Группа Insikt компании Recorded Future опубликовала отчет о сетевой инфраструктуре, которую связывают с предполагаемой китайской группой, известной также под разными псевдонимами, в том числе APT41, BARIUM, Earth Baku. Основываясь на этой информации, проведено исследование IP-адресов, связанных с этой инфраструктурой. Было обнаружено совпадение с предшествующими атаками, включая нападения на итальянские организации. Анализ сертификатов TLS также помог выявить особенности и изменения в конфигурации сертификатов, которые позволили определить новые серверы и идентифицировать их отличительные признаки.
Описание
wolfSSL - это открытый SSL/TLS-компонент, использование которого было выявлено в инфраструктуре GhostWolf. Исследование отметило, что сертификаты серверов сети GhostWolf совпадают с примерами сертификатов из репозитория wolfSSL, за исключением одной маленькой, но важной разницы в поле Organizational Unit (OU). Это изменение не только меняет хэш сертификата, но и создает уникальный отпечаток JA4X. С помощью инструмента Hunt можно анализировать историю сертификатов TLS и просматривать связанные с ними IP-адреса.
После изучения истории сертификатов TLS были обнаружены связанные IP-адреса, включая те, о которых ранее сообщалось в отчете о RedGolf. Это подтверждает связь сети GhostWolf с активностью KEYPLUG и подтверждает эффективность методики отслеживания данной инфраструктуры. Для дальнейшей точности результатов были использованы отпечатки пальцев JA4X.
Анализ сертификатов TLS с использованием инструмента Hunt позволяет получить подробную информацию о связанных серверах и помогает в построении поисковых запросов. Просмотр истории сертификатов с помощью функции Certificate IPs позволяет узнать об исторически связанных IP-адресах и обнаруживать новые серверы. В результате анализа было идентифицировано большое количество IP-адресов, связанных с инфраструктурой GhostWolf.
В дальнейшем исследовании планируется более подробно исследовать сервера, а также использовать отпечатки пальцев JA4X для более точной идентификации и анализа инфраструктуры GhostWolf и связанных с ней сетей. Полученные результаты позволят лучше понять операционные предпочтения и деятельность злоумышленников и помогут в дальнейшей защите от подобных угроз.
Indicators of Compromise
IPv4
- 103.146.230.130
- 103.146.230.165
- 103.146.230.183
- 103.226.155.96
- 103.226.155.98
- 103.234.96.167
- 103.244.148.80
- 108.61.159.145
- 111.180.200.74
- 114.55.6.216
- 13.124.47.148
- 13.209.204.54
- 13.214.160.122
- 13.214.172.25
- 13.214.203.53
- 13.228.200.171
- 13.250.182.175
- 139.180.145.193
- 139.180.153.109
- 139.180.188.174
- 139.180.189.81
- 139.180.211.30
- 139.180.213.58
- 139.84.175.197
- 149.28.130.130
- 149.28.131.126
- 15.168.60.114
- 154.12.87.168
- 154.31.217.200
- 154.92.16.198
- 158.247.203.247
- 158.247.234.25
- 158.247.245.229
- 158.247.251.91
- 158.247.253.114
- 173.209.62.186
- 173.209.62.187
- 173.209.62.188
- 173.209.62.189
- 173.209.62.190
- 18.142.113.169
- 18.142.162.202
- 18.143.183.217
- 18.163.6.115
- 202.182.121.16
- 202.79.173.211
- 202.79.173.220
- 202.79.173.228
- 205.185.121.28
- 207.148.71.45
- 209.141.36.195
- 3.0.139.139
- 3.1.206.135
- 3.38.151.172
- 36.255.220.179
- 38.55.24.53
- 39.106.32.186
- 43.130.61.252
- 43.201.51.16
- 43.249.36.84
- 45.137.10.166
- 45.137.10.37
- 45.148.244.220
- 45.32.101.56
- 45.32.125.90
- 45.76.150.120
- 45.77.34.88
- 47.245.60.81
- 47.245.99.137
- 47.92.204.81
- 5.188.34.87
- 51.79.177.23
- 54.151.200.128
- 64.176.50.30
- 64.176.51.12
- 64.176.83.46
- 65.20.69.6
- 65.20.70.52
- 65.20.78.204
- 65.20.78.223
- 65.20.79.14
- 65.20.79.156
- 65.20.84.44
- 66.42.49.65
- 67.43.228.18
- 67.43.228.19
- 67.43.228.20
- 67.43.228.21
- 67.43.228.22
- 67.43.234.149
- 67.43.234.150
- 8.209.255.168
- 8.213.131.120
- 8.218.156.56
- 8.219.191.81
- 8.222.220.3
- 8.222.243.185
- 88.218.192.22