Aflați detalii direct de la experți din podcastul Investigarea amenințărilor Microsoft. Ascultați acum.
Volt Typhoon vizează infrastructura critică din Statele Unite ale Americii prin tehnici cu instrumente native (LOTL)
Atacul este efectuat de Volt Typhoon, un actor di n China sponsorizat de stat, care se concentrează de obicei pe spionaj și culegerea de informații. Microsoft evaluează, cu un grad moderat de încredere, că această campanie Volt Typhoon are ca scop dezvoltarea de capacități care ar putea întrerupe infrastructura critică de comunicații între Statele Unite ale Americii și zona Asiei în timpul unor crize viitoare.
Volt Typhoon activează de la jumătatea anului 2021 și a vizat organizații cu infrastructură critică din Guam și alte părți din Statele Unite ale Americii. În această campanie, sectoarele de activitate ale organizațiilor afectate sunt comunicații, industria prelucrătoare, utilități, transport, construcții, industria maritimă, guvern, tehnologia informației și educație. Comportamentul observat sugerează că actorul de amenințare intenționează să spioneze și să mențină accesul fără a fi detectat cât mai mult timp posibil.
Pentru a-și atinge scopul, actorul de amenințare pune accentul pe camuflare în această campanie, bazându-se aproape în exclusivitate pe tehnici cu instrumente native (LOTL) și intervenția manuală de la tastatură. Apoi, lansează comenzi prin intermediul liniei de comandă ca (1) să colecteze date, inclusiv acreditări de la sisteme locale și de rețea, (2) să pună datele într-un fișier de arhivă pentru a-l pregăti pentru furtul de date și, apoi, (3) să folosească acreditările valide furate pentru a persista. În plus, Volt Typhoon încearcă să se integreze în activitatea de rețea normală, rutând traficul prin echipament mic de rețea compromis, destinat pentru acasă sau birouri mici, inclusiv routere, firewall-uri și hardware VPN. De asemenea, am observat că aceștia folosesc versiuni personalizate ale unor instrumente open-source pentru a stabili un canal de comandă și control (C2) prin proxy, pentru a rămâne nedetectați și mai mult.
În această postare pe blog, împărtășim informații despre Volt Typhoon, campania lor care vizează furnizori cu infrastructură critică și tacticile lor pentru dobândirea și menținerea accesului neautorizat la rețelele vizate. Întrucât această activitate se bazează pe conturi valide și binare native (LOLBins), detectarea și reducerea riscului acestui atac poate fi o provocare. Conturile compromise trebuie închise sau schimbate. La finalul acestei postări pe blog, oferim mai mulți pași pentru reducerea riscului și cele mai bune practici, precum și detalii despre cum detectează Microsoft 365 Defender activitatea rău intenționată și suspectă, pentru a proteja organizațiile de asemenea atacuri ascunse. De asemenea, National Security Agency (NSA) a publicat un Cybersecurity Advisory [PDF] ce conține un ghid de căutare activă pentru tacticile, tehnicile și procedurile (TTP) discutate în acest blog. Pentru informații suplimentare, consultați postarea pe blog completă.
Așa cum procedează pentru activitatea oricărui actor de stat, Microsoft a notificat direct clienții vizați sau compromiși, oferindu-le informații importante pentru a-și securiza mediile. Pentru a afla despre abordarea Microsoft față de monitorizarea actorilor de amenințare, citiți Microsoft trece la o nouă taxonomie pentru denumirea actorilor de amenințare
Urmăriți Microsoft