Μια σημαντική ανακάλυψη στη νοημοσύνη απειλών αποκαλύπτει ότι το APT-C-35, κοινώς γνωστό ως DoNot, συνεχίζει να διατηρεί ενεργό αποτύπωμα υποδομής στο διαδίκτυο.
Οι ερευνητές ασφαλείας εντόπισαν νέα συμπλέγματα υποδομής που συνδέονται με αυτήν την ομάδα απειλών με έδρα την Ινδία, η οποία έχει αναγνωριστεί εδώ και καιρό ως κρατικός φορέας με δυνατότητες κατασκοπείας που στοχεύουν κρίσιμες περιοχές στη Νότια Ασία.
Το APT-C-35 αντιπροσωπεύει μια επίμονη απειλή για την ασφάλεια στον κυβερνοχώρο για οργανισμούς σε κυβερνητικούς, αμυντικούς και διπλωματικούς τομείς.
Οι επιχειρήσεις της ομάδας παρέμειναν συνεπείς, με τους ερευνητές να τεκμηριώνουν δραστηριότητες υποδομής που δείχνουν πώς οι επιτιθέμενοι διατηρούν κανάλια εντολών και ελέγχου ενώ αποφεύγουν τις παραδοσιακές μεθόδους ανίχνευσης.
Πρόσφατα ευρήματα δείχνουν ότι οι διακομιστές ιστού της ομάδας διατηρούν ξεχωριστά χαρακτηριστικά που μπορούν να εντοπιστούν και να παρακολουθηθούν από ομάδες ασφαλείας.
Ο αναλυτής και ερευνητής της At-Bay, Idan Tarab αναγνωρισθείς συγκεκριμένους τεχνικούς δείκτες που διακρίνουν την υποδομή APT-C-35 από τους νόμιμους διακομιστές Ιστού.
Αυτοί οι δείκτες παρείχαν τη βάση για την παρακολούθηση των πρόσφατων δραστηριοτήτων του ομίλου και την κατανόηση των μεθόδων λειτουργίας τους σε πολλά τμήματα δικτύου.
Μέθοδοι κυνηγιού και ανίχνευσης υποδομής
Η έρευνα χρησιμοποίησε μια δομημένη προσέγγιση για τον προσδιορισμό των στοιχείων APT-C-35 εξετάζοντας τα χαρακτηριστικά απόκρισης HTTP Apache σε συνδυασμό με την ανάλυση Autonomous System Number (ASN) 399629.
Οι ερευνητές ασφαλείας ανακάλυψαν ότι η στοχευμένη υποδομή αποκάλυψε σταθερά μοτίβα στις αποκρίσεις HTTP, συμπεριλαμβανομένων συγκεκριμένων διαμορφώσεων κεφαλίδων που χρησίμευαν ως αξιόπιστες υπογραφές ανίχνευσης.
Τα ερωτήματα κυνηγιού αποκάλυψαν ότι οι διακομιστές που σχετίζονται με το APT-C-35 επέστρεψαν συγκεκριμένες κεφαλίδες HTTP Apache, συμπεριλαμβανομένων τυποποιημένων ημερομηνιών λήξης και τιμών μήκους περιεχομένου.
Ένας συγκεκριμένος δείκτης εντόπισε τις απαντήσεις HTTP με “Λήγει: Πέμ. 19 Νοεμβρίου 1981 08:52:00 GMT” σε συνδυασμό με κωδικούς κατάστασης “HTTP/1.1 200 OK” στο ASN 399629, γεγονός που περιόρισε σημαντικά το εύρος αναζήτησης.
Η ανάλυση αποκάλυψε περίπου 73 αποτελέσματα που αντιπροσωπεύουν 36 μοναδικές διευθύνσεις IP εντός του συμπλέγματος υποδομής.
Ο κύριος αναγνωρισμένος διακομιστής, ο gilbertfix.info που φιλοξενήθηκε στην IP 149.248.76.43 στο Wyoming, εμφάνισε τυπικές κεφαλίδες ελέγχου προσωρινής μνήμης, συμπεριλαμβανομένων των διαμορφώσεων “Cache-Control: no-store, no-cache, must-revalidate”.
Αυτά τα αμυντικά μέτρα υποδηλώνουν ότι η υποδομή σχεδιάστηκε για να αποτρέπει την προσωρινή αποθήκευση και να ασφαλίζει ευαίσθητες επικοινωνίες.
Η ανακάλυψη επιτρέπει στις ομάδες ασφαλείας να εφαρμόζουν προληπτική ανίχνευση απειλών παρακολουθώντας αυτά τα συγκεκριμένα μοτίβα απόκρισης HTTP.
Οι οργανισμοί μπορούν τώρα να συσχετίσουν δείκτες δικτύου συμβιβασμού με τη γνωστή υποδομή APT-C-35, επιταχύνοντας τους χρόνους απόκρισης περιστατικών και βελτιώνοντας την ακρίβεια χαρακτηρισμού της απειλής.
Αυτή η έρευνα ενισχύει τη σημασία του συνεχούς κυνηγιού υποδομών για τη διατήρηση της επιχειρησιακής ευαισθητοποίησης έναντι των παραγόντων απειλών που χρηματοδοτούνται από το κράτος.
Related Posts
Το κακόβουλο πακέτο NuGet χρησιμοποιεί το εργαλείο καταγραφής .NET για την κλοπή δεδομένων πορτοφολιού κρυπτονομισμάτων
Το Dark Web Omertà Market έκλεισε μετά τη διαρροή πραγματικών IP διακομιστή
Οι χάκερ μπορούν να χειραγωγήσουν συστήματα ηλιακών συλλεκτών που βασίζονται στο Διαδίκτυο για να εκτελούν επιθέσεις σε λίγα λεπτά
