كشف باحثون في الأمن السيبراني عن 45 نطاقاً جديداً استُخدم ضمن عمليات تجسس إلكتروني مرتبطة بمجموعة التهديد الصينية المعروفة باسم "سولت تايفون"، يعود تاريخ بعضها إلى عام 2020.
وبحسب تقرير مفصل نشرته شركة Silent Push هذا الأسبوع، فإن هذه النطاقات شكّلت جزءاً من بنية تحتية للقيادة والسيطرة (C2)، جرى توظيفها للحفاظ على وصول طويل الأمد إلى أنظمة مخترقة، إلى جانب إدارة برمجيات خبيثة عن بُعد.
واعتمدت المجموعة على أساليب تمويه بارعة، إذ تم تسجيل بعض النطاقات بأسماء وهمية مثل Shawn Francis وMonica Burch، بينما جرى استخدام بريد ProtonMail مع عناوين أميركية مزيفة لتسجيل نطاقات أخرى. كما لجأت بعض المواقع إلى انتحال هويات شرعية، ما يرجح استخدامها في عمليات دعائية أو حروب نفسية موجهة.
ووفقاً للتقرير، فإن هذه النطاقات تتشارك في عناوين IP منخفضة الكثافة، وهو ما يدل على تخصيصها حصراً للأنشطة الخبيثة، بعيداً عن الاستخدامات الاعتيادية.
ودعت الشركة المؤسسات حول العالم إلى مراجعة سجلات DNS وبيانات القياس التاريخية لآخر خمس سنوات، للتأكد من عدم وجود أي مؤشرات اتصال بهذه النطاقات أو عناوينها الفرعية، حتى لو لم تعد نشطة حالياً.
وأكدت "Silent Push" أن تحليل هذه البيانات قد يكشف عن اختراقات سابقة أو مستمرة، مشددةً على ضرورة الإسراع في التحقيق واحتواء أي تهديد محتمل، خصوصاً في ظل تزايد تعقيد الهجمات السيبرانية واستخدامها أدوات تمويه عالية الاحترافية.
(العربية)
[email protected]
أضف تعليق