Một kho dữ liệu quan trọng đã xuất hiện trên DDoSecrets.com, được cho là trích xuất từ một máy trạm thuộc về một tác nhân **mối đe dọa mạng** nhắm mục tiêu vào các tổ chức ở Hàn Quốc và Đài Loan. Thông tin rò rỉ này, cùng với một bài viết đi kèm, gán hoạt động này cho nhóm tấn công dai dẳng nâng cao (APT) của Triều Tiên, được biết đến với tên **Kimsuky**, một tác nhân tinh vi đã từng được nhấn mạnh trong các cảnh báo an ninh mạng vì các chiến dịch gián điệp của mình.
Phân Tích Hạ Tầng và **Threat Intelligence**
Mặc dù việc quy kết vẫn chưa được xác minh và nên để các công ty **threat intelligence** chuyên biệt đảm nhiệm, kho dữ liệu đã cung cấp những hiểu biết có giá trị về các chiến thuật hoạt động được sử dụng, đặc biệt là việc triển khai hạ tầng ẩn danh để né tránh sự phát hiện.
Spur, một công ty chuyên xác định các dịch vụ proxy và VPN, đã được cảnh báo về một địa chỉ IP quan trọng: 156.59.13[.]153, được đề cập trong thông tin rò rỉ. Địa chỉ IP này có liên quan đến một chứng chỉ SSL với tên chung *.appletls[.]com, được phục vụ trên cổng không chuẩn 4012, với hàm băm SHA1 là a26c0e8b1491eda727fd88b629ce886666387ef5.
Việc mở rộng điều tra từ dấu vân tay này đã tiết lộ hơn 1.000 địa chỉ IP tương tự có cùng chứng chỉ, chủ yếu nằm ở Trung Quốc nhưng rải rác trên các nhà cung cấp trung tâm dữ liệu toàn cầu, thường nghe trên các cổng trong dải 40xx. Mô hình này cho thấy một mạng proxy có cấu trúc, có khả năng là thương mại, thay vì hạ tầng tạm thời, thúc đẩy một cuộc điều tra sâu hơn về nguồn gốc và tác động của nó đối với các chiến dịch APT.
Cơ Chế Hoạt Động Của Mạng Proxy Trojan
Phân tích sâu hơn chỉ ra rằng hạ tầng này phù hợp với giao thức proxy Trojan, một kỹ thuật làm xáo trộn được thiết kế để giả mạo lưu lượng HTTPS và vượt qua Tường lửa Vĩ đại của Trung Quốc (GFW).
Các nỗ lực tình báo nguồn mở (OSINT), bao gồm tìm kiếm trên GitHub, đã phát hiện các chuỗi cấu hình tham chiếu các miền như ganode[.]org, phù hợp với định dạng URL của Trojan:
trojan://<password>@<server>:<port>?<params>#<tag>Các chuỗi này bao gồm các tham số như ghi đè SNI (ví dụ: sni=hostname) cho việc che giấu miền (domain fronting) và cờ allowInsecure để bỏ qua xác minh TLS, cho phép các kết nối an toàn đến các miền frontend trong khi vẫn xác thực chống lại các chứng chỉ appletls[.]com.
Xác Thực Hạ Tầng WgetCloud
Việc theo dõi ganode[.]org đã dẫn đến các tham chiếu của GaCloud, sau đó được đổi tên thành WgetCloud, một nhà cung cung cấp dịch vụ VPN của Trung Quốc cung cấp các gói đăng ký theo cấp độ cho các proxy ổn định, né tránh GFW.
Quá trình xác minh bao gồm việc tạo tài khoản trên WgetCloud, điều hướng giao diện tiếng Trung của nó và mua gói đăng ký từ 8 đến 12 USD cho 30 ngày thông qua WeChat, Alipay hoặc tiền điện tử TRC20. Điều này cấp quyền truy cập vào một URL đăng ký được mã hóa base64 chứa các cấu hình node, tương thích với các ứng dụng khách Trojan như Txray (được xây dựng trên lõi Xray).
Kiểm tra các node này bằng các công cụ như openssl đã xác nhận sự hiện diện của cùng một chứng chỉ SSL trên cả IP đầu vào và đầu ra, liên kết trực tiếp IP bị rò rỉ với hạ tầng của WgetCloud.
openssl s_client -connect <IP_ADDRESS>:<PORT> -servername <SNI_HOSTNAME> | openssl x509 -noout -sha1 -fingerprintDịch vụ này tự hào có khoảng 1.700 node trên khắp các quốc gia bao gồm Trung Quốc, Singapore, Mỹ, Đức, Úc và Nga, làm nổi bật sức hấp dẫn của nó đối với các tác nhân tìm kiếm sự đa dạng địa lý trong các chuỗi tấn công.
IOCs (Indicators of Compromise)
Dựa trên các phân tích kỹ thuật, các chỉ số thỏa hiệp sau đây đã được xác định liên quan đến hạ tầng được sử dụng:
- Địa chỉ IP: 156.59.13[.]153
- Miền liên quan đến chứng chỉ SSL: *.appletls[.]com
- Miền trong cấu hình Trojan: ganode[.]org
- Hàm băm SHA1 của chứng chỉ SSL: a26c0e8b1491eda727fd88b629ce886666387ef5
- Tên dịch vụ proxy/VPN: WgetCloud (trước đây là GaCloud)
Ý Nghĩa Bảo Mật và Chiến Lược Phòng Thủ
Trường hợp này minh họa cách các nhóm APT, có thể bao gồm các tác nhân được nhà nước bảo trợ như Kimsuky, tích hợp các dịch vụ proxy thương mại vào hoạt động của họ để hòa trộn lưu lượng độc hại với các công cụ ẩn danh hợp pháp, làm phức tạp việc quy kết và **phát hiện xâm nhập**.
Dù tác nhân **mối đe dọa mạng** đã đăng ký trực tiếp hay có được các node thông qua các phương tiện thứ cấp vẫn chưa rõ ràng, nhưng nó nhấn mạnh rủi ro của các dịch vụ như vậy trong hoạt động gián điệp mạng.
Spur đã phân loại tất cả các node WgetCloud được xác định là WGETCLOUD_PROXY trong các sản phẩm của mình, bao gồm nền tảng Monocle, Context API và các nguồn cấp dữ liệu. Điều này cho phép khách hàng gắn cờ và giảm thiểu lưu lượng truy cập từ các nguồn này. Để biết thêm chi tiết kỹ thuật về việc Spur đã khám phá mạng này như thế nào, bạn có thể tham khảo báo cáo của Spur.
Việc này tăng cường **threat intelligence** về các proxy có nguồn gốc từ Trung Quốc, thường bị khai thác trong các chiến dịch liên quan đến khai thác lỗ hổng, ransomware và nhắm mục tiêu vào các hệ thống điều khiển công nghiệp.
Khi các giao thức proxy như Trojan phát triển, các nhà phòng thủ phải ưu tiên các kỹ thuật quy kết IP, kết hợp dấu vân tay kỹ thuật (ví dụ: hàm băm chứng chỉ và quét cổng) với OSINT để vạch trần hạ tầng bị che giấu, từ đó củng cố khả năng phòng thủ chống lại các **mối đe dọa mạng** dai dẳng.
