SEKOIA.IO 正在积极监控数百个恶意基础设施集群以保护其客户。鉴于最近的 Citizenlab 博客文章并声援打击网络雇佣兵的努力,我们选择揭露Lycantrox使用的基础设施集群之一,该集群可能会损害其目标。
虽然域模式看起来像是漏洞利用工具包的入口点,但该基础设施的规模表明它的用途更广泛。然而,我们缺乏具体证据来证实这一点。
基础设施的启示
Lycantrox使用的基础设施由托管在多个自治系统中的 VPS组成。每个Lycantrox用户似乎都运行自己的 VPS 实例并管理与其相关的自己的域名。当精确查看实例上列出的服务时,大多数时候有两个开放端口,用于管理的 SSH 和由 Nginx 管理的 443。在某些情况下,只有 443 可用。
与大多数侦听 443 的 C2 不同,Nginx 实例配置为仅在向其提供有效域名时才应答证书,否则它将应答 SSL_ERROR_UNRECOGNIZED_NAME_ALERT并且连接将被删除。
为了关联基础设施,我们可以简单地使用之前披露的启发式方法获取所有 IP 地址,寻找具有两个或更少开放端口的 VPS。这将为我们提供数百个 IP 地址的列表,然后我们可以对照被动 DNS 数据库进行检查,以便获取一些域名进行测试。
仅通过查看解析此列表的域名,我们就可以发现一些在历史上使用Lycantrox基础设施进行搜索时对我们敲响警钟的域名,例如虚假 URL 缩短程序或误植新闻网站,例如bitshort[.]info或elwatnanews[.]com。此外,其中许多都链接到已知接受加密货币付款并与网络犯罪活动相关的名称服务器。然而,我们需要确定Lycantrox是否使用了它们。
为了确保上述域与Lycantrox基础设施相关,可以进行主动检查。其目的是发现其中一些是否存在默认 Nginx 安装未显示的异常,这将是添加到我们最终启发式中的另一个判别性事物。在我们的调查过程中,我们发现这些域对任何测试的 URL 的响应都是204 无内容状态代码,即使它们显示 404 错误页面,这使我们能够对每个域进行分类:与Lycantrox相关或与Lycantrox无关。
最后,我们发现 121 个独特的活动域名与Lycantrox入侵集所关联的基础设施集群高度相关。一些已发现的域名存在拼写错误或很少提及下图所示的特定地理区域。
我们还提供了“中等可信度”的可疑Lycantrox相关域名,但我们在调查期间无法积极检查这些域名。值得注意的是,通过研究它们,可以看到可能与相同威胁参与者相关的其他域,这些域可能在过去使用过或用作备份基础设施。
情境分析
马达加斯加
唯一使用指向响应我们启发式的服务器的子域的服务器与马达加斯加相关。这些网站(soutien-a-rajoelina[.]com、emergency-mada[.]com和sahia-mijoro[.]com)——似乎是由威胁行为者自己创建的——是包含真实文章的 WordPress 博客马达加斯加报纸 Midi Madagasikara,也被打印为midi-madgasikara[.]co。
即使它们的子域指向恶意服务器,我们也无法检测到任何导致网站上恶意服务器的恶意 iframe、脚本插入或指纹识别脚本。在查找开放源代码以查找这些域的参考资料时,我们只看到了一次emergency-mada[.]com——该博客的一篇文章被链接到一个支持实际总统Andry Nirina Rajoelina的Facebook群组中。Sekoia.io 无法观察到链接网页历史记录中的恶意内容。
马达加斯加目前正在竞选2023 年 11 月 9 日的总统选举,2018 年当选的现任总统拉乔利纳正在寻求连任。Sekoia.io 评估马达加斯加政府服务部门(例如警察或国内情报部门)确实在选举前几个月购买并利用 Cytrox 的 Predator恶意软件进行政治国内监视,这似乎是合理的。这一假设在政治上与拉乔利纳的不民主做法是一致的——2009年政变让他上台,2019年参议院重大改革,社交媒体上大力宣传推动改革。此外,据Intelligence Online 报道,Cytrox 的母公司Intellexa公司从一家法国公司获得了一份与马达加斯加政府签订的收集和处理拦截数据的合同。
印度尼西亚
在Lycantrox域名中,suarajubi[.]net和suarajubi[.]com可能误植了Jubi TV,这是一家西巴布亚省反对派媒体,由记者兼巴布亚自治活动人士 Victor Mambor 资助。Jubi TV经常报道雅加达针对巴布亚活动人士的行动。Sekoia.io 评估印度尼西亚情报机构有可能购买并利用 Cytrox 的 Predator恶意软件进行政治监视,至少是对自治运动进行监视。
哈萨克斯坦
哈萨克斯坦出现在该名单上并不奇怪,因为该国与NSO、RCS Lab或FinFisher等网络监控供应商有过困扰人权活动家、政治家、记者和反对者的设备的历史。根据Sekoia.io 调查的Lycantrox域名以及阿斯塔纳记录的网络监控工具使用情况,哈萨克斯坦情报部门很可能购买并使用 Cytrox 的 Predator恶意软件。
安哥拉
Sekoia.io 分析师发现了多个与哈萨克斯坦实体相关的域名。其中至少有六个错字在线媒体—— folha-9[.]com、factosdiarios[.]co或lilpastanews[.]co——以及其他几个似乎与国家实体(主要电信运营商、国家石油生产公司、财政部、国家邮政局)。Sekoia.io 发现了与葡萄牙相关的其他误植域名 - mult[.]icaixa[.]info、cnn-portugal[.]com - 我们评估这些域名可能是安哥拉 Predator 活动的一部分。鉴于多个与安哥拉相关的域和葡萄牙语域,Sekoia.io 评估安哥拉政府服务部门也可能是 Cytrox 的客户。
结论
值得一提的是,自我们之前的调查和一些公开披露以来, Lycantrox已经强化了其反向代理,以防止此类照明。然而,有时,从防守者的角度来看,过多的强化可能会产生歧视,正如我们从这种相关性中看到的那样。
Sekoia.io 将继续努力打击已知的网络雇佣兵威胁行为者,方法是阐明其基础设施并向社区提供免费的相关危害指标 (IOC)。因此,如果您是记者、政治家或人权活动家,我们鼓励您检查您的设备是否存在以下域名列表,例如使用MVT分析您的 Android/iOS 日志或使用SPYGUARD进行检查根据一组启发式方法实时检测设备的网络通信,以检测可能的植入信标。
妥协指标
CitizenLabs 博客文章中提到的域,也在我们的调查过程中发现。
betly[.]me
sec-flare[.]com
verifyurl[.]me调查期间高可信度、活跃的基础设施。
candidaturasminfin[.]info
grupohel[.]social
notify-kz[.]info
intnews[.]world
taagangola[.]co
afrinew[.]net
tupuca[.]co
newsworldsports[.]co
newspool[.]net
informburo[.]info
dealstransfer[.]net
gorlovski[.]com
egypt-post[.]com
podcastnow[.]club
suarajubi[.]net
suarajubi[.]com
pasteposta[.]com
post-kz[.]info
mada[.]sahia-mijoro[.]com
bbitly[.]com
culniks[.]info
folha-9[.]com
shortly[.]work
lttlnk[.]net
mult[.]icaixa[.]info
mujimbos[.]co
leefco[.]net
liveco[.]live
showsme[.]info
brkorage[.]live
clckbck[.]com
flowercafee[.]com
soq[.]one
jornaldeangola[.]info
geloraku[.]id
smallme[.]net
quick-ads[.]com
jofki[.]com
midi-madgasikara[.]co
flytaps[.]com
factosdiarios[.]co
kz-news[.]cc
lilpastanews[.]co
popup-pw[.]info
eventes[.]org
fdnews[.]info
unitei[.]co
businessafricaonline[.]org
breaknews[.]live
actualite[.]emergence-mada[.]com
candidaturassonangol[.]info
correiosdeangola[.]info
9o[.]gg
allafrika[.]live
visavfsglobal[.]co
adenuncia[.]com
portalxa[.]com
sky-news[.]live
vinhosadega[.]com
shop-collect[.]com
bestwesternt[.]com
traffic-moi-eg[.]org
conodeti[.]com
gulfsports[.]info
dw-news[.]co
lexpressmg[.]xyz
jakalas[.]online
t-ready[.]me
grvnews[.]live
air-shopping[.]net
gostosadeluxo[.]com
aoatlasescort[.]com
universedades[.]com
bitshort[.]info
intercontinentalhg[.]com
clubs-k[.]com
nm-weather[.]live
imparcialpress[.]com
blitzmedia[.]live
shanam[.]org
kz-shops[.]me
youtub-eg[.]com
elwatnanews[.]com
tengrinnews[.]live
jornalf8[.]com
growebservice[.]com
zoometting[.]com
vaovao[.]soutien-a-rajoelina[.]com
ongs[.]life
truelocation[.]org
ordas-kz[.]com
glbnews[.]live
newsreuter[.]com
novojornal[.]co
almasrylayoum[.]com
dhll[.]live
redirto[.]info
mulherevips[.]com
sicnoticia[.]com
weather-live[.]com
africa-confidentiel[.]fr
skranski[.]com
cnn-portugal[.]com
wesalcity[.]net
platinalines[.]com
onlinewebinarmarketing[.]com
btlin[.]life
tclnk[.]live
kalwaski[.]xyz
sysnet[.]life
clcti[.]net
qamqors[.]net
gorows[.]live
moncn[.]co
skollie[.]online
smcu[.]me
sysly[.]sbs
bulk-ads[.]com
gulfweather[.]live
shortly[.]work
gulfsports[.]live调查期间基础设施处于中度至高度置信度、处于休眠或不活动状态。
amritacity[.]com
awlaqf[.]sbs
bosmata[.]com
politi[.]live
toomec[.]net
crudco[.]info
corncog[.]com
dbtest[.]online
espn-sports[.]live
ftlink[.]info
gsxr[.]me
gulfnews[.]today
gulfweather[.]co
helpemail[.]net
isalways[.]net
isconn[.]net
islink[.]info
letmelook[.]one
lnkkdis[.]xyz
lnklit[.]com
mg-news[.]info
miceups[.]com
mncnn[.]info
mnmlink[.]co
pklnk[.]com
post-info[.]kz
previeweb[.]xyz
sexychats[.]nl
southchinapost[.]net
supasports[.]xyz
syscncc[.]live
tconn[.]net
weatherforecast[.]services转载来源:https://blog.sekoia.io/active-lycantrox-infrastructure-illumination/
图片来源网络侵权可联系删除
