Volt Typhoon 採用離地技術瞄準美國關鍵基礎設施

這次攻擊是由Volt Typhoon進行的，Volt Typhoon 是一個位於中國的受政府資助執行者，通常專注於間諜活動和資訊收集。Microsoft 做出了較有保握的評估，認為 Volt Typhoon 的活動是在尋求開發能力，即可能會在未來危機期間破壞美國和亞洲地區之間的關鍵通信基礎設施的能力。

自 2021 年年中以來，Volt Typhoon 一直很活躍，其目標為關島和美國其他地方的關鍵基礎設施組織。在這項活動中，受影響的組織涵蓋通信、製造、公用事業、運輸、建築、海事、政府、資訊技術和教育部門。觀察到的行為表明， 威脅行為者 意在執行間諜活動並儘可能長時間地在不被發現的情況下保持訪問。

為了實現其目標，威脅行為者在這次活動中高度重視隱身，幾乎完全依靠離岸技術和鍵盤動手活動。他們通過命令行發出命令，以 （1） 收集數據，包括來自本地和網路系統的憑據，（2） 將數據放入存檔文件以暫存以進行外泄，然後 （3） 使用被盜的有效憑據來維護持久性。此外，Volt Typhoon 還試圖通過受感染的小型辦公室和家庭辦公室 （SOHO） 網路設備（包括路由器、防火牆和 VPN 硬體）路由流量，從而融入正常的網路活動。他們還被觀察到使用開源工具的自定義版本，通過代理建立命令和控制 （C2） 通道，以進一步不被發現。

在這篇 博文中，我們分享了有關 Volt Typhoon 的資訊、其針對關鍵基礎設施供應商的活動，以及其實現和維護對目標網路的未經授權訪問的策略。由於該活動依賴於有效帳戶和離岸二進位檔 （LOLBins），因此檢測和緩解此攻擊可能頗具挑戰性。必須關閉或更改被盜用的帳戶。在本 博文的末尾，我們將更多地分享緩解步驟和最佳做法，並提供有關 Microsoft 365 Defender 如何檢測惡意和可疑活動以保護組織免受此類隱蔽攻擊的詳細資訊。美國國家安全局 （NSA） 還發佈了一份 網路安全公告 [PDF] ，其中包含本博客中討論的戰術、技術和程式 （TTP） 的狩獵指南。有關詳細資訊，請查看 完整的博客文章 。

與任何觀察到的民族國家行為者活動一樣，Microsoft 已直接通知目標或受感染的客戶，為他們提供保護其環境所需的重要資訊。若要瞭解 Microsoft 的威脅行為者和跟蹤方法，請閱讀 Microsoft 轉向新的威脅參與者命名分類