登录/注册
投稿
首页 威胁情报 安全动态 漏洞预警 专题报告 技术分析 安全工具

FOFA资产拓线实战系列:COLDRIVER

Newbee123  46天前

iwEcAqNwbmcDAQTRBQAF0QKxBrDe4cL2oxaxHAXfUt0zg80AB9IHlZhLCAAJomltCgAL0gABqks.png_720x720q90.jpg

概述

COLDRIVER(也称为 UNC4057、Star Blizzard 和 Callisto),这是一个俄罗斯威胁组织,专注于针对非政府组织、前情报和军官以及北约政府的知名人士的凭据网络钓鱼活动。

本文尝试根据线索追踪COLDRIVER近期的活动痕迹,利用FOFA平台寻找COLDRIVER组织的痕迹,最终在FOFA平台上发现了2条与2024年1月18日公开的C2非常相似的数据。活动时间为2023年8月到10月期间。不过新发现的可疑IOC暂时没有发现未知资产的样本,但我们认为这两个IP存在高可疑性。

原始样本及C2地址收集

Google威胁分析小组在2024年1月18日公布了一篇关于APT组织 COLDRIVER 的钓鱼攻击分析文章。该文章发现在2023年8月到9月期间APT组织 COLDRIVER 处在活跃状态,并通过样本获取到了一个C2地址。

coldriver1.png

通过该文章我们得到了最初的IOC信息

    path:
/ws

    c2:
45.133.216[.]15:3000

    资产拓线

    使用FOFA进行查询文中提到的C2地址:

    coldriver2.png

    可以看到FOFA上更新时间为 2023-10-16 与报告报导时间比较接近。从该条FOFA数据发现有效的信息很少,只有端口为3000,协议TLS的banner信息以及存在证书这几点。

      1、端口为3000
FOFA语法:port="3000"
2、协议TLS banner信息
FOFA语法:banner="\x15\x03\x03\x00\x02\x022"
3、存在证书

      通过以上几个已知信息想到几条可以去尝试拓线的思路。

      通过3000端口和其端口的banner信息进行搜索以及通过是否存在相同的证书进行搜索。

      拓线一:通过3000端口及端口的banner信息查询,发现17条记录16个IP。

        banner="\x15\x03\x03\x00\x02\x022" && port="3000"

        image.png

        观察这17条数据后发现他们端口及banner信息高度相似,但是还是存在明显的数据误报。所以仅仅通过banner跟端口这种方式去查找不行需要进一步添加条件,于是我们把证书条件也进行添加,得到了5条数据:

          banner="\x15\x03\x03\x00\x02\x022" && port="3000" && cert="Internet Widgits Pty Ltd"

          coldriver4.png

          拓线二:通过证书查找,我们发现证书的 Organization:Internet Widgits Pty Ltd 应该是配置证书时的默认值。分析发现了一个较为关键的线索就是证书有效期。我们通过证书有效期跟证书默认组织名进行搜索

          coldriver5.png

            cert="Internet Widgits Pty Ltd" && cert="2023-06-23 15:59 UTC"

            image.png

            搜索出来6个IP,这6个IP是我们认为证书信息高度一致。

            小结:

            将拓线一跟拓线二的数据组合碰撞一下得到3条数据

              banner="\x15\x03\x03\x00\x02\x022" && port="3000" && cert="Internet Widgits Pty Ltd" && cert="2023-06-23 15:59 UTC"

              image.png

                IP45.133.216.15:300095.164.17.94:300089.19.211.240:3000

                通过查看这三条数据被发现的时间,发现为2023年8月到2023年10月。恰好位于Google威胁分析小组认为该组织活跃的时间内。如下:

                image.png

                image.png

                image.png

                验证

                查询验证上述得到的3个IP。不过除了目前谷歌公布的IP 45.133.216.15:3000 我们并没有在在微步、奇安信、virustotal查询发现其他2个IP的相关情报及样本证明。详情如下:coldriver13.png


                coldriver12.png


                coldriver13.png


                ▌总结

                利用FOFA平台寻找COLDRIVER组织的痕迹,最终在FOFA平台上发现了2条与2024年1月18日公开的C2非常相似的数据。活动时间为2023年8月到10月期间。不过新发现的可疑IOC暂时没有发现未知资产的样本,但我们认为这两个IP存在高可疑性。本次拓线语法如下:

                  拓线FOFA语法一:
banner="\x15\x03\x03\x00\x02\x022" && port="3000" && cert="Internet Widgits Pty Ltd"
拓线FOFA语法二:
cert="Internet Widgits Pty Ltd" && cert="2023-06-23 15:59 UTC"
最终语法:
banner="\x15\x03\x03\x00\x02\x022" && port="3000" && cert="Internet Widgits Pty Ltd" && cert="2023-06-23 15:59 UTC"

                  ▌引用

                    https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/

                    ▌附录

                      可疑地址:
95.164.17.94:3000
89.19.211.240:3000
C2地址:
45.133.216.15:3000
样本HASH(SHA256)
0f6b9d2ada67cebc8c0f03786c442c61c05cef5b92641ec4c1bdd8f5baeb2ee1
A949ec428116489f5e77cefc67fea475017e0f50d2289e17c3eb053072adcf24
C97acea1a6ef59d58a498f1e1f0e0648d6979c4325de3ee726038df1fc2e831d
Ac270310b5410e7430fe7e36a079525cd8724b002b38e13a6ee6e09b326f4847
                      上一篇: FOFA资产拓线实战系列:Ducktai...... 下一篇: 已经没有文章了

                      最新评论

                      昵称
                      邮箱
                      提交评论

                      相关推荐

                      CVE-2020-0863:Windows诊断跟踪...
                      JEP 290时代,攻击者是如何攻击J...
                      redis未授权到shiro反序列化之se...
                      一步步绕过Windows域中的防火墙...
                      如何更改Google搜索中的自动提示...

                      热门文章

                      友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋 指尖安全 2021上海网络安全博览会

                      nosec.org All Rights Reserved 京ICP备15042518号-2