DDOSECRETS.com’da ortaya çıkan önemli bir veri dökümü, Güney Kore ve Tayvan’daki kuruluşları hedefleyen bir tehdit aktörüne ait bir iş istasyonundan çıkarıldığı iddia ediliyor.
Eşlik eden bir makalede detaylandırılan sızıntı, etkinliği daha önce casusluk kampanyaları için siber güvenlik danışmanlarında vurgulanan sofistike bir aktör olan Kimuky olarak bilinen Kuzey Koreli ileri kalıcı tehdit (APT) grubuna bağlar.
Atıf doğrulanmamış ve en iyi özel tehdit istihbarat firmalarına bırakılırken, döküm, kullanılan operasyonel taktiklere, özellikle de tespitten kaçınmak için anonimleştirme altyapısının kullanımı hakkında değerli bilgiler sağlar.
Proxy ve VPN hizmetlerini tanımlama konusunda uzmanlaşmış bir firma olan Spur, bir anahtar IP adresine 156.59.13[.]153 sızıntıdan bahsedildi.
Bu IP, ortak ad *.Appletls içeren bir SSL sertifikası ile ilişkilendirildi[.]com, standart olmayan bağlantı noktası 4012’de servis edilir, A26C0E8B1491EDA727fd88b629ce886666387ef5 SHA1 karma ile servis edilir.
Bu parmak izinden dönme, ağırlıklı olarak Çin’de bulunan ancak küresel veri merkezi sağlayıcılarına dağılmış olan ve genellikle 40xx aralığındaki limanları dinleyen aynı sertifikayı sergileyen 1000’den fazla benzer IP adresi ortaya çıkardı.
Bu model, geçici altyapı yerine yapılandırılmış, potansiyel olarak ticari bir proxy ağı önerdi ve APT kampanyaları için kökenleri ve etkileri hakkında daha derin bir araştırma başlattı.
Teknik analiz
Daha fazla analiz, altyapının HTTPS trafiğini taklit etmek ve Çin’in Büyük Güvenlik Duvarı’nı (GFW) atlamak için tasarlanmış bir gizleme tekniği olan Trojan Proxy protokolü ile uyumlu olduğunu gösterdi.
GitHub aramaları, açılan yapılandırma dizeleri Ganode gibi alan adlarına referans alan açık kaynaklı zeka (OSINT) çabaları[.]org, Truva URL formatlarını eşleştiren: Trojan: //
Bu dizeler, etki alanı önleme için SNI geçersiz kılmalar (örneğin, SNI = ana bilgisayar adı) gibi parametreleri, TLS doğrulamasını atlamak için bayrakları içererek, Appletls’e karşı doğrulama sırasında ön uç alanlarına güvenli bağlantıların sağlanmasını sağlar.[.]com sertifikaları.
Ganode üzerinde döner[.]ORG, daha sonra istikrarlı, GFW-EVADING vekilleri için katmanlı abonelikler sunan bir Çin VPN servis sağlayıcısı olan WgetCloud olarak yeniden markalanan Gacloud’un referanslarına yol açtı.
Doğrulama, WgetCloud’da bir hesap oluşturmayı, Çince dil arayüzünde gezinmeyi ve WeChat, Alipay veya TRC20 kripto para birimi aracılığıyla 30 gün boyunca 8 ila 12 $ arasında bir abonelik satın almayı içeriyordu.
Bu, TXRAY (Xray Core üzerine inşa edilmiş) gibi Trojan istemcileriyle uyumlu olan Düğüm Yapılandırmaları içeren Base64 kodlu bir abonelik URL’sine erişim sağladı.
Bu düğümleri OpenSSL gibi araçlarla incelemek, sızdırılan IP’yi doğrudan WgetCloud’un altyapısına bağlayan IP’lerde hem giriş hem de çıkış IP’lerinde özdeş SSL sertifikasının varlığını doğruladı.
Hizmet, Çin, Singapur, ABD, Almanya, Avustralya ve Rusya gibi ülkeler arasında yaklaşık 1.700 düğüme sahiptir ve saldırı zincirlerinde coğrafi çeşitlilik arayan aktörlere çekiciliğini vurgulamaktadır.
Tehdit istihbaratı için çıkarımlar
Bu vaka, potansiyel olarak Kimuky gibi devlet destekli aktörleri de dahil olmak üzere uygun grupların, ticari proxy hizmetlerini kötü niyetli trafiği meşru anonimleştirme araçlarıyla harmanlamak için operasyonlarına nasıl entegre ettiğini, ilişkilendirmeyi ve tespiti karmaşıklaştırmayı nasıl örneklendirir.
Tehdit oyuncusu doğrudan abone olsun veya ikincil yollarla alınan düğümler olup olmadığı belirsizliğini koruyor, ancak bu tür hizmetlerin siber casusluk risklerinin altını çiziyor.
Spur, o zamandan beri, Monocle Platformu, Bağlam API’sı ve veri feed’leri de dahil olmak üzere ürünleri içinde tanımlanan tüm WgetCloud düğümlerini WgetCloud_Proxy olarak sınıflandırmış ve müşterilerin bu kaynaklardan trafiği işaretlemelerini ve azaltmalarını sağlar.
Bu, güvenlik açığı sömürüsü, fidye yazılımı ve endüstriyel kontrol sistemi hedeflemesini içeren kampanyalarda genellikle sömürülen Çin-orijin vekillerindeki tehdit istihbaratını geliştirir.
Trojan Evolve gibi proxy protokolleri olarak, savunucular IP ilişkilendirme tekniklerine öncelik vermeli, teknik parmak izini (örn. Sertifika karma ve bağlantı noktası taraması) OSINT ile gizlenmiş altyapı maskelendirmek ve sonuçta kalıcı tehditlere karşı savunmaları güçlendirmelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!