Trace Id is missing
דלג לתוכן הראשי
Insider בנושא אבטחה

Volt Typhoon שם לו למטרה תשתית אמריקאית קריטית באמצעות טכניקות שימוש בכלים קיימים

שתף
קבוצה של אנשים עובדים מחוץ לבניין

Microsoft חשפה פעילות זדונית חמקנית וממוקדת בגישה לאישורים לאחר חשיפה לסכנה וגילוי מערכת רשתות שמכוונת אל ארגוני תשתית קריטיים בארצות הברית.

המתקפה מבוצעת על-ידי Volt Typhoon, גורם תחת חסון המדינה בסין שבדרך-כלל מתמקד בריגול ואיסוף מידע. Microsoft מעריכה בביטחון מתון שקמפיין זה של Volt Typhoon רודף אחר פיתוח של יכולות שיכולות לשבש תשתית תקשורת קריטית בין ארצות הברית לאזור אסיה, במהלך משברים עתידיים.

Volt Typhoon פעיל מאמצע שנת 2021 ושם לו למטרה ארגוני תשתית קריטית בגואם ובמקומות אחרים בארצות הברית. בקמפיין זה, הארגונים המושפעים מתרחבים למגזרי התקשורת, היצרנות, השירותים הציבוריים, התחבורה, הבנייה, הימאות, הממשל, טכנולוגיות המידע והחינוך. התנהגות שנצפתה מרמזת שגורם איום מתכוון לבצע ריגול ולשמור על גישה מבלי שיזהו אותו לזמן רב ככל שניתן.

כדי להשיג את המטרה שלו, גורם האיום שם דגש רב על חמקנות בקמפיין זה, כשהוא מסתמך באופן כמעט בלעדי על טכניקות שימוש בכלים קיימים ופעילות של מעורבות ישירה. הגורם מנפיק פקודות באמצעות שורת פקודה כדי (1) לאסוף נתונים, כולל אישורים ממערכות מקומיות ומערכות רשתות, (2) להכניס את הנתונים לתוך קובץ ארכיון כדי לאחסן אותו לצורך דליפה, ולאחר מכן (3) להשתמש באישורים החוקיים שנגנבו כדי לשמור על עקביות. בנוסף, Volt Typhoon מנסה להשתלב בתוך פעילות רשת רגילה על-ידי ניתוב תעבורה דרך ציוד רשת חשוף לסכנה במשרדים קטנים ומשרדים ביתיים (SOHO), כולל נתבים, חומות אש ותוכנת VPN. הוא גם נצפה משתמש בגרסאות מותאמות אישית של כלי קוד פתוח כדי לבסס ערוץ פקודה ובקרה (C2) על Proxy כדי להמשיך ולהישאר מתחת לרדאר.

 ברשומת בלוגזו, אנו חולקים מידע לגבי Volt Typhoon, הקמפיין שלהם ששם למטרה ספקי תשתית קריטיים, והטקטיקות שלהם להשגת גישה בלתי מורשית לרשתות שסומנו כמטרה, ושמירה על אותה גישה. מאחר שפעילות זו מסתמכת באופן פעיל על חשבונות חוקיים ועל שימוש בכלים בינאריים קיימים (LOLBins), זיהוי וצמצום של מתקפה זו עלול להיות מאתגר. חובה לסגור או לשנות חשבונות שנחשפו לסכנה. בסיומה של  רשומת בלוגזו, אנו נשתף כמה צעדי צמצום ושיטות עבודה מומלצות, וכן נספק פרטים לגבי האופן שבו Microsoft 365 Defender מזהה פעילות זדונית וחשודה כדי להגן על ארגונים מפני מתקפות חמקניות מסוג זה. הסוכנות לביטחון לאומי (NSA) פרסמה גם היא התרעת אבטחת סייבר [PDF] שמכילה מדריך ציד עבור הטקטיקות, הטכניקות והנהלים (TTPs) שנידונו ברשומת בלוג זו. עיינו הפרסום הבלוג המלא לקבלת מידע נוסף.

בדומה לכל פעילות נצפית של שחקן מדינת לאום, Microsoft יידעה ישירות את הלקוחות שהיו למטרה ושנחשפו לסכנה, סיפקה להם מידע חשוב שנחוץ כדי לאבטח את הסביבות שלהם. לקבלת מידע נוסף אודות הגישה של Microsoft למעקב אחר גורם איום, קרא את Microsoft עוברת לטקסונומיה חדשה של מתן שם לגורם איום

מאמרים קשורים

קבל מידע על הבסיס של ציד איומים

דריכות עוזרת בכל הנוגע לאבטחת סייבר. כך ניתן לצוד, לזהות ולצמצם איומים חדשים ועולים.
למידע נוסף

איומי סייבר עולים בתגובה להתרחבות של קישוריות IoT/OT

בדוח האחרון שלנו, חקרנו כיצד פעילות גדלה של IoT/OT מובילה לפגיעויות גדולות וחמורות יותר שמנוצלות על-ידי גורמי איומי סייבר מאורגנים.
למידע נוסף

עלייה של 61% במתקפות דיוג. הכר את שטח התקיפה המודרני שלך.

כדי לנהל שטח תקיפה שהולך ונהייה מורכב יותר, ארגונים חייבים לפתח מצב אבטחה כולל מקיף. באמצעות שישה תחומים עיקריים של שטח תקיפה, דוח זה יראה לך כיצד בינת האיומים המתאימה יכולה לעזור להטות את המגרש לטובת קבוצת ההגנה.
למידע נוסף

עקוב אחר Microsoft