Những phát hiện gần đây trong lĩnh vực threat intelligence đã chỉ ra rằng nhóm APT-C-35, còn được biết đến với tên gọi DoNot, vẫn duy trì một hạ tầng hoạt động tích cực trên Internet.
Các nhà nghiên cứu bảo mật đã nhận diện các cụm hạ tầng mới liên kết với nhóm đe dọa này. Nhóm đã được công nhận là một tác nhân có khả năng gián điệp mạng, nhắm mục tiêu vào các khu vực trọng yếu.
Theo dõi Hạ tầng APT-C-35 DoNot
Hồ sơ Nhóm Đe dọa APT-C-35
APT-C-35 đại diện cho một mối đe dọa an ninh mạng dai dẳng đối với các tổ chức trong các lĩnh vực chính phủ, quốc phòng và ngoại giao.
Các hoạt động của nhóm đã được duy trì nhất quán. Các nhà nghiên cứu ghi nhận hoạt động hạ tầng cho thấy cách những kẻ tấn công duy trì các kênh chỉ huy và kiểm soát (C2), đồng thời né tránh các phương pháp phát hiện truyền thống.
Việc theo dõi liên tục hạ tầng là cần thiết để duy trì nhận thức về hoạt động đối với các tác nhân đe dọa này.
Đặc điểm Nhận dạng Hạ tầng Độc hại
Những phát hiện gần đây cho thấy các máy chủ web của nhóm duy trì các đặc điểm riêng biệt có thể được đội ngũ bảo mật theo dõi.
Chuyên gia phân tích và nghiên cứu Idan Tarab đã xác định các chỉ dấu kỹ thuật cụ thể để phân biệt hạ tầng của APT-C-35 với các máy chủ web hợp pháp.
Những chỉ số này cung cấp cơ sở để theo dõi các hoạt động gần đây của nhóm và hiểu rõ phương thức hoạt động của chúng trên nhiều phân đoạn mạng.
Kỹ thuật Săn lùng Hạ tầng và Phát hiện Xâm nhập
Phân tích Phản hồi HTTP và ASN
Cuộc điều tra đã sử dụng một phương pháp tiếp cận có cấu trúc để nhận diện tài sản của APT-C-35. Phương pháp này dựa trên việc kiểm tra các đặc điểm phản hồi Apache HTTP, kết hợp với phân tích Số Hệ thống Độc lập (ASN) 399629.
Các nhà nghiên cứu bảo mật đã phát hiện hạ tầng mục tiêu cho thấy các mẫu phản hồi HTTP nhất quán, bao gồm các cấu hình tiêu đề cụ thể đóng vai trò như chữ ký phát hiện đáng tin cậy.
Các truy vấn săn lùng đã tiết lộ rằng các máy chủ liên quan đến APT-C-35 trả về các tiêu đề Apache HTTP cụ thể, bao gồm ngày hết hạn chuẩn hóa và giá trị độ dài nội dung.
Một chỉ báo đặc biệt được xác định là phản hồi HTTP với tiêu đề Expires: Thu, 19 Nov 1981 08:52:00 GMT kết hợp với mã trạng thái HTTP/1.1 200 OK trên toàn bộ ASN 399629. Điều này đã thu hẹp đáng kể phạm vi tìm kiếm.
Phân tích đã tìm thấy khoảng 73 kết quả đại diện cho 36 địa chỉ IP duy nhất trong cụm hạ tầng này.
Để hiểu rõ hơn về các chiến thuật và kỹ thuật của các nhóm đe dọa tương tự, bạn có thể tham khảo thêm tại Cybersecurity News về UAC-0099.
Ví dụ về Phản hồi HTTP Phát hiện APT-C-35
GET /index.html HTTP/1.1
Host: example.apt-c-35-domain.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Connection: close
HTTP/1.1 200 OK
Date: Thu, 12 Oct 2023 10:00:00 GMT
Server: Apache
Last-Modified: Wed, 11 Oct 2023 09:00:00 GMT
ETag: "12345-67890"
Accept-Ranges: bytes
Content-Length: 1234
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Content-Type: text/html
<!DOCTYPE html>
<html>
<head><title>Welcome</title></head>
<body><h1>Content Placeholder</h1></body>
</html>
Các Chỉ số Hệ thống và Đặc điểm Cấu hình
Máy chủ chính được xác định là gilbertfix.info, được lưu trữ trên địa chỉ IP 149.248.76.43 tại Wyoming.
Máy chủ này hiển thị các tiêu đề kiểm soát bộ nhớ đệm (cache control) điển hình, bao gồm cấu hình Cache-Control: no-store, no-cache, must-revalidate.
Những biện pháp phòng thủ này cho thấy hạ tầng được thiết kế để ngăn chặn việc lưu vào bộ nhớ đệm và bảo mật các kênh liên lạc nhạy cảm, một đặc điểm quan trọng trong phân tích threat intelligence.
Tăng cường Khả năng Phòng thủ với Threat Intelligence
Triển khai Phát hiện Chủ động
Những phát hiện này cho phép các đội ngũ bảo mật triển khai phát hiện mối đe dọa chủ động bằng cách giám sát các mẫu phản hồi HTTP cụ thể này.
Các tổ chức hiện có thể tương quan các chỉ số thỏa hiệp mạng (IOC) với hạ tầng APT-C-35 đã biết. Điều này giúp đẩy nhanh thời gian phản ứng sự cố và cải thiện độ chính xác trong việc xác định đặc điểm mối đe dọa.
Nghiên cứu này củng cố tầm quan trọng của việc săn lùng hạ tầng liên tục trong việc duy trì nhận thức tình huống chống lại các tác nhân đe dọa, góp phần vào bức tranh threat intelligence toàn diện.
Việc tích hợp dữ liệu threat intelligence chi tiết như vậy vào các hệ thống phòng thủ giúp tăng cường khả năng chống chịu của tổ chức.
Hiểu rõ các dấu hiệu kỹ thuật của APT-C-35 là một bước tiến quan trọng trong việc bảo vệ cơ sở hạ tầng mạng.
