビューの質問のおとり

民間企業に対する作戦にも使用されるインフラストラクチャ

前述の悪意のあるインフラストラクチャは、アジア、ヨーロッパ、北米の民間企業に対しても使用されました。これらの企業は、学術、航空、化学、海運、テクノロジーなど、幅広い業界に属しています。 2017 年の MURKYTOP のサンプルと、chemscalere[.]com にリンクされたファイルに含まれるデータは、米国の防衛産業基地 (DIB) 産業に関与する企業 (おそらく海事研究に関連する) が侵害されたことを示唆しています。これらの侵害の多くは、TEMP.Periscope の以前の海洋および防衛産業を標的とした活動と一致しています。しかし、アジアに拠点を置くヨーロッパの化学会社の侵害も明らかになり、このグループが世界中のビジネス、特にアジアと関係のある企業にとって脅威であることを示しました。

AIRBREAK ダウンローダーとドロッパーがルアー インジケーターを明らかにする

オープン インデックス サイトで見つかった AIRBREAK ダウンローダーのファイル名も、アジアの地政学に関連する利益を継続的に標的にしていることを示唆しています。さらに、AIRBREAK ダウンローダー サイトの分析により、TEMP.Periscope がカンボジアの政治に関心を持っていることを強調する関連サーバーが明らかになりました。

表 1 の AIRBREAK ダウンローダーは、特定された C2 の 1 つから AIRBREAK ペイロードをダウンロードしながら、意図した被害者を指定されたサイトにリダイレクトして、正当なおとりドキュメントを表示します。注目すべきは、正当なドキュメントのホスティング サイトが侵害されていないことです。追加の C2 ドメイン partyforumseasia[.]com は、カンボジア救援隊を参照する AIRBREAK ダウンローダーのコールバックとして特定されました。

リダイレクト サイト (悪意はない)

AIRBREAKダウンローダー

エアブレイク C2

en.freshnewsasia.com/index.php/en/8623-2018-04-26-10-12-46.html

TOP_NEWS_Japan_to_Support_the_Election.js

(3c51c89078139337c2c92e084bb0904c) [図4]

chemscalere[.]com

iric.gov.kh/LICADHO/Interview-Questions.pdf

[pdf]Interview-Questions.pdf.js

(e413b45a04bf5f812912772f4a14650f)

iric.gov.kh/LICADHO/Interview-Questions.pdf

[docx]Interview-Questions.docx.js

(cf027a4829c9364d40dcab3f14c1f6b7)

わからない

Interview_Questions.docx.js

(c8fdd2b2ddec970fa69272fdf5ee86cc)

scsnewstoday[.]com

atimes.com/article/philippines-draws-three-hard-new-lines-on-china/

フィリピン-draws-three-hard-new-lines-on-china .js

(5d6ad552f1d1b5cfe99ddb0e2bb51fd7)

mlcdailynews[.]com

facebook.com/CNR.Movement/videos/190313618267633/

CNR.Movement.mp4.js

(217d40ccd91160c152e5fce0143b16ef)

Partyforumseasia[.]com

表 1: AIRBREAK ダウンローダー

 

Decoy document associated with AIRBREAK downloader file TOP_NEWS_Japan_to_Support_the_Election.js

図 4: AIRBREAK ダウンローダー ファイル TOP_NEWS_Japan_to_Support_the_Election.js に関連付けられたおとり文書

SCANBOXの活動が今後の運用のヒントに

アクティブな SCANBOX サーバーである mlcdailynews[.]com は、現在のカンボジアのキャンペーンとより広範な作戦に関連する記事をホストしています。サーバー上で見つかった記事は、米国と東アジアの地政学、ロシア、および NATO の問題に関心を持つ人々を標的にしていることを示しています。被害者は、戦略的な Web サイト侵害を介して SCANBOX サーバーに誘導されるか、おとりの資料として提示された記事を含む標的型電子メール内の悪意のあるリンクのいずれかである可能性があります。記事は、オンラインですぐに入手できるオープンソースのレポートから作成されています。図 5 は SCANBOX のウェルカム ページで、表 2 はサーバーで見つかった記事のリストです。

 

SCANBOXウェルカムページ

図 5: SCANBOX ウェルカム ページ

コピーされた記事のトピック

記事のソース (妥協なし)

リーダーは自信に満ちているが緊張している

クメールタイムズ

マハティール_「中国と仲良くしたい」

首相は有権者に平和のためにCPPを支持するよう促します

CPP は王国の平和と発展を維持することを決意

ブン・チャイの妻が60歳で死去

ボイコットの発信者に対する取締り計画

王国にさらなる洪水がやってくる

ケム・ソカは再び保釈を拒否されました

首相は裏切り者を鎮圧するために首相として留まることを誓う

イラン_トランプを信用するな

新鮮なニュース

金・トランプ首脳会談_シンガポールの役割

トランプの北朝鮮首脳会談は平和宣言をもたらすかもしれない – しかし代償を払う

ロイター

米国は、ロシアの脅威を抑止するためにより多くの軍隊を準備するようNATOに圧力をかける

us-nato-russia_us-pushes-nato-to-ready-more-forces-to-deter-russian-threat

内務大臣サー・ケンは、汚い手口について警告します

プノンペンポスト

キャッシュレス決済の市場に参入する別のプレーヤー

ドナルド・トランプは自分自身を許す「絶対的な権利」を持っていると言いますが、彼は何も悪いことをしていません-ドナルド・トランプのアメリカ

ABCニュース

カンボジアで中国が出資する国道が開通

カンボジア・デイリー

シンガポールでの初の首脳会談での金とトランプ

アジアタイムズ

トランプ米大統領、韓国との軍事演習を一時停止へ

米国のニュース

Rainsy は King_ Hun Sen を中傷しました

ニュース速報

カンボジア – 野党 – リーダー – 拒否 – 保釈 – 再び – 反逆 – ケース

AP通信

表 2: サーバーにコピーされた SCANBOX 記事

TEMP.Periscope マルウェア スイート

3 台のサーバーに含まれるマルウェア インベントリを分析したところ、シグネチャ AIRBREAK、MURKYTOP、HOMEFRY を含む、TEMP.Periscope ペイロードの古典的なスイートが見つかりました。さらに、FireEye の分析では、EVILTECH と DADBOD という新しいツールが特定されました (表 3)。

マルウェア

関数

詳細

エビルテック

バックドア

  • EVILTECH は、任意の JavaScript のアップロード、ダウンロード、および実行をサポートする単純な RAT を実装する JavaScript サンプルです。
  • 感染プロセス中、システム上で EVILTECH が実行され、リダイレクトが発生し、追加のマルウェアがダウンロードされるか、攻撃者が制御する別のシステムに接続される可能性があります。

ダッドボード

資格情報の盗難

  • DADBOD は、ユーザーの Cookie を盗むために使用されるツールです。
  • このマルウェアの分析は現在も進行中です。

表 3: TEMP.Periscope マルウェア スイートに新たに追加されたもの

ログからのデータは中国への帰属を強化します

この最新のキャンペーンでのサーバーとその周辺データの分析は、TEMP.Periscope が中国起源である可能性が高いという以前の評価を補強します。コントロール パネルのアクセス ログからのデータは、オペレーターが中国に拠点を置き、中国語設定のコンピューターで操作していることを示しています。

サーバーのログから、被害マシン上のマルウェアとの通信に使用されるソフトウェアへのログインに使用された IP アドレスが明らかになりました。 IP アドレスの 1 つである 112.66.188.28 は、中国の海南にあります。他のアドレスは仮想プライベート サーバーに属していますが、アーティファクトは、すべてのケースでログインに使用されたコンピューターが中国語設定で構成されていることを示しています。

展望と影響

ここで明らかになった活動は、TEMP.Periscope の活動に関する新たな洞察を提供します。このアクターが海事問題に関心を持っていることは以前から認識していましたが、今回の妥協は、戦略的に重要な国の政治システムを標的にすることをさらに示唆しています。特に、カンボジアは、ASEAN などの国際フォーラムにおいて中国の南シナ海における立場を信頼できる支持者として務めており、重要なパートナーである。カンボジアは、エコノミストの民主主義指数によって権威主義的であると評価されていますが、マレーシアの与党の最近の驚きの混乱により、中国はカンボジアの7月29日の選挙を注意深く監視するようになるかもしれません.

選挙委員会が投票を促進する上で重要な役割を果たしていることを考えると、選挙管理委員会の標的化は特に重要です。組織が侵害された理由を特定するのに十分な情報はまだありません – 単に情報を収集したか、より複雑な操作の一部として.とにかく、この事件は、世界中の選挙プロセスに関する積極的な国家情報収集の最新の例です。

TEMP.Periscope は引き続き、幅広い政府機関、軍事機関、国際機関、民間企業を標的にすると予想されます。このグループが海事問題に焦点を当てているとしても、いくつかの事件は、東南アジアでビジネスを行っているヨーロッパの企業や沿岸国の内政を含む、その幅広い範囲を強調しています。 FireEye は、TEMP.Periscope が当面の間、この地域で活動する人々にとって有毒な脅威であり続けると予想しています。

参照: https://www.mandiant.com/resources/blog/chinese-espionage-group-targets-cambodia-ahead-of-elections

Comments

タイトルとURLをコピーしました