Yakın tarihli bir teknik soruşturmada, araştırmacılar “Redgolf” olarak adlandırılan şüpheli bir Çin devlet destekli siber aktörle bağlantılı altyapı hakkında eleştirel bilgileri ortaya çıkardılar.
APT41, baryum veya Earth Bakü olarak da bilinen grup, Mart 2023’te kaydedilen Future’s Inker grubunun bir raporunun ardından dikkat çekti.
Araştırmaları, 2014’ün ortası İtalyan örgütlerine yönelik saldırılarla ilişkili altyapı da dahil olmak üzere daha yeni kampanyalara önemli bağlantılar ortaya koydu.
Analizin merkezinde, devam eden faaliyete bağlı benzersiz tanımlayıcılar ve operasyonel kalıplar sağlayan tarihsel taşıma katmanı güvenliği (TLS) sertifikalarının kullanılması bulunmaktadır.
TLS Sertifika İçgörüleri
Ghostwolf altyapısının incelenmesi, INSIKT Grubu’nun IOC veri kümesine göre tehdit oyuncusuna bağlı 39 IP adresinin ayrıntılı bir analiziyle başladı.
Kritik bir keşif, Wolfssl Kütüphanesi’nden, gömülü sistemlerde ve güvenli iletişimde yaygın olarak kullanılan açık kaynaklı bir SSL/TLS kütüphanesi sertifikalarını içeriyordu.
Belirlenen anahtar anomali, bu sertifikalarda Organizasyon Birimi (OU) alanının değiştirilmesiydi.
Meşru örnek sertifikalarda “Consulting_1024” kullanılırken, kötü amaçlı sertifikalar bunu “Destek_1024” olarak değiştirdi ve etkili bir TLS parmak izi oluşturdu.
Ayrıca, araştırmacılar bu sertifikanın SHA-256 karma ile ilişkili 122 IP adresini ortaya çıkarmak için Hunt SSL geçmiş aracını kullandılar.
JA3 TLS parmak izi yönteminin gelişmiş bir uzantısı olan JA4X parmak izi kullanan daha derin bir arıtma, sonuçları benzer bir konfigürasyonu paylaşan 41 benzersiz IP’ye daralttı.
TLS parmak izlerinden ve sertifika analizinden yararlanmak
Araştırmacılar, anormal OU alanı, sertifika SHA-256 karma ve JA4X parmak izi dahil olmak üzere birçok benzersiz göstergeyi birleştirerek, Ghostwolf’a bağlı hala aktif altyapıyı tanımlamak için gelişmiş arama sorguları hazırladılar.
Hunt’ın gelişmiş arama gibi araçları kullanarak, tutarlı özellikler sergileyen altı aktif IP adresini tespit ettiler.
Bu sunucular, öncelikle HTTPS (bağlantı noktası 443) veya 8443 gibi alternatif bağlantı noktaları üzerinde çalışan koordineli davranış göstermiştir.
Temel gözlemler arasında barındırma sağlayıcılarının coğrafyalarda (örneğin, Constant Company, LLC ve Nebula Global LLC) yeniden kullanımı vardı.
Yoroi’nin APT41 saldırıları hakkındaki raporu da dahil olmak üzere, üst üste binen IP aralıkları gibi anormallikler, operasyonlardaki süreklilik şüphelerine ağırlık ekledi.
Müfettişler ayrıca Ghostwolf sertifikasının şüpheli bir varyantını barındıran bir sunucu tespit ettiler.
Bu sunucunun sertifikası meşru Wolfssl örneklerine benziyordu, ancak Destek_1024 altyapısıyla yakından eşleşen zaman damgaları sergiledi.
Redgolf’a kesin bir ilişkilendirme zor olmasına rağmen, coğrafi konumu ve barındırma sağlayıcısı daha önce bildirilen komut ve kontrol işlemleriyle hizalanıyor.
Bu analiz, Redgolf/APT41 gibi tehdit aktörlerinin kalıcılığının altını çizmektedir.
Değiştirilmiş sertifikaları, tutarlı barındırma sağlayıcılarını ve yakından atanmış IP aralıklarını kullanmaları, algılamadan kaçınırken altyapı uzun ömürlülüğünü korumak için kasıtlı bir çabayı göstermektedir.
Bulgular, TLS sertifikası analizinin ve gelişmiş tehdit aktörlerinin tespitinde ve izlenmesinde ileri parmak izi tekniklerinin kritik rolünü vurgulamaktadır.
Tutarlı altyapı kurulumlarıyla birleştiğinde, ince sertifika değişikliklerinin yeniden kullanılması, savunucuların uyanık kalması gerektiğini göstermektedir.
Değiştirilmiş organizasyonel birimler (örn. Destek_1024) veya beklenmedik sayı tarihleri gibi olağandışı alanlar için TLS sertifikalarını düzenli olarak analiz edin.
Kötü niyetli sunucu yapılandırmalarını iyi huylu trafikten algılamak ve izole etmek için JA4+gibi gelişmiş parmak izi aletlerinden yararlanın.
Bu önlemleri benimseyerek, savunucular düşman faaliyetlerini daha iyi tahmin edebilir, riskleri azaltabilir ve genel ağ güvenlik duruşunu artırabilir.
Ghostwolf altyapısına ilişkin soruşturma, kararlı devlet destekli siber tehditlerle mücadelede kalıcı izleme ve tarihsel veri analizinin önemini göstermektedir.