脅威のスポットライト:Reaver 中国のさまざまなAPTグループ間の関連性をマッピングする

By Cylance Research and Intelligence Team

本ブログ記事は、2019年5月14日に米国で公開された抄訳版です。原文はこちらからご覧頂けます。

ニューヨークタイムズが12月に、欧州連合の外交公電に対するハッキング、ならびに国連の機密情報に対するハッキングを報じました。私達、BlackBerry Cylance脅威インテリジェンスチームはこのニュースに関心を寄せました。一面に掲載された記事なので、関心を抱くのは当然です(Sanger、2018年)1

しかし、私達が関心を寄せた理由は他にもあります。この記事は、同じ日にArea 1によって公開された「Phishing Diplomacy」(外交に対するフィッシング)というレポートが大本になっています(Area 1、2018年)2。研究者達は、外交公電に対する侵害行為や、他の100を超える組織に対する侵害行為(外務省、財務省、シンクタンク、労働組合などが含まれる)を、中国政府のSSF(戦略支援部隊、中国軍の一組織)によるものであると論じました。しかし、そのような結論に至った理由について特に説明はありませんでした。

さらに興味深いのは、ニューヨークタイムズの報道によると、漏洩した公電を同紙に提供したのはArea 1の研究者達であるという事実です。ニューヨークタイムズはそれらの公電から多くの引用を行いました。これは多くの人を驚かせ、Area 1とニューヨークタイムズの両者に対して、法的、倫理的な疑問を抱かせました。

こうした法的、倫理的な疑問はさておき、私達がこの報道に関心を抱いたのは他にも理由があります。Area 1の「痕跡情報」(IoC)に含まれていたのは1つのWebサイト/ドメイン名であり、今回問題になっているターゲット攻撃のコマンドアンドコントロール(C2)で中国SSFはこのWebサイト/ドメイン名を使用していたとArea 1は述べています。

以降で詳しく説明しますが、このドメインは中国の他の多くのさまざまなAPTグループに関連していると私達は考えています。これらのグループのタスク、ターゲット、ツールセットはほぼあらゆる方面にわたっています。また私達は、中国のさまざまなAPTグループが同じマルウェアを使用し、場合によっては同じエクスプロイト作成ツールを使用していることを示す証拠を見つけました。

分析

フォレンジック・アーティファクトを特定の脅威アクターに関連付けることは、それがどのようなレベルであっても、静的なプロセスではなく、進化し続ける動的なプロセスです。しかし、「既知のAPTグループ」を定義していた公的な研究のほとんどは、その後は停止状態にあるように見えます。

民間のセキュリティ企業は、APTグループの特定を開始し、脅威アクターに関して大量のアルファベットの略語を作り出し、数字、動物、元素、悪魔、神々などに基づいたニックネームを付けました。その際に、諜報活動に関するシグネチャを引き合いに出して、国家やその代理組織のプロファイルを描き出すようになりました。

特定のグループの戦術、手法、攻撃手順(TTPと呼ばれる)を反映したイメージが描かれるようになりました。こうしたTTPは、イラン、中国、ロシア、北朝鮮の脅威に対する私達の考え方を形作っています。これらのアルファベットの略語によるニックネームは、企業レベルのリスク管理に影響を与えるだけでなく、国家のセキュリティ政策にも影響を与えることになりました。

こうしたプロファイルの多くは約10年前に描かれたものです。しかし、これらの関連付けは、技術的な証拠の関数であると同時に、時間の関数でもあるのです。

Area 1が中国のSSFに関連付けたフォレンジック・アーティファクトの場合、かつて別個に活動している、または別個のターゲットを狙っていると考えられていた中国の複数のグループがツールを共有している、またはツールに重なる部分があるという証拠から、以下の可能性が浮かび上がります。

  • 中国政府の複数のグループが従来の壁を越えて活動範囲を拡大しているか、またはそれらのグループに従来とは異なるタスク/ターゲットが割り当てられていることを示している可能性

  • 中国政府のサイバー活動が成熟し、さまざまな機関のさまざまなグループがツールやインフラストラクチャを何の問題もなく共有するようになったことを示している可能性

  • 中国外部での技術的なアクセスを連携させることを目的として、中国がさまざまな政府組織の活動を一元化するための手法を開発したことを示している可能性

どの推測が正しいかについて、ターゲットとなった組織だけでなく、各国政府のほうがより大きな関心を抱いていると思われます。もちろん、国家の関与が疑われるすべての攻撃は、いずれにとっても重大事です。ターゲットについては常に戦術的な考慮事項が存在します。また多くの場合、政府、政策立案者、およびサイバー空間における国家の振る舞いを把握しようとしている私達のような人々にとっては、国家安全保障に関する考慮事項が存在します。

中国のAPTグループのプロファイルが変化しているという証拠は、ネットワークを防御する側に教訓をもたらします。こうした証拠は、以下の点に基づいて自らを位置付けている組織の脅威モデリングやリスク評価に影響を与えるからです。

  1. ・これらのグループ、およびこれらのグループの主要なターゲットに関する古い理解

  2. ・「痕跡情報」(IoC)に対する明らかな依存

  3. ・これらが両方とも当てはまる

この後は、私達の知見をもとに論じ、マルウェアやC2インフラストラクチャの関連性について詳しく説明します。これらの知見の一部(すべてではない)は、Anomali Labsが独自に見つけて先月に公表したものです(Anomali Labs、2019年)3。たとえば、Anomali社はArea 1の研究とは関係ありませんでした。また、マルウェアやインフラストラクチャの関連性に関する私達の知見はAnomali社の知見を支持していますが、これらの関連性が戦略的なライバルである中国とインドの間でのサプライチェーン(補給部)の共有を示しているかどうかについては、両社の間で結論は一致していません。

考察

ニューヨークタイムズの記事の元ネタとなったArea 1のレポート「Phishing Diplomacy」では、欧州連合や他の関連ターゲットに対する攻撃は中国軍戦略支援部隊(SSF)によるものであるとしています。SSFはアメリカのサイバー軍(CYBERCOM)をモデルにしています。CYBERCOMはアメリカ戦略軍(STRATCOM)の一部として開始され、その後独立した戦闘コマンドになりました。

SSFは、宇宙に関する作戦、電子的な戦争、情報作戦、心理作戦、スパイ活動、技術的な偵察、ネットワーク戦争に関する中国のいくつかの軍事組織を再編成することによって2015年に創設されました。この再編成には人民解放軍(PLA)の第三部も含まれていました。米国司法省が第三部のメンバーを「APT 1」という仮面の背後にいる脅威アクターであると断定しているのは有名な話です。

しかし、伝統的に中国軍の第三部は対外的な作戦(通常は軍の目的をサポートすること)に注力しています。私達は、他のセキュリティ研究に関連するグループに向けたArea 1のレポートに含まれているインフラストラクチャを通じて、分離主義派または政府にとって脅威と見なされている国内グループに対する中国政府のスパイ活動や作戦と関連性があることを見つけました。通常、こうしたタスクは、国家警察の任務として(比較的最近に設立された)国家安全委員会が管轄するか、またはその延長で国家安全部が管轄します。

国家安全部は中国の国家文民組織であり、国外、国内の諜報機関が組み合わさったものと考えられています。アメリカに例えると、CIAとFBIを組み合わせたようなものです。

最近、国家安全部は米国司法省による捜査の対象となりました。米国司法省は最近のいくつかの起訴の中でこのグループを名指ししており、APT10(別名「menuPass」)とこのグループを公然と関連付けています(米国によるZhang Zhang-Guiらの起訴、2018年)4 、(米国によるZhu Huaらの起訴、2018年)5 [それぞれの起訴番号は13CR3132-Hと18CRM891]。また、国家安全部は米中経済安全保障検討委員会からも、「OPMセキュリティ侵害に関与しているか、または根本にいる後援者であると広く信じられている」と名指しで非難されています (USCC、2016年)6

中国国内のセキュリティ問題の中心にいて、国家安全部のターゲットになっていると推測されるのは、非公式に「五毒」(Five Poisons)と呼ばれているグループです。

この名前は、イデオロギー、宗教、文化の違いが中国共産党の構造に直接的な危険性をもたらしている、または政府の「一つの中国」という唯一概念に反対している5つのグループを指しています。「五毒」とは伝統的に以下のグループを指します。

  • 少数派のウイグル族イスラム教徒のメンバー
  • 法輪功の支持者
  • 台湾独立支持者
  • チベット人
  • 中国民主化を支持する活動家

これらのグループをターゲットにした活動では、Palo Alto Networks社が特定して「Reaver」と名付けたマルウェアファミリーがしばしば使用されています(Miller-Osborn、2017年)7。また、Palo Alto社は、台湾総統選挙をターゲットにした活動の中で、SUTRおよびSunOrcalという名前で知られるマルウェアとReaverを関連付けています。これには、PWCの調査(Yip、2016年)8と、Citizen Labによるより広範囲のレポート(Hardy、2013年)9があります。私達はより新しい変種と他のまだ名前のないサンプルを見つけ、それらをより詳しく調べることにしました。

Reaverとその祖先は、中国内部の分離主義者の活動に焦点を当てているグループによって使われているのか、または同じ任務に携わる中国軍の師団で使われているのかは不明です。しかし、Reaverの背後にいるグループは、Area 1が報告した欧州連合や国連に対する攻撃の背後にいるグループ(表面上は軍のSSF)と同じインフラストラクチャをいくつか使用しています。

Area 1はそのレポート「Phishing Diplomacy」の中で、1つのC2ドメインupdates.organiccrap[.]comを明らかにしています。このドメインは、2017年11月16日から2018年7月27日の間の約8ヶ月間、IPアドレス50.117.96[.]147 に解決されていました。

このorganiccrapドメインがこのIPアドレスに解決されるようになる1日前には、別のドメインがこのIPアドレスに解決されていました。それは2週間という短い期間でした(2017年10月31日~2017年11月15日)。その tashdqdxp[.]comというドメインはPalo Alto社の調査に含まれており、その調査ではこのドメインがReaverとともに使用されていることが示されています。

私達は、最近他のいくつかのReaver C2ドメインがこのIPアドレスに解決されていることを確認しました。それには、ドメインetwefsfj[.]com、sfafgeht[.]com、and asdasfdsre[.]comが含まれています。これらの解決が行われた最も古い日付は2018年5月1日であり、最も新しい日付は2019年1月10日です。

前述したように、Palo Alto社は以前に、このReaverドメインと他のReaverサンプルがパッシブDNSを通じていくつかのSunOrcalドメインとつながっていることを示しました。それには次のドメインが含まれています。

www.weryhstui[.]com、 www.fyoutside[.]com、および www.olinaodi[.]com

また、Palo Alto社は同じSunOrcalの一連の活動と、以前に公表されたいくつかのレポートとのつながりも示しています。それらのレポートは、香港の活動家などを中国政府が明白にターゲットにしていることを明らかにしました(Brooks、2016年)10(Wilson、2016年)11

私達が見つけた新しいReaverの変種は、新旧のネットワークインフラストラクチャのハイブリッドなサブセットを使用しているように見えます。以降の技術に関するセクションでは、この変種を詳しく分析し、同時に見つけた新しいバックドアについても説明します。

技術的な知見:マルウェア

Reaver.v4

この新しいReaverサンプルは、Palo Alto社によって最初に「Reaver.v3 TCP Payload」として説明されたものと似た方法で動作します。唯一の実質的な違いは、相対アドレス文字列参照テーブルと構成データのエンコードです。

XORデコードが使用されなくなり、増分右ビットシフトを使用するカスタム暗号化が採用されています。興味深い点として、この暗号化では以前に計算した値の逆参照が行われています。復号されたテーブルは、以前に特定されたものとよく似ています。

RA@10016=ADVAPI32.dll
RA@10017=GetUserNameA
(中略)
RA@10313=ChangeServiceConfig2A
RA@10314=QueryServiceConfig2A

図1:デコードされた文字列参照テーブル

マルウェアの構成も同様にエンコードされており、以前にPalo Alto社が説明したすべての情報が含まれていますが、文字列が1つ追加されています。ネットワークコールバックドメイン、ネットワークポート、ビーコン間隔、サービス名、サービスの説明、サービスの表示名に加えて、2つのハードコードされた文字列“n-0625”と“2017-tq-s”があります。

00003552 00 00 00 00 50 00 00 00 10 27 00 00 01 00 00 00 ....P....'......
00003568 00 00 00 00 00 B7 04 00 77 77 77 2E 66 68 6A 73 .....·..www.fhjs
00003584 64 6B 6C 61 2E 63 6F 6D 00 00 00 00 00 00 00 00 dkla.com........
00003600 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00003696 00 00 00 00 00 00 00 00 6E 2D 30 36 32 35 00 00 ........n-0625..
00003712 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00003760 00 00 00 00 00 00 00 00 4E 74 6D 73 53 76 63 00 ........NtmsSvc.
00003776 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00003792 57 69 6E 64 6F 77 73 20 4D 75 6C 74 69 6D 65 64 Windows Multimed
00003808 69 61 20 53 65 72 76 69 63 65 20 66 6F 72 20 6D ia Service for m
00003824 65 64 69 61 20 64 65 76 69 63 65 73 00 00 00 00 edia devices....
00003840 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00003888 57 69 6E 64 6F 77 73 20 4D 75 6C 74 69 6D 65 64 Windows Multimed
00003904 69 61 20 53 65 72 76 69 63 65 00 00 00 00 00 00 ia Service......
00003920 32 30 31 37 2D 74 71 2D 73 00 00 00 00 00 00 00 2017-tq-s.......

図2:復号された構成データ

ネットワークプロトコルはPalo Alto社のレポートとほとんど変わっておらず、この記事では省略します。

Sparkleペイロード

新しいReaverネットワークインフラストラクチャを調査しているときに、完全に新しいタイプのバックドアがごく限られたコンピュータにデプロイされているのを見つけました。BlackBerry Cylanceは、情報セキュリティ業界で一般的に「デプロイ」されているような険悪な軍事用語を避けるため、このペイロードを「Sparkle」と名付けました(「デプロイ」も元々軍事用語)。

関連するドロッパーも特定されました。

295c942389ebdbf8ff9a8b1a81d3f63cb60577fa57ecaa660ce347666973b4f3

このペイロードは、ファイル%Temp%\wsm56d1.tmpからデータを読み取って、ドメイン www.sfeeleyses[.]comのTCPポート443と通信を試みます。

Reaver.v4のダウンローダー

私達は解析時にユニークなReaverダウンローダーを見つけました。これは有効なPEチェックサムを持つ唯一のサンプルでした。このバイナリは、エンコードされたペイロードをhxxxp://www[.]htuditey[.]com/l-0424.bmp からダウンロードし、そのファイルをw90sD32rS3H2jP75.bmpという名前で保存します。

保存後にこのダウンローダーは、ファイルのオフセット0x36(値0xFF)の位置から増分XORルーチンを使用して正規の実行可能ドロッパーをデコードします。

この実行可能コンテンツは、%Temp%\mstk.exeとしてディスクに書き込まれます。また、ダウンローダーは永続化を実現するために、現在のユーザーのレジストリハイブに、この実行可能コンテンツに関するRunキーを作成します。次のPythonスニペットは他のキーにも簡単に応用できます。

def inc_xor(buf,start):
out = ''
key = int(start, 16)
for i in buf:
if key < 256:
out += chr(ord(i) ^ key)
else:
key = 0
out += chr(ord(i) ^ key)
key +=1
return out

inc_xor(binary_data, 'FF')

図3:Pythonによる増分XORルーチン

このダウンローダーには、次のようなとてもユニークなPDBパスも含まれています。

e:\VS2005 Project\Doc_Pack\DownloadSample\release\DownloadSample.pdb

このPDBパスは、このダウンローダーがより大規模な悪意のあるドキュメントプロジェクトの一部である可能性が高いことを示しています。

技術的な知見:エクスプロイト

Reaverを配布する悪意のあるドキュメント

新しいReaverマルウェアを調査した後、私達は配布方法に注意を向けました。見つかったのは、CVE-2017-11882を利用したエクスプロイトドキュメントでした。

9ac09ea38c9cf11ca13a2c3dbdcfbe0fe4a15cb609be451f7159ecebdd20d311

このドキュメントを分析した後、同じエクスプロイトを使用する事例を他にもいくつか特定しました。それらは、“Package”というActiveXコントロールを利用して、%AppData%\Local\Temp\8.tに一時ファイルをドロップしていました。

これは特に興味深いトリックです。なぜなら、このトリックが最初に広く使用されるようになったのは2014年であり、その後はほぼ完全に廃れたように見えていたからです。次のレジストリキーによってこのActiveXコントロールが無効にされていない限り、RTFドキュメントを開くだけで動作がトリガーされます。

HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{F20DA720-C02F-11CE-927B-0800095AE340}

ドキュメントを閉じると、この一時ファイルは削除されます。ネイティブのWindowsプログラムである“Wordpad.exe”は、上記のレジストリキーに関係なく、この同じ動作をトリガーすることができます (Li、2014年)12.

エクスプロイトのトリガーに成功すると、いくつかのシェルコードが起動され、“8.t”の中に格納されているコンテンツが復号され、実行されます。ドキュメント内のシェルコードは、シード値が“0x7BF48E63”の独自のカスタムXOR暗号化を使用しています。そのPythonコードを以下に示します。

def mixer(eax):
ecx = eax
ecx = ecx >> 0x1B
ecx = ecx ^ eax
ecx = ecx >> 3
ecx = ecx ^ eax
eax = eax + eax
ecx = ecx & 1
eax = eax | ecx
return eax

def custom_loop(buf):
eax = 0x7BF48E63
out = ''
for x in buf:
edi = 7
while edi !=0 :
eax = mixer(eax)
edi -=1
xor_key = eax & 0xFF
out += chr(ord(x)^xor_key)
return out

図4:パッケージオブジェクト内に格納されているコンテンツを復号するPythonコード

私達は、同じ方法で動作するドキュメントを他にも2つ見つけました。これらのドキュメントは、エンコードされたペイロードをwww.htuditey[.]comから取得します。私達は、これらのドキュメントはReaverマルウェアの背後にいるグループと直接関係があることを確認しています。

また、同じ実行可能エンコーディングメカニズムとシード値を使用する他のいくつかのドキュメントも見つかりました。以前は、これらのドキュメントは“Gobelin Panda”によるものであるというのが一般的な見解でした(Sebdraven、2018年)13 これらのドキュメントは、“Sisfader RAT”という名前のまったく別のペイロードをドロップします(Humphrey、2018年)14

Gobelin Panda(Goblin Pandaと呼ばれることもある)は、CrowdStrike社によって中国の脅威アクターであると特定されたグループです。このグループは、南アジアの国々、特にベトナムの防衛、エネルギー、政府関連の組織をターゲットにしていることが知られています。CrowdStrike社は、南シナ海周辺の国家間の緊張が高まるにつれてGoblin Pandaの活動も増えていったことを確認しています。

私達はGob(e)lin PandaがMSSやSSFと関連があるかどうかについて断言できませんが、この記事で説明してきたサンプルセット内で使用されているエクスプロイトビルダーが、Leviathan、Temp.Periscope、Kryptonite Pandaなど、中国の複数のAPTグループ間で共有されていることは明白です。

また、Anomali社はこの一連のエクスプロイトドキュメントに関する包括的なレポートを発表し、このReaverファミリーに“Temp.Trident”という名前を付けました(Anomali Labs、2019年)15

技術的な知見:インフラストラクチャ

このレポートで言及してきたすべてのドメインは、ランダムな文字の組み合わせを使用しており、yuming[at]nuo.cn という電子メールアドレスを使用して登録されています。これはホスティングプロバイダー(www.nuo[.]cn)の汎用的なアドレスであると思われます。

このプロバイダーは、このインフラストラクチャを使用または共有する中国のグループと直接つながっています。そのつながりは2013年までさかのぼり、eyestouch256[.]comというドメインを登録するのにこのプロバイダーが使用されていました。2017年11月15日には、次の6個のドメインが登録されています。

  • etwefsfj[.]com
  • sfafgeht[.]com
  • strenthuy[.]com
  • fhjsdkla[.]com
  • htuditey[.]com
  • xuitrdgt[.]com

ちなみにこの日付は、tashdqdxp[.]com とそれに関連するIPがReaverとの関連で使用された最後の日となっています(Palo Alto社がその5日後に発表した情報による)。また、Area 1社による情報だと、この日付はSFFが欧州連合に対する攻撃で同じIPアドレスと新しいドメインを使い始めた日の1日前に当たります。

他の6個のドメインも2017年のより早期の2つの日付で登録されていることがわかっており、それらはほぼ同じ期間、運用されていなかった可能性が高いと思われます。ここでの議論には関係ないため、それらのドメインはここには記載していません。

次に、2017年8月30日に別の2つのドメインが登録されました。

  • djstoern[.]com
  • jorehkn[.]com

他の4つのドメインは2017年5月9日に登録されました。

  • menrotefit[.]com
  • norejike[.]com
  • poticxny[.]com
  • qidaterstu[.]com

2018年7月31日に、同じグループによってさらに別の4つのドメインが登録されたと私達は強く考えています。しかし、それらはまだユニークなIPアドレスに解決されておらず、それらに関連するマルウェアサンプルもまだ特定されていません。それらのドメインを以下に示します。

  • asdasfdsre[.]com
  • fdvvbnf[.]com
  • hdjyrtuy[.]com
  • kiggdssad[.]com

まとめ

この脅威インテリジェンス速報では、ここ10年近くの間に中国国家そのもの、または中国国家が支援していると疑われている複数のアクターによって使用されている一連のツールとインフラストラクチャを技術的に詳しく分析し、それらのつながりを特定または確認できることを示しました。このつながりからは、これら一連のアクターのターゲットが数年の間に劇的に変化したことがわかります。

興味深い点として、ターゲットの変化には、中国の軍および文民の諜報機関の間のツールおよびタスクの共有の影響があるかもしれず、私達が6年前に同じテーマで行った研究ではこの変化を先取りしていました。

2013年に、Citizen Labや他の調査グループが、中国が「五毒」をターゲットにしていることに関するレポートを発表しましたが、私達も同じ時期に、米国の自動車メーカーに対するスパイ活動の目的で実質的に同じツール(後にReaverと呼ばれることになる)が使用されていることを技術ブログで発表しました(Gross、2013年)16

こうした知見は、中国国家の脅威グループの脅威モデルの中に自分たちの組織が含まれていると考える人達だけでなく、あらゆる業種のエンタープライズ管理者やネットワーク防御担当者の懸念となっているでしょう。なぜなら、私達の分析が示すように、中国の脅威グループは「痕跡情報」を共有しているか、または中国の他のグループによるターゲットやタスクを採用していると考えられるからです。

これは、防御側が痕跡情報のブラックリスト化に過度に依存している場合、または中国のAPTグループの関心事であると想定されることに基づいてリスク評価を行っている場合、ツールとターゲットの両方を変えた攻撃者に対して脆弱であることを意味します。

医療業界に例えると、防御側はすでに病気だとわかっている人に病原菌が入らないようにするのではなく、病気を予防することを目指したワクチン接種のような取り組みを行うべきです。

付録

ハッシュ:

Reaver 2019 v.4バックドア

ff973e7c7a9d629011fb8c5bf766216e5e33da66656d9bf8386054fd8e99262a

126f2e4d6766d901ea0cb78b8cb4827be7d6aecea0c817eef6b572cb5b4e2442

1d7a3eaf48a19908f4f6cdffa596b4db1d5346b47958424b72e186af061367c6

Reaver 2018 v.4バックドア

363f7b8024efd8205ae8e74bfdc387b3a5aad8ff166cbc2475fad5d3a708dcb0

78b7b0253020edc80ea31eb60b42e47dec83b7cf41c952949c80b82679ece744

da9e1317ecc3cbceda45a838d954b8750d118ef1ce072b32c913819780fbb9b7

e1793859b3a3136c5d816fe7300303098847894241052820429a0584eed45ed1

Reaver 2019 v.4ドロッパー

d6305a64d45e6443bf3bad2ccc4d2144f4632aec0ae1f3dedb1e526e1790770b

Reaver 2018 v.4ドロッパー

738d5326c48fd81d147927d6e5d43933956e8f6a36f085b2130b780ccfc3fa86

538dd5cb32482a30a3676b328f275f37cbe16883a4368d3959b68e8f97fe70a1

b36464ea655330b993a5fc992ddb981f503bbeb4f7cb081d5da67f83a4b49049

7f5f294d96c3fb36499c9049cdb337e58f06fb8531b3eac796f8deaf88060ed2

15ab48aaaabd4462ac8ba5b511879a0f4502408a500b556078ca129fc92c2628

Reaverダウンローダー::

44cda3eea271613ddfc820014c9fdd829c30ebbe57614e1a4dafaf76905301dc

9aab954f9fb84c82e588b2c90b1bb7eb2a65b08c739358a320d767650b6d9453

8971ac72939783d14d0ff0d4bebe1764b69e54a15627a149708f4253531a9df2

Reaverエクスプロイトドキュメント:

1c6cb02ae9dceb3a647260f409dd837fa5c66794804623c9cf97395cf406d4df

3df19abbf961a6d795362f5408d65aa5a31e34620aa3518a010d4d6d9e79c60e

9ac09ea38c9cf11ca13a2c3dbdcfbe0fe4a15cb609be451f7159ecebdd20d311

コマンドアンドコントロールのインフラストラクチャ

ドメイン:

asdasfdsre[.]com

djstoern[.]com

etwefsfj[.]com

fdvvbnf[.]com

fhjsdkla[.]com

hdjyrtuy[.]com

htuditey[.]com

jorehkn[.]com

menrotefit[.]com

norejike[.]com

poticxny[.]com

qidaterstu[.]com

sfafgeht[.]com

strenthuy[.]com

xuitrdgt[.]com

IPアドレス:

103.226.153[.]235

103.234.99[.]74

103.36.54[.]119

103.61.137[.]210

104.160.190[.]2

104.160.191[.]10

104.224.141[.]75

107.161.80[.]56

142.252.252[.]241

182.16.118[.]91

204.44.65[.]128

208.77.43[.]76

210.56.51[.]66

45.121.48[.]12

45.121.50[.]19

45.121.50[.]5

50.117.38[.]74

50.117.47[.]129

50.117.96[.]147

64.32.22[.]151

67.229.134[.]170

67.229.159[.]218

67.229.168[.]2

67.229.28[.]82

74.121.151[.]158

引用

[1] Sanger, D. a. (2018年12月18日)。 Hacked European Cables Reveal a World of Anxiety About Trump, Russia and Iran(ヨーロッパの公電に対するハッキングはトランプ、ロシア、イランに対する世界の不安を明らかにする)。ニューヨークタイムズより引用:https://www.nytimes.com/2018/12/18/us/politics/european-diplomats-cables-hacked.html

[2] Area 1. (2018年12月18日)。 Phishing Diplomacy(外交に対するフィッシング)。Area 1のセキュリティ文書より引用: https://cdn.area1security.com/reports/Area-1-Security-PhishingDiplomacy.pdf

[3] Anomali Labs. (2019年2月5日)。 Analyzing Digital Quartermasters in Asia – Do Chinese and Indian APTs Have a Shared Supply Chain?(アジアのデジタル補給部の分析 - 中国とインドのAPTはサプライチェーンを共有しているか?)Anomali Labsより引用: https://www.anomali.com/blog/analyzing-digital-quartermasters-in-asia-do-chinese-and-indian-apts-have-a-shared-supply-chain

[4] U.S. vs. Zhang Zhang-Gui et al, 13CR3132-H (米国連邦地方裁判所、カリフォルニア州南地区、2018年10月30日)。

[5] U.S. vs. Zhu Hua et al, 18CRM891 (米国連邦地方裁判所、ニューヨーク州南地区、2018年12月17日)。

[6] USCC. (2016年6月9日)。 China's Intelligence Services and Espionage Operations(中国の諜報機関とスパイ活動)。米中経済安全保障検討委員会から引用:https://www.uscc.gov/sites/default/files/transcripts/June 09, 2016 Hearing Transcript.pdf

[7] Miller-Osborn, J. G. (2017年11月10日)。 New Malware with Ties to SunOrcal Discovered(SunOrcalと関連する新しいマルウェアが見つかる)。Palo Alto Unit42より引用: https://researchcenter.paloaltonetworks.com/2017/11/unit42-new-malware-with-ties-to-sunorcal-discovered/.

[8] Yip, M. (2016年3月17日)。 Taiwan Presidential Election: A Case Study on Thematic Targeting(台湾総統選挙:主題的ターゲティングに関するケーススタディ)。PWCのブログより引用:https://pwc.blogs.com/cyber_security_updates/2016/03/taiwant-election-targetting.html

[9] Hardy, K. K. (2013年8月2日)。 SURTR Malware Family Targeting the Tibetan Community(チベットコミュニティをターゲットにしたSURTRマルウェアファミリー)。Citizen Labより引用:https://citizenlab.ca/2013/08/surtr-malware-family-targeting-the-tibetan-community/

[10] Brooks, M. e. (2016年4月18日). Between Hong Kong and Burma(香港とビルマの間で)。Citizen Labより引用:https://citizenlab.ca/2016/04/between-hong-kong-and-burma/

[11] Wilson, C. (2016年4月13日)。 The Four Element Sword Engagement(4つの脆弱性ソードによる攻撃)。Arbor ASERTより引用:https://asert.arbornetworks.com/wp-content/uploads/2016/04/ASERT-Threat-Intelligence-Report-2016-03-The-Four-Element-Sword-Engagement.pdf

[12] Li, H. (2014年7月28日)。 Dropping Files into Temp Folder Raises Security Concerns(一時フォルダへのファイルのドロップはセキュリティの懸念を高める)。Securing Tomorrow - McAfeeより引用:https://securingtomorrow.mcafee.com/mcafee-labs/dropping-files-temp-folder-raises-security-concerns/

[13] Sebdraven. (2018年8月2日)。 Goblin Panda against the Bears(熊に対抗するゴブリンパンダ)。Mediumより引用: https://medium.com/@Sebdraven/gobelin-panda-against-the-bears-1f462d00e3a4

[14] Humphrey, B.(2018年6月12日)。 CVE-2017-8570 RTF and the Sisfader RAT(CVE-2017-8570 RTFとSisfader RAT)。NCC Groupより引用:https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2018/june/cve-2017-8570-rtf-and-the-sisfader-rat/

[15] Anomali Labs. (2019年2月5日)。 Analyzing Digital Quartermasters in Asia – Do Chinese and Indian APTs Have a Shared Supply Chain? (アジアのデジタル補給部の分析 - 中国とインドのAPTはサプライチェーンを共有しているか?)Anomali Labsより引用:https://www.anomali.com/blog/analyzing-digital-quartermasters-in-asia-do-chinese-and-indian-apts-have-a-shared-supply-chain

[16] Gross, J. (2013年11月20日)。 Grand Theft Auto Panda(グランドセフトオートパンダ)。Cylance Threat Vectorより引用:https://threatvector.cylance.com/en_us/home/grand-theft-auto-panda.html

Tags: