>
Insiktレポート

中国政府が支援するRedDeltaは、適応型PlugX感染チェーンを用いて台湾、モンゴル、東南アジアを標的にした

投稿: 2025年1月9日
作成者 : Insikt Group®

insikt-group-logo-updated-3-300x48.png

概要:

2023年7月から2024年12月にかけて、Insikt Groupは、中国国家が後援するグループRedDeltaが、適応された感染チェーンを用いてモンゴル、台湾、ミャンマー、ベトナム、カンボジアを標的にし、カスタマイズされたPlugXバックドアを配布してことのを観察しました。同グループは、2024年の台湾大統領候補郭台銘氏、ベトナムの国民の祝日、モンゴルの洪水対策、会議招待状(東南アジア諸国連合(ASEAN)会議を含む)をテーマにしたルアー文書を使用しました。RedDeltaは、2024年8月にモンゴル国防省、2024年11月にベトナム共産党を侵害した可能性があります。このグループはベトナム公安省を標的にスピアフィッシングを行いましたが、Insikt Groupは侵害に成功した証拠を確認しませんでした。2024年9月から12月にかけて、RedDeltaはマレーシア、日本、アメリカ合衆国、エチオピア、ブラジル、オーストラリア、インドの被害者を標的にした可能性が高いです。

2023年後半、RedDeltaは感染チェーンの第一段階を進化させ、スピアフィッシングによって配信された可能性のあるWindowsショートカット(LNK)ファイルを利用しました。2024年に、同グループはMicrosoft Management Console Snap-In Control(MSC)ファイルの使用に移行しました。最近、RedDeltaはスピアフィッシングリンクを使用して、被害者にMicrosoft AzureでリモートホストされているHTMLファイルを読み込むよう促しています。2023年7月以降、RedDeltaは一貫してCloudflareのコンテンツ配信ネットワーク(CDN)を使用してコマンド&コントロール(C2)トラフィックをプロキシしています。これにより、グループは正当なCDNトラフィックに溶け込み、被害者の特定を困難にしています。ロシアのBlueAlphaを含む他の国家支援グループも同様にCloudflareを利用して検出を回避しています。

RedDeltaの活動は、中国の戦略的優先事項に沿っており、東南アジア、モンゴル、ヨーロッパの政府と外交機関に焦点を当てています。同グループが2023年と2024年にアジアに焦点を当ててターゲットを定めたのは、2022年に欧州の組織をターゲットにした後、同グループがこれまで重点を置いていた分野に戻ることを意味します。RedDeltaがモンゴルと台湾を標的にしていることは、中国共産党の権力に対する脅威と見なされたグループを過去に狙ってきた経緯と一致しています。

RedDeltaについて:

RedDeltaは少なくとも2012年から活動しており、東南アジアとモンゴルを重点的に狙っています。同グループは、世界的な地政学的事象に対応し、標的を定期的に適応させてきました。RedDeltaは、2021年の中国とバチカンの会談前に、バチカンやその他のカトリック組織をPlugXでターゲットにしています。同グループは、インドの法執行機関や政府機関、インドネシアの政府機関、ミャンマー、香港、オーストラリアのその他の標的を侵害しています

2022年、ロシアのウクライナ侵攻を受けて、RedDeltaは欧州の政府および外交機関を標的とする活動を強化しました。この活動では、アーカイブファイル(ZIP、RAR、ISO)の配信から始まる感染チェーンが使用されましたが、これはスピアフィッシングにより配信された可能性があります。ファイルには、二重拡張子(例:.doc.lnk)とMicrosoft Wordアイコンで偽装されたWindowsショートカット(LNK)ファイルが含まれていました。アーカイブ内の隠しフォルダには、ダイナミックリンクライブラリ(DLL)の検索順序ハイジャックを完了するために使用される3つのファイル(正規のバイナリ、悪意のあるDLLローダー、そして最終的にメモリにロードされた暗号化されたPlugXペイロード)が含まれていました。ユーザーがショートカットファイルを実行したことで、DLL検索順序のハイジャックが発生しました。2022年11月、RedDeltaは戦術を進化させ、脅威アクターが管理するドメインにISOファイルを配置しています。

2023年3月、Insikt Groupは、モンゴルを標的とするRedDeltaの活動を特定しました。この攻撃は、ネストされた隠しサブディレクトリ内にあるDLL検索順序ハイジャックのトライアドをトリガーするLNKファイルを含むコンテナファイル(RAR、ZIP、ISO)から始まる類似の感染チェーンを使用していました。おとり文書には、世界モンゴル協会からの招待状と、チベット仏教とモンゴルに関するBBCニュースのインタビューを主張する文書が含まれていました。RedDeltaは以下を標的としています。

  • 内モンゴル自治区に焦点を当てた人権と民主化を支持するNGOを含む、複数のモンゴルの非政府組織(NGO)のメンバー
  • モンゴルと日本のモンゴル仏教活動家
  • モンゴルと日本の学術専門家
  • 2つのモンゴルのモバイルアプリケーションの開発者

軽減策:

RedDeltaの活動を検出して軽減するために、組織は次のことを行う必要があります。

  • Insikt Groupが提供するYARAおよびSigmaルールを使用して、RedDelta Windows Installer(MSI)、DLL、LNK ファイルを検出します(以下を参照)。
  • 侵入検知システム(IDS)、侵入防止システム(IPS)、その他のネットワーク防御メカニズムを設定し、RedDeltaに関連する外部IPアドレスおよびドメインからの接続試行を警告またはブロックするように構成します(以下を参照)。
  • ソフトウェアとアプリケーション、特にオペレーティングシステム、ウイルス対策ソフトウェア、コアシステムユーティリティを最新の状態に保ちます。
  • 電子メールの通信をフィルタリングし、添付ファイルにマルウェアがないか精査する。
  • システムのバックアップを定期的に実行し、ネットワーク経由でアクセスできないようにオフラインおよびオフサイトに保存します。
  • 会社の機密データの厳密な区分化を遵守し、役割ベースのアクセスを導入し、全社的なデータアクセスを制限します。
  • クライアントベースのホストログ記録および侵入検知機能を導入し、攻撃を早期に特定して阻止します。
  • 古い認証方法を無効にすることで、脅威アクターがセキュリティを回避するのを防ぎます。
  • ネットワークIDS、NetFlow収集、ホストロギング、Webプロキシなどのツールを導入し、検出ソースの手動監視を行います。
  • ネットワークセグメンテーションを実践し、二要素認証や制限付きアクセスなど、機密情報には特別な保護対策を講じます。

Recorded Future® Third-Party IntelligenceモジュールThreat Intelligence Browser Extensionを活用し、リアルタイムの監視と優先順位付けされた脆弱性パッチの適用を行います。

中国の高度で持続的な脅威活動をより広範に軽減するための包括的な推奨事項については、公開ガイダンス(1234)およびInsikt Groupのレポート「世界をリードするサイバー大国としての中国の躍進」をご覧ください。

今後の展望:

Insikt Groupは、RedDeltaがモンゴルや台湾を含む東南アジアおよび中国周辺地域に重点を置き、カスタマイズされたPlugXバックドアを使用して世界中の組織を標的にし続けると予測しています。標的となる可能性があるのは、政府、NGO、活動家、宗教団体などです。RedDeltaは感染チェーンを継続的に進化させており、今後も主要な地政学的な展開に応じて進化し続けると予想されます。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

付録A — 侵害を示す指標

ドメイン:
abecopiers[.]com
alicevivianny[.]com
aljazddra[.]com
alphadawgrecords[.]com
alvinclayman[.]com
antioxidantsnews[.]com
armzrace[.]com
artbykathrynmorin[.]com
atasensors[.]com
bkller[.]com
bonuscuk[.]com
bramjtop[.]com
buyinginfo[.]org
calgarycarfinancing[.]com
comparetextbook[.]com
conflictaslesson[.]com
councilofwizards[.]com
crappienews[.]com
createcopilot[.]com
cuanhuaanbinh[.]com
dmfarmnews[.]com
electrictulsa[.]com
elevateecom[.]com
epsross[.]com
erpdown[.]com
estmongolia[.]com
financialextremed[.]com
finasterideanswers[.]com
flaworkcomp[.]com
flfprlkgpppg[.]shop
getfiledown[.]com
getupdates[.]net
glassdoog[.]org
globaleyenews[.]com
goclamdep[.]net
goodrapp[.]com
gulfesolutions[.]com
hajjnewsbd[.]com
hisnhershealthynhappy[.]com
homeimageidea[.]com
howtotopics[.]com
importsmall[.]com
indiinfo[.]com
infotechtelecom[.]com
inhller[.]com
instalaymantiene[.]com
iplanforamerica[.]com
irprofiles[.]com
itduniversity[.]com
ivibers[.]com
jorzineonline[.]com
kelownahomerenovations[.]com
kentscaffolders[.]com
kerrvillehomeschoolers[.]com
kxmmcdmnb[.]online
lebohdc[.]com
linkonmarketing[.]com
loginge[.]com
lokjopppkuimlpo[.]shop
londonisthereason[.]com
looksnews[.]com
maineasce[.]com
meetviberapi[.]com
mexicoglobaluniversity[.]com
mobilefiledownload[.]com
mojhaloton[.]com
mongolianshipregistrar[.]com
mrytlebeachinfo[.]com
myynzl[.]com
newslandtoday[.]net
normalverkehr[.]com
nymsportsmen[.]com
oncalltechnical[.]com
onmnews[.]com
pgfabrics[.]com
pinaylizzie[.]com
profilepimpz[.]com
quickoffice360[.]com
redactnews[.]com
reformporta[.]com
richwoodgrill[.]com
riversidebreakingnews[.]com
rpcgenetics[.]com
sangkayrealnews[.]com
shreyaninfotech[.]com
smldatacenter[.]com
spencerinfo[.]net
starlightstar[.]com
tasensors[.]com
techoilproducts[.]com
thelocaltribe[.]com
tigermm[.]com
tigernewsmedia[.]com
tophooks[.]org
truckingaccidentattorneyblog[.]com
truff-evadee[.]com
tychonews[.]com
unixhonpo[.]com
usedownload[.]com
vanessalove[.]com
versaillesinfo[.]com
vopaklatinamerica[.]com
windowsfiledownload[.]com
xxmodkiufnsw[.]shop
365officemail[.]com
7gzi[.]com


追加のステージングドメイン
https[:]//getfiledown[.]com/utdkt
https[:]//versaillesinfo[.]com/brjwcabz
https[:]//lifeyomi[.]com/trkziu
https[:]//lebohdc[.]com/uleuodmm
https[:]//cdn7s65[.]z13[.]web[.]core[.]windows[.]net
https[:]//edupro4[.]z13[.]web[.]core[.]windows[.]net
https[:]//elevateecom[.]com/deqcehfg
https[:]//vabercoach[.]com/uenic
https[:]//artbykathrynmorin[.]com/lczjnmum


RedDelta管理サーバー
115.61.168[.]143
115.61.168[.]170
115.61.168[.]229
115.61.169[.]139
115.61.170[.]105
115.61.170[.]70
182.114.108[.]91
182.114.108[.]93
182.114.110[.]11
182.114.110[.]170


RedDelta C2サーバー(2024年10月〜12月)
103.79.120[.]92
45.83.236[.]105
116.206.178[.]67
45.133.239[.]183
116.206.178[.]68
103.238.225[.]248
45.133.239[.]21
103.238.227[.]183
103.107.104[.]37
107.148.32[.]206
167.179.100[.]144
116.206.178[.]34
149.104.2[.]160
207.246.106[.]38
45.76.132[.]25
155.138.203[.]78
144.76.60[.]136
38.180.75[.]197
107.155.56[.]15
107.155.56[.]87
202.91.36[.]213
107.155.56[.]4
149.104.12[.]64
154.205.136[.]105
223.26.52[.]208
45.128.153[.]73
96.43.101[.]245
45.135.119[.]132
161.97.107[.]93
103.107.105[.]81
103.107.104[.]4
103.107.104[.]57
154.90.47[.]123
147.78.12[.]202


ショートカット (LNK) ファイル (SHA256)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MSCファイル (SHA256)
1cbf860e99dcd2594a9de3c616ee86c894d85145bc42e55f4fed3a31ef7c2292 (Meeting_Invitation.msc)
54549745868b27f5e533a99b3c10f29bc5504d01bd0792568f2ad1569625b1fd (240422 264-24 SOLO airfield surveys.msc)
8c9e1f17e82369d857e5bf3c41f0609b1e75fd5a4080634bc8ae7291ebe2186c (Meeting Invitation.msc)
d0c4eb52ea0041cab5d9e1aea17e0fe8a588879a03415f609b195cfbd69caafc (Meeting.msc)
ca0dfda9a329f5729b3ca07c6578b3b6560e7cfaeff8d988d1fe8c9ca6896da5 (Meeting invitation.msc)
6784b646378c650a86ba4fdd4baaaf608e5ecdf171c71bb7720f83965cc8c96f (Meeting.msc)
00619a5312d6957248bac777c44c0e9dd871950c6785830695c51184217a1437 (Pg 151 vv nghi le Quoc khanh 2.9.msc)
eae187a91f97838dbb327b684d6a954beee49f522a829a1b51c1621218039040 (BCTT 02.9 AM Final.docx.msc)
c1f27bed733c5bcf76d2e37e1f905d6c4e7abaeb0ea8975fca2d300c19c5e84f (ADSOM-Plus - Meeting Programme.msc)
397afb74746b2fe01abc63789412b38f44ceb234a278a04b85b2bb5b4e64cc8c (Meeting Invitation.msc)
49abaa2ba33af3ebde62af1979ed7a4429866f4f708e0d8e9cfffcfa7a279604 (Meeting Procedure.msc)
3e6772aca8bb8e71956349f1ea9fecda5d9b9cfa00f8cdbf846c169ab468a370 (Meeting request.msc)
f0aa5a27ea01362dce9ced3685961d599e1c9203eef171b76c855a3db41f1ec6 (Шуурхай мэдээ 2024-05-27 -.msc)
e81982e40ee5aaed85817343464d621179a311855ca7bcc514d70f47ed5a2c67 (Meeting Invitation.msc)


MSIファイル (SHA256)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 (Adobe-Setup.msi)
38b2852a8dfadac620351c7bea674c29cc5aa89d051fb7acfb8d550df00d4403
34e915d93b541471a9f7e747303f456732cd48c52e91ef268e32119ea8c433c0
507aa944d77806b3f24a3337729b52168808e8d469e5253cbf889cdaabb5254e
976ffe00ca06a4e3d2482815c2770086e7283025eeecad0a750001dedaa2d16a
2cd4fb94268ba063b1a5eea7fe87e794fecf46c0f56c2aaa81e8c9052bb4f5f2
c7ec098093eb08d2b36d1c37b928d716d8da021f93319a093808a7ceb3b35dc1
c2d259056163788dce3a98562bb3bcba3a57a23854104e58a8d0fe18200d690b
62adbe84f0f19e897df4e0573fc048272e0b537d5b34f811162b8526b9afaf32 (Adobe-Setup.msi)


DLLファイル (SHA256)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 (hid.dll)
1bde2b050117d7f27e55a71b4795476decace1850587a17d6cf6fd3fc030ff1a (hid.dll)
73451742de056d3d06f7c42904651439198df449115f7adb08601b8104bec6fb (hid.dll)
651c096cf7043a01d939dff9ba58e4d69f15b2244c71b43bedb4ada8c37e8859 (msi.dll)
f8c1a4c3060bc139d8ac9ad88d2632d40a96a87d58aba7862f35a396a18f42e5 (msi.dll)
288e79407daae7ae9483ef789d035d464cf878a611db453675ba1a2f6beb1a03 (FormDll.dll)
ee9c935adae0d830cdc0fccd12b19c32be4f15dffcf454a9d807016ce59ff9a9
c5aa22163eb302ef72c553015ae78f1efe79e0167acad10047b0b25844087205 (hid.dll)
1a37289c70c78697b85937ae4e1e8a4cebb7972c731aceaef2813e241217f009 (hid.dll)
49c32f39d420b836a2850401c134fece4946f440c535d4813362948c2de3996f (hid.dll)
83946986b28fd8d04d59bab994cd2dc48e83b9711a8f453d8364c2ad27ea0254 (hid.dll)
ade0b5cfedfa73252ec72deee7eb79e26380e2e50b47efcfe12350c9a255bb66 (hid.dll)
b63f51537957572c43c26fc8e9088361978ee901df4b8e67d48843c4fb7c027b (hid.dll)
557f04c6ab6f06e11032b25bd3989209de90de898d145b2d3a56e3c9f354d884


暗号化ペイロード (DAT) (SHA256)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 (NoteLogger.dat)
a5cd617434e8d0e8ae25b961830113cba7308c2f1ff274f09247de8ed74cac4f (NoteLogger.dat)
4ac2a633904b0da3ac471776ecbaded91e1f3a5107630fafde76868cace46051 (inkformDB.dat)
75e849cc96c573fdfe0233b4d9a79c17fb4c40f15c0b6c0d847c461a30f1cbe8
d188e877066f0932440d4cd8e8e2e856d7b92d40b475b7c0f0c996b34a2847a4 (LDevice.dat)
37c7bdac64e279dc421de8f8a364db1e9fd1dcca3a6c1d33df890c1da7573e9f (LDevice.dat)
6e07e37618f57ac1930865e175d49ef1bf85aa882ffbd30538f55f64d024085b (LDevice.dat)
58a73d445f6122c921092001b132460bb6c1601dc93ecfaabe5df2bf0fef84de (LDevice.dat)
9afddc7ff0a75975748e5dc7d81eee8cd32be79ca32edfebd151a376563e7d4b (LDevice.dat)
9333cc552193cfe9122515e3d7b210de317c297f1c09da5180b3a7f006d94fe4 (LDevice.dat)
3552708726f50ee949656e66a4a10da304bae088fa1b875bfab9e182b6ec97f7 (LDevice (3).dat)
5dae5254493df246c15e52fd246855a5d0a248f36925cecee141348112776275 (officeime.dat)


正規の実行可能ファイル (SHA256)
b9836265c6bfa17cd5e0265f32cedb1ced3b98e85990d000dc8e1298d5d25f93 (ONENOTEM.exe)
87d0abc1c305f7ce8e98dc86712f841dd491dfda1c1fba42a70d97a84c5a9c70 (inkform.exe)
d27c5d38c2f3e589105c797b6590116d3ec58ad0d2b998d2ea92af67b07c76b1 (ExcelRepairToolboxLauncher.exe)
282fc12e4f36b6e2558f5dd33320385f41e72d3a90d0d3777a31ef1ba40722d6 (LDeviceDetectionHelper.exe)
80a7ff01de553cb099452cb9fac5762caf96c0c3cd9c5ad229739da7f2a2ca72 (imecmnt.exe)


HTMLファイル (SHA256)
0b152012c1deab39c6ed7fe75a27168eaaec43ae025ee74d35c2fee2651b8902
0c7ee8667f48c50ea68c9ad02880f0ff141a3279bd000502038a3a187c7d1ede


ファイルパス
C:\Users\Admin\AppData\Local\GkyOpucv\
C:\Users\Public\SecurityScan\
C:\Users\Public\.vsCodes\
C:\ProgramData\.vscodes\
C:\Users\< USER >\AppData\Local\MUxPOTy\
C:\ProgramData\SamsungDriver\
C:\Users\Admin\AppData\Roaming\.inkform\inkformDB.dat
C:\Users\Admin\AppData\Roaming\VirtualFile\inkform.exe
C:\Users\Admin\AppData\Roaming\VirtualFile\FormDll.dll
C:\Users\Public\.inkform\inkformDB.dat
C:\Users\Public\Intelnet\FormDll.dll
C:\Users\Public\Intelnet\inkform.exe
C:\Users\Public\.inkform\inkformDB.dat
C:\Users\Public\SecurityScan\FormDll.dll
C:\Users\Public\SecurityScan\inkform.exe
C:\ProgramData\.inkform\inkformDB.dat
C:\ProgramData\Intelnet\FormDll.dll
C:\ProgramData\Intelnet\inkform.exe
C:\Users\Admin\.inkform\inkformDB.dat
C:\Users\Admin\SamsungDriver\inkform.exe
C:\Users\Admin\SamsungDriver\FormDll.dll



付録B — MITRE ATT&CK手法

戦術:手法 ATT&CKコード
リソース開発:インフラストラクチャの取得 — 仮想プライベートサーバー T1583.003
リソース開発:インフラストラクチャの取得 — ドメイン T1583.001
初期アクセス:フィッシング—スピアフィッシング添付ファイル T1566.001
初期アクセス:フィッシング-スピアフィッシングリンク T1566.002
実行:CUser実行 — 悪意のあるファイル T1204.002
実行:コマンドとスクリプトインタプリタ — PowerShell T1059.001
永続性:ブートまたはログオンの自動起動実行 — レジストリの実行キー/スタートアップフォルダ T1547.001
防御回避:実行フローのハイジャック — DLL検索順序ハイジャック T1574.001
防御回避:実行ガードレール — ジオフェンシング T1627.001
防御回避: ファイルまたは情報の難読化/デコード T1140
防御回避:システムバイナリプロキシ実行:MMC T1071.001
防御回避:システムバイナリプロキシ実行:Msiexec T1218.007
防御回避:なりすまし — 正規の名前または場所と一致 T1036.005
防御回避:なりすまし — 二重ファイル拡張子 T1036.007
検出:システム情報検出 T1082
コマンド&コントロール:暗号化チャネル - 対称暗号 T1573.001
コマンド・アンド・コントロール:データエンコーディング:標準エンコーディング T1132.001
コマンド&コントロール:Webサービス T1102


付録C — YARAおよびSigmaルール

YARAルールとSigmaルールについては、こちらのレポート全文でご覧いただけます。

関連

OSZAR »