米国のエンジニアリングおよび海事産業を標的とする中国のサイバースパイグループ (TEMP.Periscope) の疑い

エンジニアリングと海事部門に焦点を当てた侵入

2018 年初頭以来、FireEye (サービスとしての FireEye (FaaS)、Mandiant Consulting、および iSIGHT Intelligence チームを含む) は、特に南シナ海の問題に関連するエンジニアリングおよび海事エンティティを標的とする継続的な侵入の波を追跡してきました。このキャンペーンは、TEMP.Periscope と呼ばれる、2013 年から追跡してきた中国のサイバー スパイ活動の疑いのあるグループに関連しています。このグループは、他のセキュリティ会社からも「 リヴァイアサン」として報告されています。

現在のキャンペーンは、2017 年夏以降に検出された活動の急激な拡大です。他の複数の中国のサイバー スパイ アクターと同様に、TEMP.Periscope は最近再出現し、修正されたツールキットを使用して活動を行っていることが観察されています。このグループの既知の標的は、海洋産業やエンジニアリングに重点を置いた組織に関与しており、米国の研究機関、学術機関、民間企業が含まれます。 FireEye 製品は、このキャンペーンで使用されたマルウェアを確実に検出します。

TEMP.ペリスコープの背景

少なくとも 2013 年から活動している TEMP.Periscope は、主に、エンジニアリング会社、海運および輸送、製造、防衛、政府機関、研究大学など、複数の業種にわたる海事関連の標的に焦点を当ててきました。ただし、このグループは、専門/コンサルティング サービス、ハイテク産業、ヘルスケア、メディア/出版も標的にしています。確認された被害者は主に米国で発見されましたが、ヨーロッパの組織と香港の少なくとも 1 つの組織も影響を受けています。 TEMP.Periscope は、ターゲティング、戦術、技術、手順 (TTP) において、TEMP.Jumper と重複しています。TEMP.Jumper は、「NanHaiShu」に関する公開報道とも大きく重複しています。

使用された TTP とマルウェア

最近の活動の急増で、TEMP.Periscope は、他の複数の疑わしい中国のグループと共有されている比較的大規模なマルウェア ライブラリを利用しています。これらのツールには次のものがあります。

• AIRBREAK: JavaScript ベースのバックドアで、「Orz」としても報告されています。このバックドアは、侵害された Web ページの隠し文字列や正規のサービスの攻撃者が制御するプロファイルからコマンドを取得します。
• BADFLICK: ファイル システムを変更し、リバース シェルを生成し、そのコマンド アンド コントロール (C2) 構成を変更できるバックドアです。
• 写真: DLL バックドアは「Derusbi」としても公に報告されており、ディレクトリ、ファイル、およびドライブのリストを取得できます。逆シェルの作成;スクリーン キャプチャの実行。ビデオとオーディオの記録;プロセスのリスト、終了、および作成。レジストリ キーと値の列挙、開始、および削除。キーストロークを記録し、保護されたストレージからユーザー名とパスワードを返します。ファイルの名前変更、削除、コピー、移動、読み取り、および書き込み。
• HOMEFRY: 以前に AIRBREAK および BADFLICK バックドアと組み合わせて使用された 64 ビット Windows パスワード ダンパー/クラッカー。一部の文字列は XOR x56 で難読化されています。マルウェアは、コマンド ラインで最大 2 つの引数を受け入れます。1 つは各ログイン セッションのクリアテキスト資格情報を表示するためのもので、もう 1 つは各ログイン セッションのクリアテキスト資格情報、NTLM ハッシュ、およびマルウェア バージョンを表示するためのものです。
• LUNCHMONEY: ファイルを Dropbox に盗み出すことができるアップローダ。
• MURKYTOP: コマンドライン偵察ツール。別のユーザーとしてファイルを実行したり、ファイルをローカルで移動および削除したり、リモート AT ジョブをスケジュールしたり、接続されたネットワークでホスト検出を実行したり、接続されたネットワーク内のホストで開いているポートをスキャンしたり、OS、ユーザーに関する情報を取得したりするために使用できます。 、グループ、およびリモート ホスト上の共有。
• China Chopper: HTTP POST コマンド内で Microsoft .NET コードを実行する単純なコード インジェクション Web シェル。これにより、シェルは、ファイルのアップロードとダウンロード、Web サーバー アカウントのアクセス許可を使用したアプリケーションの実行、ディレクトリの内容の一覧表示、Active Directory へのアクセス、データベースへのアクセス、および .NET ランタイムによって許可されたその他のアクションを実行できます。

以下は、TEMP.Periscope が過去の操作で活用したツールであり、現在の活動の波では確認されていませんが、再び使用される可能性があります。

• Beacon: Cobalt Strike ソフトウェア プラットフォームの一部として市販されているバックドアで、ネットワーク環境の侵入テストに一般的に使用されます。このマルウェアは、任意のコードの挿入と実行、ファイルのアップロードとダウンロード、シェル コマンドの実行など、いくつかの機能をサポートしています。
• BLACKCOFFEE : Github や Microsoft の Technet ポータルなどの正当な Web サイトへの通常のトラフィックとして通信を難読化するバックドア。 APT17およびその他の中国のサイバー スパイ オペレーターによって使用されます。

追加の識別 TTP には次のものがあります。

• 侵害された可能性のある電子メール アカウントの使用を含む、スピア フィッシング。
• CVE-2017-11882 を使用してドキュメントを誘導し、マルウェアをドロップします。
• マルウェアの署名に使用される盗まれたコード署名証明書。
• bitsadmin.exe を使用して追加のツールをダウンロードします。
• PowerShell を使用して追加のツールをダウンロードします。
• C:WindowsDebug および C:Perflogs をステージング ディレクトリとして使用します。
• ハイパーホスト VPS と Proton VPN 出口ノードを活用して、インターネットに接続されたシステムの webshell にアクセスします。
• 持続性のために Windows Management Instrumentation (WMI) を使用します。
• Startup フォルダー内の Windows ショートカット ファイル (.lnk) を使用して、Windows Scripting Host (wscript.exe) を起動し、永続化のために Jscript バックドアを実行します。
• 攻撃者が Github や Microsoft の TechNet ポータルなどの正当な Web サイト/フォーラムで作成したユーザー プロファイルから C2 命令を受け取る。

含意

確認された侵入の現在の波は、TEMP.Periscope と一致しており、経済的利益、研究開発データ、知的財産、または商業交渉における優位性を提供できる情報を生み出す可能性のあるセクターを標的とする協調的な取り組みを反映している可能性があります。

この活動を調査し続けると、分析の信頼性を高めるための追加データが特定される可能性があります。これは、この操作を TEMP.Periscope や他の既知の脅威アクター、さらには未知のキャンペーンに結び付けるものです。

指標

履歴指標