Volt Typhoon, LOTL 기술로 미국의 중요 인프라를 목표로 삼다

중국에 기반을 둔 국가 지원 행위자인 Volt Typhoon은 일반적으로 스파이 활동과 정보 수집에 중점을 둔 공격을 수행합니다. Microsoft는 이 Volt Typhoon 공격 캠페인이 향후 위기 상황에서 미국과 아시아 지역 간의 중요한 통신 인프라를 중단시킬 수 있는 기능의 개발을 모색하고 있다고 어느 정도의 확신을 가지고 평가합니다.

Volt Typhoon은 2021년 중반부터 활동해 왔으며 괌과 기타 미국 지역의 주요 인프라 조직을 표적으로 삼았습니다. 이 공격 캠페인에서 영향을 받는 조직은 통신, 제조, 사회기반시설, 운송, 건설, 해양, 정부, 정보 기술, 교육 부문 등으로 광범위합니다. 관찰된 행동은 위협 행위자가 스파이 활동을 수행하고 가능한 한 오랫동안 탐지되지 않은 채로 액세스 권한을 유지하려고 한다는 것을 보여줍니다.

위협 행위자는 이 공격 캠페인에서 목표를 달성하기 위해 은밀함에 중점을 두고 거의 전적으로 LOTL 기술과 키보드를 사용하는 활동에 의존합니다. 명령줄을 통해 명령을 실행하여 (1)로컬 및 네트워크 시스템에서 자격 증명을 포함한 데이터를 수집하고, (2)데이터를 보관 파일에 넣어 반출할 준비를 해 둔 다음, (3)훔친 유효한 자격 증명을 사용하여 지속성을 유지합니다. 또한 Volt Typhoon은 라우터, 방화벽 및 VPN 하드웨어를 비롯한 손상된 SOHO(소규모 사무실 및 홈오피스) 네트워크 장비를 통해 트래픽을 라우팅하여 정상적인 네트워크 활동에 섞여 있으려고 합니다. 이들은 또한 오픈 소스 도구의 사용자 지정 버전을 사용하여 프록시를 통해 명령 및 제어(C2) 채널을 설정함으로써 레이더 망을 피하는 것으로 관찰되었습니다.

이 블로그 게시물에서는 Volt Typhoon에 관한 정보, 중요한 인프라 제공업체를 표적으로 하는 공격 캠페인, 표적 네트워크에 대한 무단 액세스를 확보하고 유지하는 전술 등을 공유합니다. 이 활동은 유효한 계정 및 LOLBins(living-off-the-land binaries)에 의존하기 때문에 이 공격을 탐지하고 완화하기가 어려울 수 있습니다. 도용된 계정은 반드시 해지하거나 변경해야 합니다. 이 블로그 게시물의 끝에서는 더 많은 완화 방법과 모범 사례를 공유하고, Microsoft 365 Defender가 악의적이고 의심스러운 활동을 감지하여 이러한 은밀한 공격으로부터 조직을 보호하는 방법에 관한 세부 정보를 제공합니다. NSA(National Security Agency)는 또한 이 블로그에서 논의된 전술, 기술 및 절차(TTP)에 대한 헌팅 가이드가 포함된  사이버 보안 권고[PDF] 를 발행했습니다. 자세한 내용은  전체 블로그 게시물을 확인하세요.

국가 단위 행위자 활동을 목격했을 때와 마찬가지로 Microsoft는 표적이 된 고객 또는 손상된 고객에게 직접 통지하여 그들의 환경을 보호하는 데 필요한 중요한 정보를 제공했습니다. 위협 행위자를 추적하는 Microsoft의 접근 방식에 관한 자세한 내용은 Microsoft, 새로운 위협 행위자 명명 분류로 전환을 참조하세요.