发新话题
打印

关注网络战

关注网络战

1 APT10=XX国家安quan局?
1.1 三名成员
1.1.1 Zheng姓成员曝光分析:
  • 火眼的一篇报告中将zhengyanbin8@gmail.com这个邮箱地址作为APT10攻击者指征罗列了出来.
  • 上述邮箱同时也是cmdnewview.com域名的拥有者.
  • 上述域名被PaloAlto在CloudHoper报告中提到,明确定性为APT10攻击者所有.
  • 可能的猜测:Zheng姓成员在APT10攻击小组中的角色为C2管理员.


1.1.2 Gao姓成员曝光分析:
  • 2010年早期的一个Poison Ivy特马样本曾经借助钓鱼邮件传播.
  • 分析钓鱼邮件的元信息发现如下事实:发件人机器名称:Fisherxp-pc[.]domain.发件人原始IP:218.67.128[.]26
  • 调查Fisherxp这个名字持有者一系列的可疑网络踪迹1)一张腾讯微博发布的车祸照片,天津车牌.(2)曝光APT10 Zheng姓成员的隔天就关注了曝光者的推特账号,表明其对APT10十分关注.(3)持有者曾经以Gao先生,手机号+8615022550833在51cto发布过天津华盈海泰科技发展有限公司的招聘广告(4)上述手机号同时是另一家公司Laoying Baichen设备仪器厂的联系人.此公司办公地点为天津市河东区新开路46号冠福大厦1102 (3) 与其他情报机构联系得知持有人的真实姓名或为GaoQiang.并注册了Facebook账号使用.


1.1.3 Zhao姓成员曝光分析:
  • 查看APT10 Gao姓成员的推特发现其与 https://twitter.com/baobeilong 这个账号存在互相关注的现象.
  • baobeilong的github账号在2015年fork了QuasarRat木马和Trochilus木马这两个repo. 其中Trochilus被日本CERT定性为APT10所使用的特马.
  • 从baobeilong在Flickr发布的一张照片的拍摄角度分析,baobei龙可能的地理位置是天津新开路.这个位置恰巧是Gao姓成员华盈海泰公司的办公地点,表明Gao姓成员与Zhao姓成员在地理位置上十分接近.
  • baobeilong的饭否账号显示xiaohong[.]org为其拥有的域名.
  • 2007年xiaohong[.]org的注册人为Zhang ShiLong.手机号为8613116037711.邮箱为robin4700[at]foxmail.com
  • 上述邮箱同时是atreex[.]cn域名的注册邮箱.在2006年 atreex[.]cn网站上有一个友情链接指向了Gao姓成员拥有的域名,再次佐证两人是相熟的状态.
  • 在APT10攻击小组的CloudHopper行动曝光后,xiaohong[.]org域名立刻开启了域名隐私保护.



1.2 背后公司
  • 发现1: Gao姓成员为疑似APT10团队成员(具体分析见8-7日情报).
  • 发现2: Gao姓成员曾经以天津华盈海泰科技发展有限公司的身份发布过招聘广告.
  • 发现3: 调查发现上述公司股东两名:方亭持股70% 孙杰持股30%.另有冯涛为管理人员在列.
  • 发现4: 上述公司地址:天津市河西区解放南路中段西侧富裕大厦1-1906.
  • 发现5: 上述公司性质: "海泰科技发展有限公司是一家致力于网络安全建设、网络安全施工、网络安全产品开发的高科技公司,凭着满腔热忱和高超的技术为中国网络安全能跻身世界网络安全贡献力量."
  • 发现6: 关联上述公司域名huayinghaitai.com 发现相同注册人信息的域名还有18个 .


1.3 Uber打车证据文中所涉地点人物前情提要:
  • 根据之前分析文章,解放南路384号是APT10背后掩护公司的办公地点.
  • 根据之前分析文章,高强是APT10黑客团队中的一员.
不知道哪里搞来的几张Uber打车票据显示APT10组织内的一名黑客与XX市国家安quan局有关联. (注:这里的几张票据估计是N张所有的高强的打车记录)
第一张票据显示: 18:32分-18:48分 高强从 河西区解放南路384号 去了 西青区.



第二张票据显示: 20:03分-20:19分 高强从 河西区珠江道85号 去了 西青区.



这个珠江道85号恰巧是XX市国家安quan局的驻地.


原文:https://wlz.ooo/apt10.html




TOP

TOP

发新话题