Kamboçya devlet kurumlarının Çinli APT aktörleri tarafından hedef alındığı ve tehlikeye atıldığı ortaya çıktı.
Tehdit aktörleri altyapıyı bulut yedekleme hizmeti gibi görünmek için kullanıyor. Altyapı aynı zamanda birçok kötü amaçlı yapı ve kalıcı bağlantı da sergiliyor.
Çin yakın zamanda, başlangıçta her iki ülke tarafından da durdurulan Kamboçya’nın Ream Donanma üssünü modernize etme projesine yatırım yaptı. Bu durum Batılı milletler arasında tartışma yarattı.
Çin APT Bulut Yedeklemeyi Taklit Ediyor
Kötü amaçlı bir SSL sertifikasının, her biri altı alanla bağlantılı çeşitli ana bilgisayar alan adlarına sahip olan altı karşılıklı IP adresi tarafından kullanıldığı tespit edildi.
Alan adları daha ayrıntılı analiz edildiğinde, bunların bulut depolama hizmetleri kılığına girdiği tespit edildi.
Bu alan adları, adlarına bir meşruiyet duygusu sağladığından, kurban ağından veri sızdırma gibi yüksek düzeydeki faaliyetler sırasında olağandışı miktarda trafik çekerler.
Eylül ve Ekim 2023 arasında yaklaşık 24 Kamboçya devlet kuruluşunun bu altyapıyla düzenli olarak iletişim kurduğu tespit edildi.
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
Bu kuruluşlar, Ulusal Savunma, Seçim denetimi, İnsan hakları, Ulusal hazine ve finans, Ticaret, Politika, Doğal kaynaklar ve Telekomünikasyon gibi kritik hizmetleri sağlar.
Çin’de Altın Hafta
Altyapının daha ayrıntılı incelenmesinde, tehdit aktörünün faaliyetlerini Hafta içi (Pazartesi’den Cuma’ya) 8:30 ile 17:30 UTC +08:00 (Çin Standart Saati) arasında gerçekleştirdiği tespit edildi. Ayrıca tehdit aktörünün Kamboçya’daki çalışma saatlerine uyum sağlamaya çalıştığına dair şüpheler de mevcut.
Ancak tehdit aktörünün 29 Eylül ile 8 Ekim 2023 tarihleri arasındaki faaliyetleri, tehdit aktörünün Çin merkezli olduğunu doğruladı.
Çin’in Altın Haftası 29 Eylül’de başlayıp 6 Ekim 2023’te sona eriyor. 7 ve 8 Ekim tarihleri ise “Özel Çalışma Günleri” olarak belirleniyor. Tehdit aktörünün 2-8 Ekim haftası boyunca düşük aktivite gösterdiği bu günler şüpheyi doğruladı.
Tehdit aktörlerinin faaliyetleri hakkında, uzlaşma, Kamboçya hükümet kurumları ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
Uzlaşma Göstergeleri
Alanlar
- api.infinitycloud[.]bilgi
- connect.infinitycloud[.]bilgi
- ns.sonsuzluk bulutu[.]bilgi
- connect.infinitybackup[.]açık
- ns1.infinitybackup[.]açık
- paylaşım.infinitybackup[.]açık
- dosya.wonderbackup[.]iletişim
- giriş.wonderbackup[.]iletişim
- senkronizasyon.wonderbackup[.]iletişim
- güncelleme.wonderbackup[.]iletişim
- ads.teleryanhart[.]iletişim
- mfi.teleryanhart[.]iletişim
- dfg.ammopak[.]alan
- fwg.ammopak[.]alan
- jlp.ammopak[.]alan
- of.ammopak[.]alan
- lxo.ammopak[.]alan
- connect.clinkvl[.]iletişim
Altyapı IP Adresleri
- 165.232.186[.]197
- 167.71.226[.]171
- 104.248.153[.]204
- 143.110.189[.]141
- 172.105.34[.]34
- 194.195.114[.]199
SSL Sertifikası SHA-1 Parmak İzi
- B8CFF709950CFA86665363D9553532DB9922265C
StorageGuard ile depolama ve yedekleme sistemlerinizi korur – 40 saniyelik Video Turunu izleyin.