Salt Typhoon: пять лет под носом бизнеса

Исследователи в области кибербезопасности обнаружили 45 доменов, связанных с кибершпионажем группировки Salt Typhoon. Некоторые из этих доменов были зарегистрированы уже пять лет назад, и только сейчас стали известны широкой публике. Компания Silent Push опубликовала детальный отчет: по их данным, десятки нераскрытых ранее доменов использовались в инфраструктуре командования и контроля — так называемой C2-сети, через которую группы, такие как китайская UNC4841, управляли вредоносным ПО, выкачивали данные и тихо сидели внутри корпоративных сетей, избегая обнаружения.

Часто для регистрации доменов использовались вымышленные имена типа Shawn Francis или Monica Burch — или электронные адреса на ProtonMail с липовыми американскими почтовыми адресами. Некоторые адреса изображали из себя вполне настоящие ресурсы, например, newhkdaily[dot]com — эксперты полагают, что такие «фейки» могли работать еще и для пропаганды или психологических операций.

В отчете отмечается: самые старые регистрации привязаны к маю 2020 года — это лишний раз подтверждает, что атаки группировки продолжаются уже давно и нынешние преступные кампании — далеко не первые. Еще одна важная деталь: домены сидели на малозаселённых IP-адресах, что обычно свидетельствует о специальном, а не случайном использовании.

Silent Push настоятельно рекомендует всем организациям пересмотреть свои DNS-логи и телеметрию за последние пять лет. Отдельно стоит обратить внимание на запросы к этим 45 новым доменам (или их поддоменам), подозрительные соединения с ними, особенно в периоды их активности, и структуру IP-адресов низкой плотности — такой, как описана в отчете.

Хотя сегодня многие вредоносные инфраструктуры могут быть неактивны, исторические данные DNS позволяют выявить взломы и длительное проникновение в сети. Если ваша компания обнаружит совпадения в своих журналах, рекомендуется немедленно расследовать ситуацию и принять меры по локализации и устранению угроз, пока они не перешли к следующей фазе.