RedGolf APT IOCs

Группа Insikt компании Recorded Future выявила большой кластер новой операционной инфраструктуры связанных с использованием пользовательского бэкдора KEYPLUG для Windows и Linux. Мы связываем эту деятельность с группе угроз, отслеживаемой как RedGolf, которая с высокой вероятностью является китайской государственной группой.

RedGolf тесно пересекается с угрозами, о которых сообщается в открытых источниках под псевдонимами APT41/BARIUM и, вероятно, осуществляла спонсируемую государством шпионскую деятельность параллельно с финансово мотивированными операции с целью получения личной выгоды, по крайней мере, с 2014 года.

Indicators of Compromise

IPv4

• 103.226.155.96
• 103.255.45.23
• 103.255.45.24
• 103.43.10.182
• 103.44.22.56
• 106.52.144.29
• 106.52.174.66
• 116.204.211.35
• 116.204.211.59
• 116.204.211.62
• 116.204.211.68
• 119.8.100.209
• 124.248.202.122
• 13.250.182.175
• 137.220.178.43
• 139.59.116.0
• 154.215.115.107
• 156.232.2.100
• 16.162.24.214
• 18.143.183.217
• 18.163.182.3
• 192.51.188.100
• 193.200.149.195
• 193.239.154.221
• 193.239.154.44
• 202.182.121.16
• 202.79.173.211
• 202.79.173.220
• 202.79.173.228
• 23.133.5.48
• 23.225.199.162
• 23.225.199.164
• 23.225.199.165
• 27.102.114.105
• 27.124.37.62
• 27.124.37.63
• 27.124.37.65
• 3.1.206.135
• 36.255.220.179
• 39.106.32.186
• 43.229.155.38
• 43.229.155.39
• 43.229.155.40
• 43.229.155.41
• 43.229.155.42
• 45.197.133.12
• 45.76.178.177
• 45.77.38.191
• 54.90.33.207
• 8.209.255.168
• 8.218.156.56

Domains

• a.linuxupdate.info
• adobe-cdn.org
• aejava.ddns.net
• aejva.ddns.net
• akamaixed.net
• aone.ddns.net
• back.rooter.tk
• box.xxe.pw
• cdn.google-au.ga
• chrome.down-flash.com
• cloudat.ddns.net
• cloudcat.ddns.net
• dash.tcplog.com
• dl-flash.tk
• dns.xxe.pw
• down.xxe.pw
• down1.linuxupdate.info
• down2.linuxupdate.info
• down-flash.com
• exchange.openmd5.com
• exchange.portomnail.com
• fonts.google-au.ga
• gknbm.ddns.net
• help.down-flash.com
• help.tcplog.com
• js.down-flash.com
• jsj1.linuxupdate.info
• lemonupdate.ddns.net
• linux.down-flash.com
• linuxupdate.ddns.net
• linuxupdate.info
• ltupdate.ddns.net
• mail.xxe.pw
• microsoftcontents.com
• microsoftfile.com
• mirros.microsoftcontents.com
• mirros3.linuxupdate.info
• mm.portomnail.com
• n2.xxe.pw
• ns1.xxe.pw
• ns2.xxe.pw
• officecdn-microsoft-com.akamaixed.net
• proxy.xxe.pw
• q.xxe.pw
• q2.xxe.pw
• q4.xxe.pw
• qq.xxe.pw
• static.adobe-cdn.org
• static.tcplog.com
• tcplog.com
• transcom.ddns.net
• twnoc.ddns.net
• updatenew.servehttp.com
• vbnmob.ddns.net
• volleyball.ddns.net
• vpnmobupdate.ddns.net
• www.linuxupdate.info
• www.microsoftcontents.com
• x.xxe.pw
• xxe.linuxupdate.info
• xxe.pw
• yunchat.ddns.net

SHA256

• 006e096f82e9f2bb3bb3f4fd4885a81b426b425b2b7a7bfd90b4b65d44ab5e7e
• 2345c426c584ec12f7a2106a52ce8ac4aeb144476d1a4e4b78c10addfddef920
• 39c8a31dee11093810c7b142b4fe8770e8c8d1b3c09749a2888ecc32d24f4d09
• 4ffc7f65e16ce59ff9e6a504f88e0cf56b225c0eb2cf8ec578b3e9d40d9bd898
• 5921d1686f9f4b6d26ac353cfce3e85e57906311a80806903c9b40f85429b225
• 59b13045104462b40b1bcd6776f2b9e0b0df126dfa4e33768b54796e23591b87
• 7a81ee7251670cebb1746c88fe84aa78ecededd3ec063f156714a900af5de08d
• 83ef976a3c3ca9fcd438eabc9b935ca5d46a3fb00e2276ce4061908339de43ec
• 867e8902612f9e9a390fc667ffd53343e324c8c677c12dcbca4e1b9f14b0e461
• 99b36963f0e93a5c59cbd205d102f6b850f02f5e74ac4f66257b6f38d9c9ef5a
• 9a94070f547f8e517bcf4dabfd36a7f2b83bb9e0eae6e4685cc233b07b0a2897
• a1398dd8cec06c07a33b94e9d59d38313efcce927cc27425ade48dba48c3345f
• a6ead353dd7338b7ae518255289993f7cca70bdeceaf31004ec0b8a1036378d3
• d4eced054766f6253f7d0772d4636be88ea7e75e07ca4ce86b65312c808fb96a
• e024ccc4c72eb5813cc2b6db7975e4750337a1cc619d7339b21fdbb32d93fd85
• f4474dcbfaf8570fa4bcdd4151d53516664ef5cb7f21f3b4520f791626fdc441

Technical report

• cta-2023-0330.pdf