Inscreva-se agora para assistir ao seminário na Web e fique por dentro dos insights do Relatório de Defesa Digital da Microsoft de 2024.
Volt Typhoon mira nas infraestruturas críticas dos EUA com técnicas "living-off-the-land"
O ataque é realizado por Volt Typhoon, um ator patrocinado pelo estado que está baseado na China e normalmente se concentra em espionagem e coleta de informações. A Microsoft avalia com um nível de confiança moderado que esta campanha de Volt Typhoon está buscando desenvolver capacidades que poderiam interromper a infraestrutura de comunicações importantes entre os Estados Unidos e a região da Ásia durante futuras crises.
Volt Typhoon está ativo desde meados de 2021 e tem como alvo organizações com infraestruturas importantes em Guam e em outros lugares nos Estados Unidos. Nesta campanha, as organizações afetadas abrangem os setores de comunicações, manufatura, utilidades, transporte, construção, marítimo, governo, tecnologia da informação e educação. O comportamento observado sugere que o ator da ameaça pretende realizar espionagem e manter o acesso sem ser detectado pelo maior tempo possível.
Para alcançar seu objetivo, o ator da ameaça coloca enfatiza muito a furtividade desta campanha, confiando quase exclusivamente em técnicas "living-off-the-land" e atividades "hands-on-keyboard" (atividades executadas diretamente no teclado, em tradução livre). Eles emitem comandos via linha de comando para: (1) coletar dados, incluindo credenciais de sistemas locais e de rede, (2) colocar os dados em um arquivo para prepará-los para exfiltração e, em seguida, (3) usar as credenciais válidas roubadas para se manter no ambiente. Além disso, o Volt Typhoon tenta se misturar à atividade normal da rede roteando o tráfego através de equipamentos de rede de pequenos escritórios e home office (SOHO) comprometidos, incluindo roteadores, firewalls e hardware VPN. Também foi observado o uso de versões personalizadas de ferramentas de código aberto para estabelecer um canal de comando e controle (C2) no proxy para que não seja detectado.
Nesta postagem no blog, compartilhamos informações sobre o Volt Typhoon, sua campanha visando provedores de infraestruturas críticas e suas táticas para alcançar e manter acesso não autorizado às redes-alvo. Como essa atividade depende de contas válidas e binários living-off-the-land (LOLBins), detectar e mitigar esse ataque pode ser desafiador. Contas comprometidas devem ser encerradas ou alteradas. Ao final desta postagem no blog, compartilhamos mais etapas de mitigação e melhores práticas, também fornecemos detalhes sobre como o Microsoft 365 Defender detecta atividades maliciosas e suspeitas para proteger as organizações de tais ataques furtivos. A Agência de Segurança Nacional (NSA) também publicou um Aviso de segurança cibernética [PDF] que contém um guia de busca para as táticas, técnicas e procedimentos (TTPs) discutidos neste blog. Confira a postagem completa no blog para mais informações.
Como em qualquer atividade observada de um ator de estado-nação, a Microsoft notificou diretamente clientes-alvo ou clientes comprometidos, fornecendo informações importantes para proteger seus ambientes. Para saber sobre a abordagem da Microsoft para rastreamento de atores de ameaças, leia A Microsoft muda para uma nova taxonomia de nomeação de atores de ameaças
Siga a Segurança da Microsoft