Volt Typhoon cilja na američku ključnu infrastrukturu s raspoloživim tehnikama

Napad je proveo Volt Typhoon, državno sponzoriran akter u Kini koji se obično usmjerava na špijunažu i prikupljanje informacija. Microsoft procjenjuje s umjerenom pouzdanošću da se ovom Volt Typhoon kampanjom nastoje razviti sposobnosti koje bi mogle onemogućiti ključnu komunikacijsku infrastrukturu između Sjedinjenih Američkih Država i azijske regije tijekom budućih kriza.

Volt Typhoon aktivan je od sredina 2021. i ciljao je na ključne infrastrukturne organizacije u Guamu i drugdje u Sjedinjenim Američkim Državama. U ovoj kampanju pogođene organizacije obuhvaćaju sektor komunikacija, proizvodnje, komunalija, prijevoza, građevine, pomorstva, vlade, informacijskih tehnologija i obrazovanja. Promatrano ponašanje ukazuje na to da zlonamjerni akter namjerava provesti špijunažu i zadržati pristup bez detektiranja što je duže moguće.

Da bi ostvario svoj cilj, zlonamjerni akter stavlja snažan naglasak na skrivanje u svojoj kampanji i oslanja se gotovo isključivo naraspoložive tehnike i aktivnost s rukama na tipkovnici. Izdaju naredbe preko naredbenog retka za (1) prikupljanje podataka, uključujući vjerodajnice iz lokalnih i mrežnih sustava, (2) stavljanje podataka u datoteku arhive kako bi je prikazali za eksfiltraciju, a zatim (3) koriste ukradene važeće vjerodajnice za održavanje ustrajnosti. Dodatno, Volt Typhoon nastoji se uklopiti u normalnu mrežnu aktivnost usmjeravanjem prometa preko ugrožene mrežne opreme malog ureda i kućnog ureda (SOHO), uključujući rutere, vatrozide i VPN hardver. Također su se promatrali korištenjem prilagođenih verzija alata otvorenog koda radi uspostave kanala naredbe i kontrole (C2) nad proxyjem kako bi i dalje bili ispod radara.

U ovoj blog objavi dijelimo informacije o Volt Typhoonu, njihovoj kampanji koja cilja na pružatelje ključne infrastrukture i njihovu taktiku za ostvarenje i održavanje neovlaštenog pristupa ciljanim mrežama. S obzirom na to da se ova aktivnost oslanja na važeće račune i raspoložive binarne podatke (LOLBins), detektiranje i ublažavanje ovog napada moglo bi biti izazovno. Ugroženi računi moraju se zatvoriti ili promijeniti. Na kraju ove blog objave dijelimo više koraka i najboljih praksi ublažavanja i pružamo pojedinosti o tome kako Microsoft 365 Defender detektira zlonamjernu i sumnjivu aktivnost za zaštitu tvrtki ili ustanova od takvih skrivenih napada. National Security Agency (NSA) također je objavila Savjete o računalnoj sigurnosti [PDF] koji sadrže vodič za lociranje za taktiku, tehnike i procedure (TTP-ovi) o kojima se govorilo u ovom blogu. Pogledajte cijelu blog objavu za više informacija.

Kao što je sa svakom promatranom aktivnosti državnog aktera, Microsoft je izravno obavijestio ciljane i ugrožene kupce i dao im važne informacije potrebne za osiguranje njihovih okruženja. Da biste saznali više o Microsoftovu pristupu praćenju zlonamjernih aktera, pročitajte Microsoft se prebacuje na novu taksonomiju imenovanja zlonamjernih aktera