“盐台风” 组织的网络非法活动
威胁追踪人员发现了一批此前未被披露的域名,部分域名的注册时间可追溯至 2020 年 5 月,这些域名与威胁行为者 “盐台风”(Salt Typhoon)及 UNC4841 有关。 “这些域名的历史可追溯至数年前,最早的注册活动发生在 2020 年 5 月,这进一步证实,2024 年‘盐台风’组织的攻击并非该团伙首次开展此类活动。”Silent Push 公司在与《黑客新闻》(The Hacker News)分享的一份新分析报告中表示。 经确认,这 45 个域名构成的基础设施,与另一个被标记为 UNC4841 的黑客组织存在一定程度的重叠。UNC4841 最知名的活动,是利用梭子鱼邮件安全网关(Barracuda Email Security Gateway,ESG)设备中的一个安全漏洞(CVE-2023-2868,CVSS 评分为 9.8)发起零日攻击。 “盐台风” 组织自 2019 年起开始活跃,去年因针对美国电信服务提供商发起攻击而广受关注。该威胁团伙其活动模式与 “地球门第”(Earth Estries)、“知名麻雀”(FamousSparrow)、“幽灵帝王”(GhostEmperor)及 UNC5807 等已知威胁行为体的活动存在相似之处。关键基础设施分析
Silent Push 公司指出,已识别出 3 个质子邮箱(Proton Mail)地址,这些地址被用于注册多达 16 个域名,且注册时使用的均为虚假地址。 对这 45 个域名相关 IP 地址的进一步调查显示,其中许多域名指向 “高密度 IP 地址”—— 即目前或过去有大量主机名指向的 IP 地址。在指向 “低密度 IP 地址” 的域名中,最早的活动可追溯至 2021 年 10 月。 在这些与活动相关的域名中,历史最悠久的是 onlineeylity [.] com,该域名注册于 2020 年 5 月 19 日,注册者使用的虚假身份为 “莫妮卡・伯奇(Monica Burch)”,并声称居住在加利福尼亚州洛杉矶市孔茨巷 1294 号(1294 Koontz Lane)。 “因此,我们强烈建议所有认为自身可能面临威胁的组织,检索过去五年的 DNS 日志,排查是否存在对我们档案源中任一域名及其子域名的访问请求,”Silent Push 公司表示,“同时,排查是否存在对所列任一 IP 地址的访问请求也是明智之举,尤其是在该威胁行为体操控这些 IP 地址的时间段内。”
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。


评论