Схема маскировки работала безупречно, пока исследователи не нашли ключевую зацепку.
Исследователи Silent Push инфраструктуру, связанную с китайскими Salt Typhoon и UNC4841. В новую выборку вошли 45 ранее не публиковавшихся доменов, часть которых была зарегистрирована ещё в мае 2020 года. Это опровергает представление о том, что громкие атаки Salt Typhoon на американских в 2024-м стали их первым выходом — активность группировки фиксируется минимум с 2019 года.
Salt Typhoon, по данным аналитиков, действует под управлением Министерства госбезопасности Китая и имеет сходство с кампаниями, которые отслеживаются под именами Earth Estries, FamousSparrow, GhostEmperor и UNC5807. Группа UNC4841, с которой пересекается инфраструктура, известна эксплуатацией 0day- в шлюзах Barracuda ESG — (оценка CVSS 9.8).
При анализе регистрационных данных специалисты выяснили, что для создания 16 доменов использовались почтовые адреса Proton Mail, оформленные на вымышленных владельцев с фиктивными адресами. Самый старый выявленный ресурс — onlineeylity[.]com, зарегистрированный 19 мая 2020 года на поддельное имя Monica Burch, якобы проживающую в Лос-Анджелесе.
Анализ IP-адресов, связанных с доменами, показал, что значительная часть указывала на адреса с высокой концентрацией доменов (когда к одному IP привязаны десятки или сотни имён). На ресурсах с низкой концентрацией (один IP используется для одного или нескольких доменов) первая активность отслеживается с октября 2021 года.
Silent Push предупредила, что организации, которые могут попасть в зону интереса китайской разведки, должны проверить DNS-логи за последние пять лет на предмет обращений к этим доменам или их поддоменам, а также проанализировать сетевые запросы к выявленным IP-адресам в периоды активности атакующих.
Подробнее:
Исследователи Silent Push инфраструктуру, связанную с китайскими Salt Typhoon и UNC4841. В новую выборку вошли 45 ранее не публиковавшихся доменов, часть которых была зарегистрирована ещё в мае 2020 года. Это опровергает представление о том, что громкие атаки Salt Typhoon на американских в 2024-м стали их первым выходом — активность группировки фиксируется минимум с 2019 года.
Salt Typhoon, по данным аналитиков, действует под управлением Министерства госбезопасности Китая и имеет сходство с кампаниями, которые отслеживаются под именами Earth Estries, FamousSparrow, GhostEmperor и UNC5807. Группа UNC4841, с которой пересекается инфраструктура, известна эксплуатацией 0day- в шлюзах Barracuda ESG — (оценка CVSS 9.8).
При анализе регистрационных данных специалисты выяснили, что для создания 16 доменов использовались почтовые адреса Proton Mail, оформленные на вымышленных владельцев с фиктивными адресами. Самый старый выявленный ресурс — onlineeylity[.]com, зарегистрированный 19 мая 2020 года на поддельное имя Monica Burch, якобы проживающую в Лос-Анджелесе.
Анализ IP-адресов, связанных с доменами, показал, что значительная часть указывала на адреса с высокой концентрацией доменов (когда к одному IP привязаны десятки или сотни имён). На ресурсах с низкой концентрацией (один IP используется для одного или нескольких доменов) первая активность отслеживается с октября 2021 года.
Silent Push предупредила, что организации, которые могут попасть в зону интереса китайской разведки, должны проверить DNS-логи за последние пять лет на предмет обращений к этим доменам или их поддоменам, а также проанализировать сетевые запросы к выявленным IP-адресам в периоды активности атакующих.
Подробнее:
