威脅獵人與研究人員發現共 45 個網域,部分可追溯至 2020 年,並已確認與中國駭客組織「鹽颱風」和另一中國相關的駭客組織 UNC4841 有關。而 UNC4841 最為人所知的是利用
Barracuda 電子郵件安全閘道(ESG)設備的零時差漏洞 (CVE-2023-2868,CVSS分數:9.8)。
資安業者 Silent Push 在與外媒分享最新分析時指出,這些網域最早的註冊活動發生在 2020 年 5 月,證實 2024 年的鹽颱風攻擊並非該組織首次行動。該組織使用三個 Proton Mail 電子郵件地址註冊了 16 個使用虛構地址的網域,用來執行網路間諜活動以獲取對目標組織的長期且隱蔽的存取權限。
鹽颱風自 2019 年起活躍,並在去年因鎖定美國電信服務供應商而引起廣泛關注。該威脅組織據信受中國國家安全部(MSS)操控,其活動模式與被識別為
Earth Estries、FamousSparrow、GhostEmperor 和 UNC5807 的駭客組織相似。
延伸閱讀:中國駭客組織「鹽颱風」利用新型 GhostSpider 後門程式攻擊電信業者
追蹤惡意網域
研究人員對這些網域的追蹤源自趨勢科技於 2024 年 11 月發布的部落格文章,當時將鹽颱風稱為「Earth Estries」外,更揭露了該組織使用的三種惡意程式及其指揮控制(C2)主機名稱:
Demodex 底層攻擊套件(rootkit)以及
Snappybee 和
Ghostspider 後門程式。
Silent Push 透過分析 WHOIS 資料,發現了一個明顯模式:
多個與惡意程式相關的網域都使用ProtonMail[.]com電子郵件地址進行註冊。經過深入調查,研究人員最終確認了至少 45 個與鹽颱風和 UNC4841 有關的網域。
經確認,與中國政府支持的 APT 攻擊活動相關的最早網域是 onlineeylity[.]com,該網域於2020年5月19日由「Monica Burch」註冊。這位註冊人宣稱居住在洛杉磯的1294 Koontz Lane,但該地址實為虛構。
另一名假冒身分「Shawn Francis」聲稱住在邁阿密,註冊了九個額外網域:asparticrooftop[.]com、cloudprocenter[.]com、e-forwardviewupdata[.]com、fitbookcatwer[.]com、hateupopred[.]com、shalaordereport[.]com、verfiedoccurr[.]com、waystrkeprosh[.]com和xdmgwctese[.]com。此外,還有一個虛構人物「Tommie Arnold」註冊了兩個網域 incisivelyfut[.]com 和 sinceretehope[.]com,而該人聲稱的居住地同樣是一個不存在的地址。
這些獨特的虛假地址細節使研究人員能夠高度確信,所有網域均由同一攻擊者建立作為關聯基礎設施。
研究人員發現,「使用看似無害的英文名稱,搭配美國境內不存在的地址」已成為識別這些中國政府支持駭客組織的特徵模式。
中國網路間諜活動持續
鹽颱風正快速崛起為有史以來最強大的中國支持駭客組織之一。去年,該組織對全球電信公司的大規模入侵及其他攻擊行動震驚了全球資安界,其影響至今仍持續。事實上,這次入侵的後果仍在發酵,美國等國家的政府官員仍在思考如何應對這種持續的網路間諜威脅。
基於此,Silent Push 建議資安防禦人員應高度關注鹽颱風的一切活動及其與其他中國威脅行為者的關聯,並徹底檢查網路中是否有與新揭露網域相關的可疑活動。該公司特別強調,鹽颱風駭客曾潛伏在某些電信網路中長達一年之久才被發現。
任何可能面臨中國網路間諜攻擊風險的組織,應檢查過去五年的 DNS 紀錄,查找是否有針對資料庫中列出網域或子網域的請求。此外,也應檢視是否有向這些 IP 位址發出的連線請求,尤其要關注攻擊者積極運作這些基礎設施的時期。
本文轉載自 DarkReading、TheHackerNews。