【安全资讯】研究人员分析Transparent Tribe(透明部落)组织的网络基础设施
引言
研究人员一直在观察透明部落最常用的远程访问工具 CrimsonRAT,并发布了对CrimsonRAT基础设施的分析。Transparent Tribe(APT36、Mythic Leopard、ProjectM、Operation C-Major)主要针对印度实体和资产,还以阿富汗的实体和巴基斯坦的社会活动家为目标。CrimsonRAT 基础设施主要托管在越南 VPS 经销商 Pi NET LLC的基础设施上。RDP 证书是 CrimsonRAT 的关键指标,目前已在17 个 C2 服务器上观察到。简况
研究人员在查看 CrimsonRAT C2 基础设施时观察到了RDP 证书(通用名称值为WIN-P9NRMH5G6M8)。在查看托管此证书的 IP 地址后,发现大多数主机都被转租给了Pi NET LLC。Pi NET LLC (pivps[.]com) 是一家位于越南北部的 VPS 经销商,它提供非常实惠的 Windows 和 Linux 主机,可以接受各种加密货币以及传统方法的付款。研究人员还观察到在Pi NET LLC主机上使用的不同证书,其通用名称为WIN-L6BUPB5SQBC。该证书与 CrimsonRAT、C2、134.119.181[.]15、181.215.47[.]169和134.119.181[.]142相关联,可能是透明部落活动的替代指标。因此,研究人员猜测透明部落通过单一的 VPS 提供商托管大部分CrimsonRAT 基础设施,即Pi NET LLC 提供商。端口 3389 上具有通用名称 WIN-P9NRMH5G6M8 的主机如下:
研究人员识别CrimsonRAT C2 服务器的方法如下:
1. 监控Pi NET LLC 的所有已知 IP 范围的网络流量,以识别连接到 208.95.112[.]1:80 ( ip-api[.]com ) 的主机。
2. 检查C2 IP 的入站连接,寻找从印度或阿富汗分配的 IP 地址(TCP 端口范围 2991–17443)进入的受害者。
3. 如果观察到潜在的受害者连接,则扫描已识别的端口检测并确认 CrimsonRAT C2 响应。
4. 可以跳过第 2 步,但需要在第 3 步进行更详尽的端口扫描。
研究人员在进一步分析时还观察到了潜在的交叉登录活动,将多个 C2 服务器链接在一起。将CrimsonRAT C2(198.46.177[.]73、192.99.241[.]4 和 66.154.113[.]38)与 AhMyth AndroidRAT C2(212.8.240[.]221)链接起来的交叉登录活动如下,观察到的用户名是“WATER-PC”和“YouCantSeeMe”:
