Um despejo de dados significativo surgiu em ddosecrets.com, supostamente extraído de uma estação de trabalho pertencente a um ator de ameaças que visava organizações na Coréia do Sul e Taiwan.
O vazamento, detalhado em um artigo que o acompanha, atribui a atividade ao grupo de ameaças persistentes avançadas norte -coreanas (APT), conhecido como Kimsuky, um ator sofisticado anteriormente destacado nos avisos de segurança cibernética para suas campanhas de espionagem.
Embora a atribuição permaneça não verificada e seja melhor deixada para empresas especializadas de inteligência de ameaças, o dump fornece informações valiosas sobre as táticas operacionais empregadas, particularmente o uso de infraestrutura anonimizada para Evade de detecção.
Spur, uma empresa especializada na identificação de serviços de procuração e VPN, foi alertada para um endereço IP chave 156.59.13[.]153 mencionado no vazamento.
Este IP foi associado a um certificado SSL com o nome comum *.Appletls[.]com, servido na porta 4012 não padrão, com um hash sha1 de A26C0E8B1491EDA727FD88B629CE886666387EF5.
O giratório dessa impressão digital revelou mais de 1.000 endereços IP semelhantes exibindo o mesmo certificado, predominantemente localizados na China, mas espalhados por provedores globais de datacenter, geralmente ouvindo portas na faixa 40xx.
Esse padrão sugeriu uma rede de proxy estruturada e potencialmente comercial em vez de infraestrutura ad-hoc, provocando uma investigação mais profunda sobre suas origens e implicações para campanhas APT.
Análise técnica
Análises adicionais indicaram que a infraestrutura alinha ao Protocolo de Proxy de Trojan, uma técnica de ofuscação projetada para imitar o tráfego HTTPS e ignorar o grande firewall da China (GFW).
Esforços de inteligência de código aberto (OSINT), incluindo pesquisas do GitHub, seqüências de configuração descobertas que referenciam domínios como Ganode[.]Org, que combinava com os formatos de URL de trojan: Trojan: //@:?#.
Essas seqüências incluíram parâmetros como substituições de sni (por exemplo, sni = nome do host) para o domínio de frente e permitir que as bandeiras superenham a verificação do TLS, permitindo conexões seguras para domínios de front -end enquanto valiam contra os appletls[.]com certificados.
Girando no ganode[.]Org levou a referências do Gacloud, posteriormente renomeado como o WGetCloud, um provedor de serviços da VPN chinês que oferece assinaturas em camadas para proxies estáveis e que evitam GFW.
A verificação envolveu a criação de uma conta no WGETCLOUD, navegando em sua interface em língua chinesa e comprando uma assinatura que varia de US $ 8 a US $ 12 por 30 dias via WeChat, Alipay ou TRC20 Cryptocurrency.
Isso concedeu acesso a uma URL de assinatura codificada por Base64, contendo configurações de nó, compatíveis com clientes de Trojan como o TXRAY (construído no Xray Core).
Inspecionar esses nós com ferramentas como o OpenSSL confirmou a presença do certificado SSL idêntico na entrada e na saída IPS, vinculando diretamente o IP vazado à infraestrutura do WgetCloud.
O serviço possui cerca de 1.700 nós em países, incluindo China, Cingapura, EUA, Alemanha, Austrália e Rússia, destacando seu apelo aos atores que buscam diversidade geográfica em Correntes de ataque.
Implicações para inteligência de ameaças
Este caso exemplifica como os grupos apt, potencialmente incluindo atores patrocinados pelo Estado, como Kimsuky, integram serviços de procuração comercial em suas operações para misturar tráfego malicioso com ferramentas legítimas de anonimato, complicando atribuição e detecção.
Se o ator de ameaças se inscreveu diretamente ou obtido por meios secundários permanece incerta, mas ressalta os riscos de tais serviços na espionagem cibernética.
Spur já classificou tudo identificado Os nós do WGETCLOUD como WGETCLOUD_PROXY em seus produtos, incluindo a plataforma de monóculo, API de contexto e feeds de dados, permitindo que os clientes sinalizem e mitigem o tráfego dessas fontes.
Isso aprimora a inteligência de ameaças sobre proxies de origem chinesa, muitas vezes explorados em campanhas que envolvem a exploração de vulnerabilidades, ransomware e direcionamento do sistema de controle industrial.
Como protocolos de proxy como a Trojan evoluem, os defensores devem priorizar as técnicas de atribuição de IP, combinando impressões digitais técnicas (por exemplo, hash de certificado e varredura de portas) com a OSINT para desmascarar a infraestrutura ofusca, finalmente fortalecendo as defesas contra ameaças persistentes.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!