Volt Typhoon retter seg mot den kritiske infrastrukturen i USA med LotL-teknikker

Angrepet utføres av Volt Typhoon, en statlig sponset aktør basert i Kina, som fokuserer på spionasje og innsamling av informasjon. Microsoft estimerer med moderate forventninger, at denne Volt Typhoon-kampanjen streber etter å utvikle funksjonene som kan forstyrre kritisk kommunikasjonsinfrastruktur mellom USA og Asia-området i fremtidige kriser.

Volt Typhoon har vært aktiv siden midten av 2021 og har rettet seg mot kritiske infrastrukturorganisasjoner i Guam og andre steder i USA. I denne kampanjen omfatter de berørte organisasjonene kommunikasjons-, produksjons-, forsynings-, transport-, bygg- og anleggs-, skips-, myndighets- informasjonsteknologi- og utdanningsektoren. Observert adferd tyder på at trusselaktøren har til hensikt å utføre spionasje og opprettholde tilgang uten å bli oppdaget så lenge som mulig.

For å oppnå målet legger trusselaktøren sterk vekt på å jobbe i det stille i denne kampanjen, og fester nesten utelukkende all tillit tilLotL-teknikkerog tastaturaktivitet. Aktøren usteder kommandoer via kommandolinjen for å (1) samle inn data, inkludert legitimasjon fra lokale systemer og nettverkssystemer, (2) plassere dataene i en arkivfil for å samle opp for eksfiltrering, og deretter (3) bruke den stjålne gyldige legitimasjonen til å opprettholde vedvarenheten. I tillegg prøver Volt Typhoon å gå i ett med den normale nettverksaktiviteten ved å rute trafikk gjennom kompromittert nettverkutstyr for små kontor og hjemmekontor (SOHO), inkludert rutere, brannmurer og VPN-maskinvare. De har også blitt observert brukt tilpassede versjoner av verktøy med åpen kildekode, for å etablere en kommando-og-kontroll (C2) -kanal over proxy for å holde seg enda mer ute av syne.

I dette blogginnlegget deler vi informasjon om Volt Typhoon: hvordan de retter seg mot leverandører av kritisk infrastruktur, og taktikken de bruker for å oppnå og opprettholde uautorisert tilgang til målnettverk. Siden denne aktiviteten er avhengig av gyldige kontoer og LotL-binære (LOLBins) kan det være utfordrende å redusere dette angrepet. Kompromitterte kontoer må avsluttes eller endres. På slutten av dette blogginnlegget deler vi flere reduksjonstiltak og anbefalte fremgangsmåter, og vi gir informasjon om hvordan Microsoft 365 Defender oppdager ondsinnet og mistenkelig aktivitet for å beskytte organisasjoner mot slike snikende angrep. National Security Agency (NSA) har også publisert en Cybersikkerhetsveiledning [PDF] som inneholder en jaktveiledning for taktikker, teknikker og prosedyrer (TTP-er) som diskuteres i denne bloggen. Sjekk ut hele blogg -innlegget her for mer informasjon.

På samme måte som med all observert aktivitet fra statlige aktører, har Microsoft Corporation varslet målrettede eller kompromitterte kunder direkte, for å gi viktig og nødvendig informasjon, så de kan beskytte miljøet sitt. For å lære om Microsofts tilnærming til trusselaktørovervåking kan du lese Microsoft skifter til en ny navneklassifisering for trusselaktører