Группа Insikt компании Recorded Future выявила большой кластер новой операционной инфраструктуры связанных с использованием пользовательского бэкдора KEYPLUG для Windows и Linux. Мы связываем эту деятельность с группе угроз, отслеживаемой как RedGolf, которая с высокой вероятностью является китайской государственной группой.
RedGolf тесно пересекается с угрозами, о которых сообщается в открытых источниках под псевдонимами APT41/BARIUM и, вероятно, осуществляла спонсируемую государством шпионскую деятельность параллельно с финансово мотивированными операции с целью получения личной выгоды, по крайней мере, с 2014 года.
Indicators of Compromise
IPv4
- 103.226.155.96
- 103.255.45.23
- 103.255.45.24
- 103.43.10.182
- 103.44.22.56
- 106.52.144.29
- 106.52.174.66
- 116.204.211.35
- 116.204.211.59
- 116.204.211.62
- 116.204.211.68
- 119.8.100.209
- 124.248.202.122
- 13.250.182.175
- 137.220.178.43
- 139.59.116.0
- 154.215.115.107
- 156.232.2.100
- 16.162.24.214
- 18.143.183.217
- 18.163.182.3
- 192.51.188.100
- 193.200.149.195
- 193.239.154.221
- 193.239.154.44
- 202.182.121.16
- 202.79.173.211
- 202.79.173.220
- 202.79.173.228
- 23.133.5.48
- 23.225.199.162
- 23.225.199.164
- 23.225.199.165
- 27.102.114.105
- 27.124.37.62
- 27.124.37.63
- 27.124.37.65
- 3.1.206.135
- 36.255.220.179
- 39.106.32.186
- 43.229.155.38
- 43.229.155.39
- 43.229.155.40
- 43.229.155.41
- 43.229.155.42
- 45.197.133.12
- 45.76.178.177
- 45.77.38.191
- 54.90.33.207
- 8.209.255.168
- 8.218.156.56
Domains
- a.linuxupdate.info
- adobe-cdn.org
- aejava.ddns.net
- aejva.ddns.net
- akamaixed.net
- aone.ddns.net
- back.rooter.tk
- box.xxe.pw
- cdn.google-au.ga
- chrome.down-flash.com
- cloudat.ddns.net
- cloudcat.ddns.net
- dash.tcplog.com
- dl-flash.tk
- dns.xxe.pw
- down.xxe.pw
- down1.linuxupdate.info
- down2.linuxupdate.info
- down-flash.com
- exchange.openmd5.com
- exchange.portomnail.com
- fonts.google-au.ga
- gknbm.ddns.net
- help.down-flash.com
- help.tcplog.com
- js.down-flash.com
- jsj1.linuxupdate.info
- lemonupdate.ddns.net
- linux.down-flash.com
- linuxupdate.ddns.net
- linuxupdate.info
- ltupdate.ddns.net
- mail.xxe.pw
- microsoftcontents.com
- microsoftfile.com
- mirros.microsoftcontents.com
- mirros3.linuxupdate.info
- mm.portomnail.com
- n2.xxe.pw
- ns1.xxe.pw
- ns2.xxe.pw
- officecdn-microsoft-com.akamaixed.net
- proxy.xxe.pw
- q.xxe.pw
- q2.xxe.pw
- q4.xxe.pw
- qq.xxe.pw
- static.adobe-cdn.org
- static.tcplog.com
- tcplog.com
- transcom.ddns.net
- twnoc.ddns.net
- updatenew.servehttp.com
- vbnmob.ddns.net
- volleyball.ddns.net
- vpnmobupdate.ddns.net
- www.linuxupdate.info
- www.microsoftcontents.com
- x.xxe.pw
- xxe.linuxupdate.info
- xxe.pw
- yunchat.ddns.net
SHA256
- 006e096f82e9f2bb3bb3f4fd4885a81b426b425b2b7a7bfd90b4b65d44ab5e7e
- 2345c426c584ec12f7a2106a52ce8ac4aeb144476d1a4e4b78c10addfddef920
- 39c8a31dee11093810c7b142b4fe8770e8c8d1b3c09749a2888ecc32d24f4d09
- 4ffc7f65e16ce59ff9e6a504f88e0cf56b225c0eb2cf8ec578b3e9d40d9bd898
- 5921d1686f9f4b6d26ac353cfce3e85e57906311a80806903c9b40f85429b225
- 59b13045104462b40b1bcd6776f2b9e0b0df126dfa4e33768b54796e23591b87
- 7a81ee7251670cebb1746c88fe84aa78ecededd3ec063f156714a900af5de08d
- 83ef976a3c3ca9fcd438eabc9b935ca5d46a3fb00e2276ce4061908339de43ec
- 867e8902612f9e9a390fc667ffd53343e324c8c677c12dcbca4e1b9f14b0e461
- 99b36963f0e93a5c59cbd205d102f6b850f02f5e74ac4f66257b6f38d9c9ef5a
- 9a94070f547f8e517bcf4dabfd36a7f2b83bb9e0eae6e4685cc233b07b0a2897
- a1398dd8cec06c07a33b94e9d59d38313efcce927cc27425ade48dba48c3345f
- a6ead353dd7338b7ae518255289993f7cca70bdeceaf31004ec0b8a1036378d3
- d4eced054766f6253f7d0772d4636be88ea7e75e07ca4ce86b65312c808fb96a
- e024ccc4c72eb5813cc2b6db7975e4750337a1cc619d7339b21fdbb32d93fd85
- f4474dcbfaf8570fa4bcdd4151d53516664ef5cb7f21f3b4520f791626fdc441
Technical report