Анализ активности GhostWolf: угрозы от RedGolf и APT41

В марте 2023 года Insikt Group, подразделение Recorded Future (организация, признанная нежелательной в России в соответствии с решением Генпрокуратуры РФ), представила обширный отчет, в котором проанализирована сетевая инфраструктура, связанная с KEYPLUG. Данная инфраструктура предполагается как управляемая китайским государственным оператором, известным под названиями RedGolf или APT41. Это группировка также известна как BARIUM и Earth Baku.

Основные выводы отчета

В отчете был введен новый термин «Призрачный волк» (GhostWolf), который обозначает уникальный набор сетевой инфраструктуры, связанной с этой группой. Анализ раздела IoC, в котором представлены 39 IP-адресов, связанных с GhostWolf, выявил множественные совпадения с предыдущими операциями, в частности с KEYPLUG, нацеленной на итальянские организации в середине 2024 года. Отдельно стоит подчеркнуть следующие моменты:

• Изучение исторических сертификатов TLS может дать понять о возобновлении активности первоначального хакера или же о действиях другой группы, стремящейся имитировать их.
• Анализ инфраструктуры GhostWolf сосредоточился на идентификации общих черт среди перечисленных IP-адресов.
• Ключевым открытием стало использование сертификатов wolfSSL, относящихся к безопасной связи во встроенных системах.

Методы анализа

В результате анализа установлено, что небольшое изменение в поле организационного подразделения (OU) в сертификатах позволяет отличить законные примеры от тех, которые связаны с серверами GhostWolf. Это изменение не только повлияло на хэш SHA-256 сертификата, но и сгенерировало уникальный отпечаток JA4X, который значительно упрощает идентификацию недавно развернутых серверов.

Исследователи применяли инструменты Hunt для отслеживания истории SSL, используя функцию «IP-адреса сертификатов». Это позволило углубить анализ связанных серверов и уточнить поисковые запросы, что, в свою очередь, обнаружило:

• Прямую связь между конкретными хэшами SHA-256 и IP-адресами, связанными с деятельностью RedGolf.
• Шесть активных IP-адресов, относящихся к GhostWolf, с первым обнаружением в 2023 году.

Выявленные соединения и протоколы

Проверка данных сканирования на порту 443 выявила различные ответы, такие как TLS или TCP, с использованием протоколов HTTP/S, TCP, WSS и KCP через UDP. В отчет также упоминается, что сервер KEYPLUG C2 на базе HTTPS на порту 8443 был успешно идентифицирован и отслеживался с течением времени.

Дополнительное изучение серверов, связанных с отпечатком пальца JA4X, привело к открытию еще одного активного сертификата на определенном IP-адресе. Несмотря на то, что сертификат напоминал образец из wolfSSL на GitHub, схожие характеристики с активностью RedGolf, включая настройки хостинг-провайдера и использование портов, указывают на возможную связь.

Заключение

Регулярное повторное использование измененных сертификатов и конфигураций сервера, в сочетании с выбором стабильных хостинг-провайдеров и назначением IP-адресов, свидетельствует о продолжающейся активности хакеров. Однако однозначные связи с RedGolf/APT41 или другими группами остаются неясными, что подчеркивает необходимость постоянного мониторинга и детального изучения новых моделей серверной активности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.