Главная страница » IOC
0
2 года
IOC

HaiEnergy Campaign IOCs

security

Mandiant выявила дополнительные векторы распространения информации, использованные HaiEnergy, в том числе два самоназванных сервиса "пресс-релизов" - "Times Newswire" (timesnewswire.com) и "World Newswire" (wdwire.com) - и как минимум 32 поддомена легальных американских новостных изданий, переадресованных на сторонние инфраструктуры, связанные с американской компанией "FinancialContent, Inc."

HaiEnergy Campaign

Mandiant  не обнаружили признаков, указывающих на то, что какие-либо из пострадавших изданий были скомпрометированы. На основании проведенного технического анализа этих поддоменов, а также данных, полученных из открытых источников, можно предположить, что FinancialContent, Inc. предоставляла этим изданиям сервис, обеспечивающий отображение на выявленных поддоменах данных о фондовых и финансовых новостях. По данным как минимум одного источника, контент, предоставляемый FinancialContent, Inc., иногда публикуется на этих поддоменах без согласования или проверки.

Mandiant  приписывает использование этих векторов компании HaiEnergy на основании совпадения контента, опубликованного на этих новых объектах и на ранее известной инфраструктуре HaiEnergy, а также наблюдений за скоординированным усилением контента, опубликованного на всех сайтах, которые мы теперь приписываем этой кампании (см. следующий раздел).

  • Во многих случаях мы наблюдали идентичные статьи в поддержку КНР, опубликованные как на World Newswire, так и на Times Newswire, которые также были опубликованы на предполагаемых неаутентичных новостных сайтах.
  • Кроме того, Mandiant наблюдали, как кампания использовала эти сайты для посева и распространения пропагандируемых кампанией материалов, что является формой отмывания информации, призванной обеспечить видимость легитимности. Например, Mandiant выявили материалы, которые были опубликованы на неаутентичном новостном ресурсе, ранее приписываемом компании HaiEnergy, ссылающейся на информацию, якобы полученную с поддомена Arizona Republic (finance.azcentral.com), связанного с FinancialContent, Inc.
  • Примечательно, что в статье, размещенной на этом поддомене, в качестве первоисточника указывалась компания Times Newswire.
  • Ранее Mandiant обнаружила в отчете за август 2022 года загружаемую электронную таблицу, расположенную по адресу "haixunpr.org", которая давала представление о стратегии PR-компании в области цифрового маркетинга. Дополнительная электронная таблица, которую Mandiant обнаружили по адресу "haipress.com", входящая в пакет "Позитивная энергия" компании Haixun, содержала список рассылки, предположительно предназначенный для доставки контента, который содержал выявленные нами поддомены, а также сотни дополнительных URL-адресов, которые Mandiant продолжает исследовать. Как Mandiant уже отмечали в предыдущем сообщении, термин "позитивная энергия" (正能量) является важным термином в эпоху Си Цзиньпина, обозначающим сообщения, положительно характеризующие Коммунистическую партию Китая (КПК), правительство Китая и его политику.
  • Mandiant также заметила, что контент, исходящий из World Newswire, Times Newswire и ранее идентифицированных сайтов HaiEnergy, координированно распространялся в социальных сетях, включая те, которые Mandiant ранее приписывали HaiEnergy, а также новые идентифицированные внештатные сотрудники, которые, по мнению Mandiant, были наняты Haixun для усиления контента кампании .

Несмотря на общий признак использования ресурсов кампании HaiEnergy, в настоящее время Mandiant не располагает техническими доказательствами, позволяющими предположить наличие связи между Haixun и World Newswire, Times Newswire или FinancialContent, Inc. и поэтому Mandiant рассматривает их как отдельные организации.

Indicators of Compromise

IPv4

  • 104.247.86.162
  • 104.247.86.163

Domains

  • business.bentoncourier.com
  • business.bigspringherald.com
  • business.borgernewsherald.com
  • business.dailytimesleader.com
  • business.decaturdailydemocrat.com
  • business.guymondailyherald.com
  • business.inyoregister.com
  • business.kanerepublican.com
  • business.malvern-online.com
  • business.mammothtimes.com
  • business.minstercommunitypost.com
  • business.newportvermontdailyexpress.com
  • business.observernewsonline.com
  • business.pawtuckettimes.com
  • business.poteaudailynews.com
  • business.punxsutawneyspirit.com
  • business.ricentral.com
  • business.ridgwayrecord.com
  • business.smdailypress.com
  • business.starkvilledailynews.com
  • business.statesmanexaminer.com
  • business.sweetwaterreporter.com
  • business.theeveningleader.com
  • business.thepilotnews.com
  • business.thepostandmail.com
  • business.times-online.com
  • business.wapakdailynews.com
  • business.woonsocketcall.com
  • finance.azcentral.com
  • markets.buffalonews.com
  • markets.financialcontent.com
  • markets.post-gazette.com
  • money.mymotherlode.com
Комментарии: 0
Похожие записи
0
15 дней
IOC

Злоумышленник из Китая активно эксплуатирует критическую уязвимость Ivanti Connect Secure (CVE-2025-22457)

security
Компания Ivanti раскрыла критическую уязвимость безопасности, которая затрагивает VPN-устройства Ivanti Connect Secure (ICS) версии 22.7R2.5 и более ранние. Уязвимость, обозначенная как CVE-2025-22457
0
1 месяц
IOC

UNC3886 нацелился на маршрутизаторы Juniper

security
Китайско-немецкая шпионская группа UNC3886 установила пользовательские бэкдоры на маршрутизаторы Juniper Networks, использующие операционную систему Junos OS. Бэкдоры обладали различными функциями, включая