Trace Id is missing

Volt Typhoon vizează infrastructura critică din Statele Unite ale Americii prin tehnici cu instrumente native (LOTL)

Un grup de persoane mergând prin fața unei clădiri

Microsoft a descoperit o activitate rău intenționată ascunsă și țintită, care se concentrează pe accesarea acreditărilor după compromitere și descoperirea sistemului de rețea, vizând organizații cu infrastructură critică din Statele Unite ale Americii.

Atacul este efectuat de Volt Typhoon, un actor di n China sponsorizat de stat, care se concentrează de obicei pe spionaj și culegerea de informații. Microsoft evaluează, cu un grad moderat de încredere, că această campanie Volt Typhoon are ca scop dezvoltarea de capacități care ar putea întrerupe infrastructura critică de comunicații între Statele Unite ale Americii și zona Asiei în timpul unor crize viitoare.

Volt Typhoon activează de la jumătatea anului 2021 și a vizat organizații cu infrastructură critică din Guam și alte părți din Statele Unite ale Americii. În această campanie, sectoarele de activitate ale organizațiilor afectate sunt comunicații, industria prelucrătoare, utilități, transport, construcții, industria maritimă, guvern, tehnologia informației și educație. Comportamentul observat sugerează că actorul de amenințare intenționează să spioneze și să mențină accesul fără a fi detectat cât mai mult timp posibil.

Pentru a-și atinge scopul, actorul de amenințare pune accentul pe camuflare în această campanie, bazându-se aproape în exclusivitate pe tehnici cu instrumente native (LOTL) și intervenția manuală de la tastatură. Apoi, lansează comenzi prin intermediul liniei de comandă ca (1) să colecteze date, inclusiv acreditări de la sisteme locale și de rețea, (2) să pună datele într-un fișier de arhivă pentru a-l pregăti pentru furtul de date și, apoi, (3) să folosească acreditările valide furate pentru a persista. În plus, Volt Typhoon încearcă să se integreze în activitatea de rețea normală, rutând traficul prin echipament mic de rețea compromis, destinat pentru acasă sau birouri mici, inclusiv routere, firewall-uri și hardware VPN. De asemenea, am observat că aceștia folosesc versiuni personalizate ale unor instrumente open-source pentru a stabili un canal de comandă și control (C2) prin proxy, pentru a rămâne nedetectați și mai mult.

În această postare pe blog, împărtășim informații despre Volt Typhoon, campania lor care vizează furnizori cu infrastructură critică și tacticile lor pentru dobândirea și menținerea accesului neautorizat la rețelele vizate. Întrucât această activitate se bazează pe conturi valide și binare native (LOLBins), detectarea și reducerea riscului acestui atac poate fi o provocare. Conturile compromise trebuie închise sau schimbate. La finalul acestei postări pe blog, oferim mai mulți pași pentru reducerea riscului și cele mai bune practici, precum și detalii despre cum detectează Microsoft 365 Defender activitatea rău intenționată și suspectă, pentru a proteja organizațiile de asemenea atacuri ascunse. De asemenea, National Security Agency (NSA) a publicat un Cybersecurity Advisory [PDF] ce conține un ghid de căutare activă pentru tacticile, tehnicile și procedurile (TTP) discutate în acest blog. Pentru informații suplimentare, consultați postarea pe blog completă.

Articole asociate

Învățați ABC-ul căutării active a amenințărilor

Când vine vorba de securitatea cibernetică, vigilența ajută. Iată cum să căutați activ, să identificați și să reduceți riscul unor noi amenințări.

Creșterea amenințărilor cibernetice ca răspuns la extinderea conectivității IoT/OT

În cel mai recent raport, explorăm cum creșterea conectivității IoT/OT duce la vulnerabilități mai mari și mai grave pe care actorii de amenințare cibernetică organizați le pot exploata.

O creștere de 61% a atacurilor de phishing. Cunoașteți-vă suprafața de atac modernă.

Pentru a gestiona o suprafață de atac din ce în ce mai complexă, organizațiile trebuie să-și dezvolte o postură de securitate cuprinzătoare. Având în vedere șase suprafețe de atac esențiale, acest raport vă va arăta modul în care o investigare a amenințărilor adecvată poate contribui la echilibrarea situației în favoarea apărătorilor.

Urmăriți Microsoft Security