Trace Id is missing
تخطي إلى المحتوى الرئيسي
Security Insider

استكشف هجمات Volt Typhoon الإلكترونية على البنية التحتية الحيوية للولايات المتحدة باستخدام تقنيات التخفي خلف الأساليب الشرعية

المشاركة
صورة لمجموعة من الناس يسيرون خارج المبنى

كشفت Microsoft عن نشاط خبيث خفي ومستهدف يركز على الوصول إلى بيانات الاعتماد بعد الاختراق واكتشاف نظام الشبكة الذي يستهدف مؤسسات البنية التحتية الحيوية في الولايات المتحدة.

الهجوم من تنفيذ Volt Typhoon، ممثل برعاية الدولة مقرها في الصين والذي يركز عادة على التجسس وجمع المعلومات. تقيم Microsoft بثقة معتدلة أن حملة Volt Typhoon هذه تسعى إلى تطوير القدرات التي يمكن أن تعطل البنية التحتية الحيوية للاتصالات بين الولايات المتحدة ومنطقة آسيا خلال الأزمات المستقبلية.

نشطت Volt Typhoon منذ منتصف عام 2021 واستهدفت مؤسسات البنية التحتية الحيوية في غوام وأماكن أخرى في الولايات المتحدة. في هذه الحملة، تشمل المنظمات المتضررة قطاعات الاتصالات والتصنيع والمرافق والنقل والبناء والنقل البحري والحكومة وتكنولوجيا المعلومات والتعليم. يشير السلوك الملحوظ إلى أن ممثل المخاطر ينوي إجراء تجسس والحفاظ على إمكانية الوصول دون الاكتشاف لأطول فترة ممكنة.

لتحقيق هدفهم، يركز ممثل التهديد بشدة على التخفي في هذه الحملة، ويعتمد بشكل حصري تقريباً على تقنيات التخفي خلف الأساليب الشرعية والنشاط العملي على لوحة المفاتيح. يصدرون الأوامر عبر سطر الأوامر من أجل (1) جمع البيانات، بما في ذلك بيانات الاعتماد من الأنظمة المحلية وأنظمة الشبكة، (2) وضع البيانات في ملف أرشيف لتنظيمها من أجل التسلل، ثم (3) استخدام بيانات الاعتماد الصالحة المسروقة للحفاظ على إصرار. بالإضافة إلى ذلك، تحاول Volt Typhoon الاندماج في نشاط الشبكة العادي عن طريق توجيه حركة المرور عبر معدات شبكة المكاتب الصغيرة والمكاتب المنزلية (SOHO) المعرضة للخطر، بما في ذلك أجهزة التوجيه وجدران الحماية وأجهزة VPN. وجرت ملاحظتهم أيضاً باستخدام إصدارات مخصصة من الأدوات مفتوحة المصدر لإنشاء قناة قيادة وتحكم (C2) عبر الوكيل للبقاء تحت الرادار.

في منشور المدونة هذا، نشارك المعلومات حول Volt Typhoon، وحملتهم التي تستهدف موفري البنية التحتية الحيوية، وأساليبهم لتحقيق الوصول غير المصرح به إلى الشبكات المستهدفة والحفاظ عليه. ونظراً لأن هذا النشاط يعتمد على حسابات صالحة وثنائيات التخفي خلف الأساليب الشرعية (LOLBins)، فقد يكون اكتشاف هذا الهجوم والتخفيف من آثاره أمراً صعباً. يجب إغلاق الحسابات المخترقة أو تغييرها. في نهاية منشور المدونة هذا، نشارك المزيد من خطوات التخفيف وأفضل الممارسات، بالإضافة إلى تقديم تفاصيل حول كيفية اكتشاف Microsoft 365 Defender للنشاط الضار والمريب لحماية المؤسسات من مثل هذه الهجمات الخفية. نشرت وكالة الأمن القومي (NSA) أيضاً تقريراً استشارياً للأمان عبر الإنترنت [PDF] يحتوي على دليل صيد للتكتيكات والتقنيات والإجراءات (TTPs) التي جرت مناقشتها في هذه المدونة. تحقق من منشور المدونة الكامل لمزيد من المعلومات.

كما هو الحال مع أي نشاط فاعل لدولة قومية لوحظ، أخطرت Microsoft مباشرة العملاء المستهدفين أو المعرضين للخطر وزودتهم بالمعلومات المهمة اللازمة لتأمين بيئاتهم. للتعرف على نهج Microsoft في تتبع ممثل المخاطر، اقرأ تحولات Microsoft إلى تصنيف وصف ممثل المخاطر الجديد

المقالات ذات الصلة

تعرّف على المزيد عن أبجديات تتبع التهديدات

عندما يتعلق الأمر بالأمان عبر الإنترنت، فمن المفيد أن نكون يقظين. فيما يلي كيفية البحث عن المخاطر الجديدة والناشئة وتحديدها والتخفيف منها.
معرفة المزيد

تزايد الأخطار عبر الإنترنت استجابةً لتوسيع اتصال إنترنت الأشياء/التكنولوجيا التشغيلية

في تقريرنا الأخير، نستكشف كيف أن زيادة اتصال إنترنت الأشياء/التكنولوجيا التشغيلية تؤدي إلى ثغرات أكبر وأكثر خطورة يمكن للجهات الفاعلة في مجال الأخطار عبر الإنترنت المنظم استغلالها.
معرفة المزيد

زيادة بنسبة 61% في هجمات التصيد الاحتيالي. تعرّف على الأجزاء المعرضة للهجوم الحديثة.

لإدارة الأجزاء المعرضة للهجوم متزايدة التعقيد، يجب على المؤسسات تطوير وضع أمني شامل. من خلال ستة مناطق رئيسية للهجوم، سيوضح لك هذا التقرير كيف يمكن لمعلومات الخطر الصحيحة أن تساعد في ترجيح كفة الملعب لصالح المدافعين.
معرفة المزيد

متابعة Microsoft