Notícias de dispositivos móveis, gadgets, aplicativos Android

Infraestrutura APT chinesa imita serviços de backup em nuvem

Descobriu-se que entidades governamentais cambojanas foram alvo e comprometidas por atores chineses do APT.

Os atores da ameaça estão usando a infraestrutura para se disfarçar como um serviço de backup em nuvem. A infraestrutura também apresenta diversas naturezas maliciosas e conexões persistentes.

A China investiu recentemente num projeto para modernizar a base naval de Ream, no Camboja, que foi inicialmente interrompido por ambos os países. Isso criou uma controvérsia entre as nações ocidentais.

APT chinês imita backup em nuvem

Foi descoberto que um certificado SSL malicioso foi usado por seis endereços IP opostos, cada um dos quais tinha vários domínios de host vinculados a seis domínios.

Ao analisar mais detalhadamente os nomes dos domínios, descobriu-se que eles estavam disfarçados de serviços de armazenamento em nuvem.

Como esses domínios proporcionam um senso de legitimidade aos seus nomes, eles atraem uma quantidade incomum de tráfego durante altos níveis de atividades, como a exfiltração de dados da rede da vítima.

Descobriu-se que quase 24 organizações governamentais cambojanas comunicavam regularmente com esta infraestrutura entre setembro e outubro de 2023.

Documento

Estas organizações prestam serviços críticos, que incluem Defesa Nacional, Supervisão Eleitoral, Direitos Humanos, Tesouro e Finanças Nacionais, Comércio, Política, Recursos Naturais e Telecomunicações.

Semana Dourada na China

Investigando ainda mais a infraestrutura, descobriu-se que o ator da ameaça estava realizando suas atividades entre 8:30 e 17:30 UTC +08:00 (Horário Padrão da China) durante a semana (de segunda a sexta). Há também a suspeita de que o autor da ameaça esteja tentando se misturar ao horário comercial do Camboja.

No entanto, a atividade do agente da ameaça entre 29 de setembro e outubro 82023, confirmou que o ator da ameaça está baseado na China.

Nós recomendamos:  Enquanto Waymo retoma os testes de direção, os drivers de backup ainda estão preocupados com o vírus

A Semana Dourada da China começa em 29 de setembro e termina em outubro 62023, enquanto outubro 7 e 8 são designados como “Dias Úteis Especiais”. Esses dias foram alinhados com baixa atividade durante a semana de outubro. 2-8 do ator da ameaça confirmou a suspeita.

A relatório completo sobre as atividades dos atores da ameaça foi publicado, fornecendo informações detalhadas sobre o compromisso, entidades governamentais cambojanas e outras informações.

Indicadores de compromisso

Domínios

  • API.infinitycloud[.]informações
  • conectar.infinitycloud[.]informações
  • ns.infinitycloud[.]informações
  • conectar.infinitybackup[.]líquido
  • ns1.infinitybackup[.]líquido
  • compartilhar.infinitybackup[.]líquido
  • arquivo.wonderbackup[.]com
  • login.wonderbackup[.]com
  • sincronizar.wonderbackup[.]com
  • atualizar.wonderbackup[.]com
  • anúncios.teleryanhart[.]com
  • mfi.teleryanhart[.]com
  • dfg.ammopak[.]site
  • fwg.ammopak[.]site
  • jlp.ammopak[.]site
  • kwe.ammopak[.]site
  • lxo.ammopak[.]site
  • conectar.clinkvl[.]com

Endereços IP de infraestrutura

  • 165.232.186[.]197
  • 167.71.226[.]171
  • 104.248.153[.]204
  • 143.110.189[.]141
  • 172.105.34[.]34
  • 194.195.114[.]199

Certificado SSL SHA-1 Impressão digital

  • B8CFF709950CFA86665363D9553532DB9922265C