Компания Spur, специализирующаяся на анализе анонимизирующей инфраструктуры, раскрыла детали расследования, в ходе которого был идентифицирован китайский прокси- и VPN-сервис WgetCloud, используемый в ходе продвинутой устойчивой угрозы (APT). Расследование началось после утечки данных с рабочей станции злоумышленника, нацеливавшегося на организации в Южной Корее и Тайване.
Описание
Утечка данных, опубликованная на сайте DDoSecrets.com, содержала информацию о IP-адресе 156.59.13[.]153 и SSL-сертификате с общим именем *.appletls[.]com на нестандартном порту 4012. Изначально активность приписывалась северокорейской APT-группе Kimsuky, однако Spur сосредоточилась не на атрибуции, а на идентификации прокси-сервиса, используемого злоумышленниками.
Анализ показал, что тот же сертификат используется более чем на 1000 IP-адресов, большинство из которых расположены в Китае. Это указывало на организованную инфраструктуру, возможно, коммерческого характера. После технического анализа эксперты обратились к открытым источникам, где на GitHub обнаружили конфигурации, связанные с протоколом Trojan, предназначенным для обхода Великого китайского фаервола.
Ключевым моментом стало обнаружение домена ganode[.]org, который привел к идентификации сервиса WgetCloud (ранее известного как GaCloud). Сервис предлагает три тарифных плана с выходами в различных странах, включая Китай, США, Германию и Россию, принимает оплату через WeChat, AliPay и TRC20. Стоимость подписки составляет от 8 до 12 долларов США в месяц.
Эксперты Spur приобрели подписку, чтобы верифицировать данные. Конфигурационные файлы, предоставляемые сервисом, содержали узлы с теми же сертификатами, что и в исходной утечке. Это подтвердило, что IP-адрес, используемый злоумышленником, принадлежит инфраструктуре WgetCloud.
Неясно, приобрел ли злоумышленник подписку самостоятельно или получил доступ к прокси иным способом. Однако этот случай демонстрирует, как APT-группы могут использовать коммерческие прокси-сервисы для сокрытия своей деятельности, смешиваясь с легитимным трафиком.
Spur добавила все узлы WgetCloud (около 1700 на момент публикации) в свои системы мониторинга с меткой WGETCLOUD_PROXY. Это позволяет клиентам компании отслеживать использование подобных сервисов в кибератаках и повышает эффективность противодействия угрозам.
Расследование подчеркивает сложности атрибуции в киберпространстве, где злоумышленники активно используют анонимизирующие технологии. Коммерческие прокси-сервисы, особенно распространенные в Китае, представляют особый интерес для APT-групп благодаря своей доступности и устойчивости к блокировкам.
Spur продолжает развивать методы обнаружения подобной инфраструктуры, уделяя внимание не только традиционным VPN, но и резидентским прокси, мобильным IP-адресам и бот-сетям. Это позволяет клиентам компании снижать риски мошенничества и повышать эффективность расследований инцидентов безопасности.
Индикаторы компрометации
IPv4
- 156.59.13.153
Domains
- *.appletls.com
SHA1 Cert Hash
- a26c0e8b1491eda727fd88b629ce886666387ef5
