Çin APT Altyapısı Bulut Yedekleme Hizmetlerini Taklit Ediyor

   Kasım 11, 2023  Posted in GBHackers


Kamboçya devlet kurumlarının Çinli APT aktörleri tarafından hedef alındığı ve tehlikeye atıldığı ortaya çıktı.

Tehdit aktörleri altyapıyı bulut yedekleme hizmeti gibi görünmek için kullanıyor. Altyapı aynı zamanda birçok kötü amaçlı yapı ve kalıcı bağlantı da sergiliyor.

Çin yakın zamanda, başlangıçta her iki ülke tarafından da durdurulan Kamboçya’nın Ream Donanma üssünü modernize etme projesine yatırım yaptı. Bu durum Batılı milletler arasında tartışma yarattı.

Çin APT Bulut Yedeklemeyi Taklit Ediyor

Kötü amaçlı bir SSL sertifikasının, her biri altı alanla bağlantılı çeşitli ana bilgisayar alan adlarına sahip olan altı karşılıklı IP adresi tarafından kullanıldığı tespit edildi.

Alan adları daha ayrıntılı analiz edildiğinde, bunların bulut depolama hizmetleri kılığına girdiği tespit edildi.

Bu alan adları, adlarına bir meşruiyet duygusu sağladığından, kurban ağından veri sızdırma gibi yüksek düzeydeki faaliyetler sırasında olağandışı miktarda trafik çekerler.

Kaynak: Palo Alto Birim 42
Kaynak: Palo Alto Birim 42

Eylül ve Ekim 2023 arasında yaklaşık 24 Kamboçya devlet kuruluşunun bu altyapıyla düzenli olarak iletişim kurduğu tespit edildi.

Belge

Depolamanızı SafeGuard ile Koruyun

StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.

Bu kuruluşlar, Ulusal Savunma, Seçim denetimi, İnsan hakları, Ulusal hazine ve finans, Ticaret, Politika, Doğal kaynaklar ve Telekomünikasyon gibi kritik hizmetleri sağlar.

Çin’de Altın Hafta

Altyapının daha ayrıntılı incelenmesinde, tehdit aktörünün faaliyetlerini Hafta içi (Pazartesi’den Cuma’ya) 8:30 ile 17:30 UTC +08:00 (Çin Standart Saati) arasında gerçekleştirdiği tespit edildi. Ayrıca tehdit aktörünün Kamboçya’daki çalışma saatlerine uyum sağlamaya çalıştığına dair şüpheler de mevcut.

Ancak tehdit aktörünün 29 Eylül ile 8 Ekim 2023 tarihleri ​​arasındaki faaliyetleri, tehdit aktörünün Çin merkezli olduğunu doğruladı.

Çin’in Altın Haftası 29 Eylül’de başlayıp 6 Ekim 2023’te sona eriyor. 7 ve 8 Ekim tarihleri ​​ise “Özel Çalışma Günleri” olarak belirleniyor. Tehdit aktörünün 2-8 Ekim haftası boyunca düşük aktivite gösterdiği bu günler şüpheyi doğruladı.

Kaynak: Palo Alto Birim 42
Kaynak: Palo Alto Birim 42

Tehdit aktörlerinin faaliyetleri hakkında, uzlaşma, Kamboçya hükümet kurumları ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.

Uzlaşma Göstergeleri

Alanlar

  • api.infinitycloud[.]bilgi
  • connect.infinitycloud[.]bilgi
  • ns.sonsuzluk bulutu[.]bilgi
  • connect.infinitybackup[.]açık
  • ns1.infinitybackup[.]açık
  • paylaşım.infinitybackup[.]açık
  • dosya.wonderbackup[.]iletişim
  • giriş.wonderbackup[.]iletişim
  • senkronizasyon.wonderbackup[.]iletişim
  • güncelleme.wonderbackup[.]iletişim
  • ads.teleryanhart[.]iletişim
  • mfi.teleryanhart[.]iletişim
  • dfg.ammopak[.]alan
  • fwg.ammopak[.]alan
  • jlp.ammopak[.]alan
  • of.ammopak[.]alan
  • lxo.ammopak[.]alan
  • connect.clinkvl[.]iletişim

Altyapı IP Adresleri

  • 165.232.186[.]197
  • 167.71.226[.]171
  • 104.248.153[.]204
  • 143.110.189[.]141
  • 172.105.34[.]34
  • 194.195.114[.]199

SSL Sertifikası SHA-1 Parmak İzi

  • B8CFF709950CFA86665363D9553532DB9922265C

StorageGuard ile depolama ve yedekleme sistemlerinizi korur – 40 saniyelik Video Turunu izleyin.



Source link