威胁追踪人员发现了一批此前未被披露的域名,部分域名的注册时间可追溯至 2020 年 5 月,这些域名与威胁行为者 “盐台风”(Salt Typhoon)及 UNC4841 有关。
“这些域名的历史可追溯至数年前,最早的注册活动发生在 2020 年 5 月,这进一步证实,2024 年‘盐台风’组织的攻击并非该团伙首次开展此类活动。”Silent Push 公司在与《黑客新闻》(The Hacker News)分享的一份新分析报告中表示。
经确认,这 45 个域名构成的基础设施,与另一个被标记为 UNC4841 的黑客组织存在一定程度的重叠。UNC4841 最知名的活动,是利用梭子鱼邮件安全网关(Barracuda Email Security Gateway,ESG)设备中的一个安全漏洞(CVE-2023-2868,CVSS 评分为 9.8)发起零日攻击。
“盐台风” 组织自 2019 年起开始活跃,去年因针对美国电信服务提供商发起攻击而广受关注。该威胁团伙其活动模式与 “地球门第”(Earth Estries)、“知名麻雀”(FamousSparrow)、“幽灵帝王”(GhostEmperor)及 UNC5807 等已知威胁行为体的活动存在相似之处。
Silent Push 公司指出,已识别出 3 个质子邮箱(Proton Mail)地址,这些地址被用于注册多达 16 个域名,且注册时使用的均为虚假地址。
对这 45 个域名相关 IP 地址的进一步调查显示,其中许多域名指向 “高密度 IP 地址”—— 即目前或过去有大量主机名指向的 IP 地址。在指向 “低密度 IP 地址” 的域名中,最早的活动可追溯至 2021 年 10 月。
在这些与活动相关的域名中,历史最悠久的是 onlineeylity [.] com,该域名注册于 2020 年 5 月 19 日,注册者使用的虚假身份为 “莫妮卡・伯奇(Monica Burch)”,并声称居住在加利福尼亚州洛杉矶市孔茨巷 1294 号(1294 Koontz Lane)。
“因此,我们强烈建议所有认为自身可能面临威胁的组织,检索过去五年的 DNS 日志,排查是否存在对我们档案源中任一域名及其子域名的访问请求,”Silent Push 公司表示,“同时,排查是否存在对所列任一 IP 地址的访问请求也是明智之举,尤其是在该威胁行为体操控这些 IP 地址的时间段内。”
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
