Volt Typhoon attackerar kritisk amerikansk infrastruktur med hjälp av LOTL-tekniker (Living-Off-the-Land)

Attacken genomförs av Volt Typhoon, en statligt finansierad aktör baserad i Kina som vanligtvis ägnar sig åt spioneri och informationsinsamling. Enligt Microsofts utvärdering är det ganska sannolikt att denna Volt Typhoon-kampanj håller på att utveckla förmågor som skulle kunna störa den kritiska kommunikationsinfrastrukturen mellan USA och Asien under framtida kriser.

Volt Typhoon har varit aktiv sedan mitten av 2021 och har haft fokus på viktiga infrastruktursorganisationer i Guam och på olika ställen i USA. De organisationer som påverkats av den här kampanjen återfinns inom flera områden, som kommunikation, tillverkning, samhällsservice, transport, byggindustri, sjöfart, myndigheter, informationsteknik och utbildning. Genom de observationer som gjorts kan man sluta sig till att denna hotaktör avser att genomföra spionage och upprätthålla åtkomst utan att upptäckas under så lång tid som möjligt.

För att kunna uppnå sitt mål så lägger hotaktören stor vikt vid att kunna arbeta i det fördolda i den här kampanjen, och förlitar sig därför nästan helt och hållet enbart på LOTL-tekniker (Living-Off-the-Land) och direkt tangentbordsaktivitet. De skickar kommandon via kommandoraden för att (1) samla in data, bl.a. autentiseringsuppgifter lokalt och från nätverkssystem, (2) placera dessa data i arkivfiler och förbereda dem för exfiltrering och slutligen (3) använda dessa stulna autentiseringsuppgifter för att kunna upprätthålla persistens. Dessutom försöker Volt Typhoon ta sig in i den normala nätverksaktiviteten genom att dirigera trafik genom komprometterade nätverksutrustning hos småföretag och hemmakontor (SOHO), t.ex. routrar, brandväggar och VPN-maskinvara. De har också observerats använda anpassade versioner av verktyg med öppen källkod för att etablera en C2-kanal via proxy för att kunna fortsätta hålla sig under radarn.

I det här blogginlägget delar vi information om Volt Typhoon och deras kampanj som riktar sig mot leverantörer av viktig infrastruktur, och vilken taktik de använder sig av för att uppnå och upprätthålla oauktoriserad åtkomst till de angripna nätverken. Eftersom dessa aktiviteter förlitar sig på giltiga konton och LOLBins (Living-Off-the-Land-binärfiler), så kan det vara en utmaning att identifiera och oskadliggöra den här attacken. Komprometterade konton måste stängas eller ändras. I slutet av det här blogginlägget ger vi råd om olika motåtgärder och metoder, och vi tillhandahåller information om hur Microsoft 365 Defender identifierar skadlig och misstänkt aktivitet i syfte att skydda organisationer från sådana attacker i det fördolda. NSA (National Security Agency) har även publicerat dokumentet Cybersecurity Advisory [PDF] som innehåller en jaktguide med information om de taktiker, tekniker och procedurer (TTP) som avhandlas i den här bloggen. Läs hela blogginlägget om du vill ha mer information.

Som med alla andra aktiviteter där nationsstater är inblandade som aktörer har Microsoft direkt informerat de utsatta eller komprometterade kunderna och försett dem med viktig information om hur de kan skydda sina miljöer. Mer information om hur Microsoft arbetar för att spåra hotaktörer finns i Microsoft byter till en ny namngivningstaxonomi för hotaktörer