Derpy
Intern Writer
Gần đây, các nhà nghiên cứu an ninh mạng đã phát hiện ra 45 tên miền, một số trong số đó đã tồn tại nhiều năm, được sử dụng trong các chiến dịch gián điệp mạng mang tên Salt Typhoon. Đầu tuần này, công ty an ninh mạng Silent Push đã công bố một báo cáo chi tiết sau khi phát hiện ra hàng chục tên miền chưa được báo cáo trước đó, vốn là một phần của hạ tầng điều khiển và kiểm soát (C2) được các nhóm tấn công APT đến từ Trung Quốc sử dụng để duy trì quyền truy cập lâu dài, lén lút vào các hệ thống đã bị xâm nhập.
Ngoài nhóm Salt Typhoon, một nhóm khác được theo dõi với tên gọi UNC4841 cũng đã dường như sử dụng các tên miền tương tự, cho phép họ quản lý phần mềm độc hại từ xa, thu thập dữ liệu và duy trì sự hiện diện trong các mạng mà không bị phát hiện. Qua việc kiểm tra các nhật ký DNS, các nhà nghiên cứu từ Silent Push đã phân tích thông tin WHOIS và SOA, phát hiện ra rằng các tên miền này đã xuất hiện từ tháng 5 năm 2020. Một số tên miền được đăng ký bằng các nhân vật giả mạo như Shawn Francis hoặc Monica Burch, trong khi những tên miền khác lại được đăng ký bằng địa chỉ ProtonMail, thường có địa chỉ bưu điện không tồn tại tại Mỹ.
Đáng chú ý, một số tên miền bắt chước các thực thể hợp pháp, chẳng hạn như newhkdaily[dot]com, có thể đã được sử dụng cho các hoạt động tâm lý hoặc tuyên truyền, theo như các nhà nghiên cứu nhấn mạnh. “Những tên miền này đã tồn tại từ vài năm về trước, với hoạt động đăng ký lâu nhất diễn ra vào tháng 5 năm 2020, càng xác nhận rằng các cuộc tấn công Salt Typhoon năm 2024 không phải là hoạt động đầu tiên của nhóm này,” báo cáo cho biết.
Silent Push cũng cho biết rằng các tên miền này chia sẻ các địa chỉ IP mật độ thấp, có nghĩa là chúng có ít đối tượng kết nối và có khả năng cao là được dành riêng cho các hoạt động độc hại. Công ty hiện đang kêu gọi tất cả các tổ chức tìm kiếm trong các nhật ký DNS và dữ liệu telemetry của mình, quay ngược lại năm năm, để tìm bất kỳ dấu hiệu hoạt động nào liên quan đến 45 tên miền mới được xác định, hoặc các tên miền con của chúng. Điều này bao gồm việc tìm kiếm các yêu cầu DNS tới bất kỳ tên miền nào trong danh sách, các kết nối tới các địa chỉ IP liên quan (đặc biệt trong thời gian các tên miền này hoạt động), cũng như các mẫu phù hợp với hạ tầng IP mật độ thấp được mô tả trong báo cáo.
Mặc dù hạ tầng này có thể không còn hoạt động, nhưng dữ liệu DNS lịch sử có thể tiết lộ các lần xâm nhập trong quá khứ hoặc sự hiện diện liên tục, và các tổ chức phát hiện các đối sánh có thể thực hiện các bước điều tra, kiểm soát và khắc phục bất kỳ mối đe dọa còn tồn tại nào.
Nguồn tham khảo: Techradar
Ngoài nhóm Salt Typhoon, một nhóm khác được theo dõi với tên gọi UNC4841 cũng đã dường như sử dụng các tên miền tương tự, cho phép họ quản lý phần mềm độc hại từ xa, thu thập dữ liệu và duy trì sự hiện diện trong các mạng mà không bị phát hiện. Qua việc kiểm tra các nhật ký DNS, các nhà nghiên cứu từ Silent Push đã phân tích thông tin WHOIS và SOA, phát hiện ra rằng các tên miền này đã xuất hiện từ tháng 5 năm 2020. Một số tên miền được đăng ký bằng các nhân vật giả mạo như Shawn Francis hoặc Monica Burch, trong khi những tên miền khác lại được đăng ký bằng địa chỉ ProtonMail, thường có địa chỉ bưu điện không tồn tại tại Mỹ.
Đáng chú ý, một số tên miền bắt chước các thực thể hợp pháp, chẳng hạn như newhkdaily[dot]com, có thể đã được sử dụng cho các hoạt động tâm lý hoặc tuyên truyền, theo như các nhà nghiên cứu nhấn mạnh. “Những tên miền này đã tồn tại từ vài năm về trước, với hoạt động đăng ký lâu nhất diễn ra vào tháng 5 năm 2020, càng xác nhận rằng các cuộc tấn công Salt Typhoon năm 2024 không phải là hoạt động đầu tiên của nhóm này,” báo cáo cho biết.
Silent Push cũng cho biết rằng các tên miền này chia sẻ các địa chỉ IP mật độ thấp, có nghĩa là chúng có ít đối tượng kết nối và có khả năng cao là được dành riêng cho các hoạt động độc hại. Công ty hiện đang kêu gọi tất cả các tổ chức tìm kiếm trong các nhật ký DNS và dữ liệu telemetry của mình, quay ngược lại năm năm, để tìm bất kỳ dấu hiệu hoạt động nào liên quan đến 45 tên miền mới được xác định, hoặc các tên miền con của chúng. Điều này bao gồm việc tìm kiếm các yêu cầu DNS tới bất kỳ tên miền nào trong danh sách, các kết nối tới các địa chỉ IP liên quan (đặc biệt trong thời gian các tên miền này hoạt động), cũng như các mẫu phù hợp với hạ tầng IP mật độ thấp được mô tả trong báo cáo.
Mặc dù hạ tầng này có thể không còn hoạt động, nhưng dữ liệu DNS lịch sử có thể tiết lộ các lần xâm nhập trong quá khứ hoặc sự hiện diện liên tục, và các tổ chức phát hiện các đối sánh có thể thực hiện các bước điều tra, kiểm soát và khắc phục bất kỳ mối đe dọa còn tồn tại nào.
Nguồn tham khảo: Techradar
