Descobriu-se que entidades governamentais cambojanas foram alvo e comprometidas por atores chineses do APT.
Os atores da ameaça estão usando a infraestrutura para se disfarçar como um serviço de backup em nuvem. A infraestrutura também apresenta diversas naturezas maliciosas e conexões persistentes.
A China investiu recentemente num projeto para modernizar a base naval de Ream, no Camboja, que foi inicialmente interrompido por ambos os países. Isso criou uma controvérsia entre as nações ocidentais.
APT chinês imita backup em nuvem
Foi descoberto que um certificado SSL malicioso foi usado por seis endereços IP opostos, cada um dos quais tinha vários domínios de host vinculados a seis domínios.
Ao analisar mais detalhadamente os nomes dos domínios, descobriu-se que eles estavam disfarçados de serviços de armazenamento em nuvem.
Como esses domínios proporcionam um senso de legitimidade aos seus nomes, eles atraem uma quantidade incomum de tráfego durante altos níveis de atividades, como a exfiltração de dados da rede da vítima.
Descobriu-se que quase 24 organizações governamentais cambojanas comunicavam regularmente com esta infraestrutura entre setembro e outubro de 2023.
Documento
Estas organizações prestam serviços críticos, que incluem Defesa Nacional, Supervisão Eleitoral, Direitos Humanos, Tesouro e Finanças Nacionais, Comércio, Política, Recursos Naturais e Telecomunicações.
Semana Dourada na China
Investigando ainda mais a infraestrutura, descobriu-se que o ator da ameaça estava realizando suas atividades entre 8:30 e 17:30 UTC +08:00 (Horário Padrão da China) durante a semana (de segunda a sexta). Há também a suspeita de que o autor da ameaça esteja tentando se misturar ao horário comercial do Camboja.
No entanto, a atividade do agente da ameaça entre 29 de setembro e outubro 82023, confirmou que o ator da ameaça está baseado na China.
A Semana Dourada da China começa em 29 de setembro e termina em outubro 62023, enquanto outubro 7 e 8 são designados como “Dias Úteis Especiais”. Esses dias foram alinhados com baixa atividade durante a semana de outubro. 2-8 do ator da ameaça confirmou a suspeita.
A relatório completo sobre as atividades dos atores da ameaça foi publicado, fornecendo informações detalhadas sobre o compromisso, entidades governamentais cambojanas e outras informações.
Indicadores de compromisso
Domínios
- API.infinitycloud[.]informações
- conectar.infinitycloud[.]informações
- ns.infinitycloud[.]informações
- conectar.infinitybackup[.]líquido
- ns1.infinitybackup[.]líquido
- compartilhar.infinitybackup[.]líquido
- arquivo.wonderbackup[.]com
- login.wonderbackup[.]com
- sincronizar.wonderbackup[.]com
- atualizar.wonderbackup[.]com
- anúncios.teleryanhart[.]com
- mfi.teleryanhart[.]com
- dfg.ammopak[.]site
- fwg.ammopak[.]site
- jlp.ammopak[.]site
- kwe.ammopak[.]site
- lxo.ammopak[.]site
- conectar.clinkvl[.]com
Endereços IP de infraestrutura
- 165.232.186[.]197
- 167.71.226[.]171
- 104.248.153[.]204
- 143.110.189[.]141
- 172.105.34[.]34
- 194.195.114[.]199
Certificado SSL SHA-1 Impressão digital
- B8CFF709950CFA86665363D9553532DB9922265C