(画像提供:Shutterstock)
- Silent Pushが中国のAPTグループによる長期サイバースパイ活動に使われた45のドメインを発見
- ドメインは偽名で登録され、秘匿性の高いC2運用のために低密度IPに紐付けられていた
- 組織は過去5年分のDNSログを確認し、侵害の兆候がないか調査を推奨
セキュリティ研究者は最近、Salt Typhoonによるサイバースパイ活動の一環として使用された、数年前に登録されたものを含む45のドメインを発見しました。
今週初め、サイバーセキュリティ企業Silent Pushは、中国のAPTグループが侵害したシステムへの長期かつ秘匿的なアクセスを維持するために使用していたコマンド&コントロール(C2)インフラの一部である未報告のドメインを数十件発見し、詳細なレポートを公開しました。
Salt Typhoon以外にも、UNC4841と呼ばれるグループも同じドメインを利用していたとみられ、これにより遠隔でマルウェアの管理、データの持ち出し、ネットワーク内での秘匿的な活動継続が可能となっていました。
DNSログの確認
Silent PushはWHOISおよびSOAレコードを分析し、2020年5月に遡るドメインを発見しました。その中には、Shawn FrancisやMonica Burchといった偽名で登録されたものも含まれていました。他にも、ProtonMailアドレスや、実在しない米国の住所を使って登録されたものもありました。
一部のドメインは、newhkdaily[dot]comのように正規の組織を装っており、心理作戦やプロパガンダ目的で使用された可能性があると研究者は指摘しています。
「これらのドメインは数年前に遡り、最も古い登録は2020年5月に行われており、2024年のSalt Typhoon攻撃がこのグループによる最初の活動ではなかったことを裏付けています」とレポートでは述べられています。
またSilent Pushは、これらのドメインが低密度IPアドレスを共有していたことも明らかにしており、これは人口密度が低く、悪意ある活動専用であった可能性が高いとしています。
同社は現在、すべての組織に対し、今回新たに特定された45のドメインやそのサブドメインに関する活動がないか、過去5年分のDNSログやテレメトリデータを調査するよう呼びかけています。
これには、リストにあるドメインへのDNSリクエスト、関連するIPアドレスへの接続(特にドメインが活動していた期間)、レポートで説明された低密度IPインフラに一致するパターンの確認などが含まれます。
インフラ自体はすでに活動を停止している可能性が高いものの、過去のDNSデータからは過去の侵害や現在も続く潜在的な脅威を明らかにできるため、該当する組織は調査・封じ込め・脅威の除去などの対応を取ることができます。
