Sumário executivo
A Unidade 42 identificou infraestrutura chinesa maliciosa de APT disfarçada de serviços de backup em nuvem. Monitorando a telemetria associada a dois importantes grupos chineses de APT, observamos conexões de rede predominantemente originárias do país do Camboja, incluindo conexões de entrada originárias de pelo menos 24 organizações governamentais cambojanas.
Avaliamos com grande confiança que estas entidades governamentais cambojanas foram alvo e continuam comprometidas pelos intervenientes chineses do APT. Esta avaliação deve-se à natureza maliciosa e à propriedade da infraestrutura, combinada com ligações persistentes durante um período de vários meses.
O Camboja e a China mantêm fortes laços diplomáticos e económicos. Desde que o Camboja aderiu à Iniciativa Cinturão e Rota (BRI) da China em 2013, a relação entre estes dois países tem crescido de forma constante.
Nos últimos anos, o investimento mais notável da China tem sido um projecto para modernizar a Base Naval de Ream, no Camboja. Este projeto gerou polêmica e atraiu o escrutínio de vários países ocidentais devido às tentativas iniciais de ambos os países para ocultar o projeto.
À medida que o projecto se aproxima da conclusão este ano, a base naval está a caminho de se tornar o primeiro posto avançado da China no Sudeste Asiático. Como tal, este projecto demonstra a importância do Camboja para as ambições da China de projectar poder e expandir as operações navais na região.
Os clientes da Palo Alto Networks recebem proteção contra essa infraestrutura maliciosa por meio de nosso firewall de última geração com serviços de segurança entregues na nuvem, incluindo segurança de DNS e filtragem avançada de URL.
| Tópicos Relacionados da Unidade 42 | China, APAC, APT |
Índice
Visão geral da infraestrutura Alvos
suspeitos do governo cambojano
Comando e controle Ator de infraestrutura
Padrão de vida
Conclusão
Proteções e mitigações
Indicadores de comprometimento
Domínios
Infraestrutura Endereços IP
Certificado SSL Impressão digital SHA-1
Visão geral da infraestrutura
A Unidade 42 identificou a infraestrutura associada ao seguinte certificado SSL malicioso conhecido:
| Nome Completo do Assunto | C=US,ST=Some-State,O=Internet Widgits Pty Ltd,CN=10.200.206.100 |
| Nome Completo do Emissor | C=US,ST=Some-State,O=Internet Widgits Pty Ltd,CN=COMM |
| Número de série | 15007560845348164646 |
| Hash SHA1 | B8CFF709950CFA86665363D9553532DB9922265C |
| Válido de | 2017-11-23 |
| Valido para | 2027-11-21 |
Tabela 1. Visão geral do certificado SSL.
Mais recentemente, este certificado foi usado por servidores em seis endereços IP direcionados ao alvo. Cada um desses servidores hospeda vários subdomínios associados a seis domínios.
Com base em seus nomes, vários desses domínios parecem se disfarçar como serviços de armazenamento em nuvem. Esse disfarce provavelmente confere uma sensação de legitimidade à quantidade incomum de tráfego durante períodos de altos níveis de atividade do ator, como a exfiltração de dados da rede da vítima.
A Figura 1 fornece uma visualização da infraestrutura maliciosa.
Supostos alvos do governo cambojano
Observámos um total de 24 organizações governamentais cambojanas a comunicar regularmente com esta infraestrutura entre setembro e outubro de 2023. Várias destas organizações prestam serviços críticos nas seguintes indústrias:
- Defesa nacional
- Supervisão eleitoral
- Direitos humanos
- Tesouro nacional e finanças
- Comércio
- Política
- Recursos naturais
- Telecomunicações
Todos esses alvos contêm grandes quantidades de dados confidenciais, incluindo os seguintes:
- Dados financeiros
- Informações pessoalmente identificáveis dos cidadãos
- Informações governamentais confidenciais
Avaliamos que estas organizações são provavelmente alvos de atividades de ciberespionagem de longo prazo que aproveitaram esta infraestrutura para acesso persistente a redes governamentais de interesse.
Infraestrutura de Comando e Controle
Avaliamos com alta confiança que os endereços IP direcionados ao alvo estão sendo usados como infraestrutura de comando e controle (C2) pelo ator da ameaça. Acreditamos que a infraestrutura esteja executando o honeypot Cowrie na porta 2222. Os invasores provavelmente estão usando esse honeypot como disfarce para enganar os defensores da rede e pesquisadores que investigam atividades anômalas.
Também observamos filtragem de IP nesta infraestrutura. Especificamente, observamos o bloqueio de conexões do seguinte:
- Intervalos IP conhecidos da Palo Alto Networks
- Alguns provedores de VPS e hospedagem em nuvem
- IP varia de várias grandes empresas de tecnologia e outras empresas de segurança cibernética
Acreditamos que esse ator de ameaça esteja filtrando conexões com a infraestrutura maliciosa para minimizar o risco de os C2s serem perfilados por scanners IP ou identificados por pesquisadores de segurança cibernética.
Também observamos portas C2 abertas durante os períodos de atividade do agente da ameaça e fechadas em todos os outros momentos. Mais uma vez, é provável que isto minimize o risco de a infraestrutura ser traçada por scanners IP ou identificada por investigadores.
A Tabela 2 descreve o ator conhecido e as portas voltadas para o alvo.
| Endereço de IP | Porta alvo | Domínio(s) |
| 165.232.186[.]197 | 80, 443, 4433 | api.infinitycloud[.]informações
connect.infinitycloud[.]informações ns.infinitycloud[.]informações |
| 167.71.226[.]171 | 80, 81, 82, 443, 769, 4433, 8086, 8089 | arquivo.wonderbackup[.]com
connect.infinitybackup[.]net compartilhar.infinitybackup[.]net sincronizar.wonderbackup[.]com |
| 104.248.153[.]204 | 82, 443 | update.wonderbackup[.]com
login.wonderbackup[.]com ns1.infinitybackup[.]net |
| 143.110.189[.]141 | 443 | mfi.teleryanhart[.]com
ads.teleryanhart[.]com |
| 172.105.34[.]34 | 8081, 8087, 8443, 8888 | site jlp.ammopak[.]
site kwe.ammopak[.] lxo.ammopak[.]site dfg.ammopak[.]site site fwg.ammopak[.] |
| 194.195.114[.]199 | 8080, 8443, 9200 | connect.clinkvl[.]com |
Tabela 2. Detalhes da infraestrutura voltada para o alvo.
Padrão de vida do ator
Ao investigar o conjunto de infraestruturas, conseguimos determinar o padrão de vida do ator. Observamos predominantemente a atividade do ator entre 8h30 e 17h30 UTC +08h00 (Horário Padrão da China) durante a semana (segunda a sexta). Esse padrão pode indicar que o ator está tentando evitar a detecção misturando-se ao horário comercial normal do Camboja, que é UTC +07:00.
No entanto, também observámos uma mudança significativa na atividade do ator, o que sugere que o ator está baseado na China e trabalha em horário comercial regular na China.
Essa mudança no padrão de vida do ator ocorreu entre 29 de setembro e 8 de outubro de 2023. A atividade do ator cessou em 29 de setembro, com pouca atividade durante a semana de 2 a 8 de outubro, incluindo o fim de semana de 7 de outubro. -8. Vimos a atividade dos atores retornar aos níveis e padrões regulares a partir de 9 de outubro.
As datas das mudanças nas atividades do ator estão alinhadas com a Semana Dourada da China, realizada de 29 de setembro a 6 de outubro de 2023, e os “Dias Úteis Especiais”, designados como 7 a 8 de outubro de 2023. Os Dias Úteis Especiais são determinados pelo governo chinês. dias úteis para compensar o feriado prolongado.
A Figura 2 mostra o padrão de atividade regular e o desvio durante a Golden Week, antes de retornar ao normal.
Conclusão
A Unidade 42 identificou atividades chinesas associadas à APT visando o Camboja, incluindo mais de 20 organizações governamentais cambojanas em uma série de indústrias-chave. Acredita-se que esta atividade faça parte de uma campanha de espionagem de longo prazo.
A actividade observada alinha-se com os objectivos geopolíticos do governo chinês, uma vez que procura alavancar as suas fortes relações com o Camboja para projectar o seu poder e expandir as suas operações navais na região. Encorajamos todas as organizações a aproveitar as nossas descobertas para informar a implementação de medidas de proteção para se defenderem contra esta atividade.
Recomendações de proteção
Para se defender contra as ameaças descritas neste blog, a Palo Alto Networks recomenda que as organizações empreguem os seguintes recursos:
- Segurança de rede: fornecida por meio de um firewall de última geração (NGFW) configurado com aprendizado de máquina habilitado e serviços de segurança fornecidos na nuvem. Isso inclui prevenção de ameaças, filtragem de URL, segurança de DNS e um mecanismo de prevenção de malware capaz de identificar e bloquear amostras e infraestrutura maliciosas.
- Automação de segurança: entregue por meio de uma solução Cortex XSOAR ou XSIAM capaz de fornecer aos analistas SOC uma compreensão abrangente da ameaça derivada da união de dados obtidos de endpoints, rede, nuvem e sistemas de identidade.
- Segurança de contêineres: Fornecida por meio dos recursos avançados de segurança de contêineres Prisma Cloud da Palo Alto Networks para ambientes de tempo de execução de contêineres para garantir a detecção e prevenção de executáveis maliciosos conhecidos. A filtragem avançada de URL bloqueia IoCs maliciosos relacionados a esta operação. A integração do WildFire para serviço de análise de malware fornecido na nuvem identifica com precisão amostras conhecidas como maliciosas.
Proteções e Mitigações
Os clientes da Palo Alto Networks recebem proteção contra as ameaças discutidas acima através dos seguintes produtos:
- A filtragem avançada de URL bloqueia solicitações da Web para URLs maliciosos
- A segurança DNS evita efetivamente a resolução de nomes de host C2
- O Container Runtime Inspection evita solicitações de DNS de processos maliciosos
Se você acha que pode ter sido comprometido ou tem um assunto urgente, entre em contato com a equipe de Resposta a Incidentes da Unidade 42 ou ligue:
- Ligação gratuita para América do Norte: 866.486.4842 (866.4.UNIT42)
- EMEA: +31.20.299.3130
- APAC: +65.6983.8730
- Japão: +81.50.1790.0200
A Palo Alto Networks compartilhou essas descobertas com nossos colegas membros da Cyber Threat Alliance (CTA). Os membros do CTA utilizam esta inteligência para implementar rapidamente proteções aos seus clientes e para interromper sistematicamente agentes cibernéticos maliciosos. Saiba mais sobre a Aliança contra Ameaças Cibernéticas.
Indicadores de compromisso
Domínios
- api.infinitycloud[.]informações
- connect.infinitycloud[.]informações
- ns.infinitycloud[.]informações
- connect.infinitybackup[.]net
- ns1.infinitybackup[.]net
- compartilhar.infinitybackup[.]net
- arquivo.wonderbackup[.]com
- login.wonderbackup[.]com
- sincronizar.wonderbackup[.]com
- update.wonderbackup[.]com
- ads.teleryanhart[.]com
- mfi.teleryanhart[.]com
- dfg.ammopak[.]site
- site fwg.ammopak[.]
- site jlp.ammopak[.]
- site kwe.ammopak[.]
- lxo.ammopak[.]site
- connect.clinkvl[.]com
Endereços IP de infraestrutura
- 165.232.186[.]197
- 167.71.226[.]171
- 104.248.153[.]204
- 143.110.189[.]141
- 172.105.34[.]34
- 194.195.114[.]199
Certificado SSL SHA-1 Impressão Digital
- B8CFF709950CFA86665363D9553532DB9922265C
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
