Gamaredon és a ShadowPad infrastruktúrái
A Hunt.io jelentése két államilag támogatott kiberfenyegetési csoport, a Gamaredon és a ShadowPad infrastruktúrájának működését vizsgálja.
A Gamaredon, más néven Primitive Bear, egy orosz állami támogatású csoport, amely 2013 óta aktív. Elsődlegesen az ukrán kormányzati és civil szervezeteket célozza, de nyugati kormányzati szervezetek, afrikai és NATO-tagállamok ellen is indított már adathalász kampányokat. A csoport infrastruktúrájában gyakran alkalmaz flux-szerű DNS-technológiát, amely során a domainnevekhez rendelt IP-címeket gyorsan és folyamatosan változtatják. Ez megnehezíti a támadások forrásának azonosítását és az infrastruktúra leállítását. A Gamaredon által használt .ru végződésű domainek jelentős részét a REGRU-RU regisztrátoron keresztül jegyezték be, és idővel flux-szerű DNS-viselkedést mutattak.
A ShadowPad egy másik államilag támogatott kiberfenyegetési csoport, amelyet Kínához kötnek. A Hunt.io jelentése egy olyan szervercsoportot azonosított, amelyeket közös TLS-tanúsítvány köt össze, és amelyek közül az egyiket nemrégiben a ShadowPad hátsó ajtóval való kommunikáció során észlelték. Ez az infrastruktúra több jellemzőjében is átfedést mutat a RedFoxtrot/Nomad Panda csoporttal.
A jelentés hangsúlyozza, hogy a kiberfenyegetési csoportok által alkalmazott infrastruktúra-adminisztrációs technikák megértése ugyanolyan fontos, mint a használt rosszindulatú szoftverek elemzése. Az ilyen DNS-mintázatok azonosítása, az infrastruktúra klaszterezése és a fenyegetettségi intelligencia összekapcsolása révén a védelmi szakemberek korai rálátást nyerhetnek a potenciálisan rosszindulatú domainekre, és hatékonyabban védekezhetnek a támadások ellen.
