Volt Typhoon มุ่งเป้าไปที่โครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ ด้วยเทคนิค Living-off-the-land

การโจมตีจะดำเนินการโดย Volt Typhoon ซึ่งเป็นผู้ดำเนินการที่ได้รับการสนับสนุนจากรัฐที่อยู่ในประเทศจีน ซึ่งโดยทั่วไปจะเน้นไปที่การจารกรรมและการรวบรวมข้อมูล Microsoft ประเมินด้วยความมั่นใจปานกลางว่าแคมเปญ Volt Typhoon นี้กำลังดำเนินการพัฒนาความสามารถที่อาจขัดขวางโครงสร้างพื้นฐานของการติดต่อสื่อสารที่สำคัญระหว่างสหรัฐอเมริกาและภูมิภาคเอเชียในช่วงวิกฤตในอนาคต

Volt Typhoon เริ่มปฏิบัติการตั้งแต่กลางปี 2021 และมุ่งเป้าไปที่องค์กรโครงสร้างพื้นฐานที่สำคัญในกวมและที่อื่นๆ ในสหรัฐอเมริกา ในแคมเปญนี้ องค์กรที่ได้รับผลกระทบครอบคลุมภาคการติดต่อสื่อสาร การผลิต สาธารณูปโภค การขนส่ง การก่อสร้าง การเดินเรือ รัฐบาล เทคโนโลยีสารสนเทศ และการศึกษา พฤติกรรมที่สังเกตได้แสดงให้เห็นว่า ผู้ดำเนินการภัยคุกคาม ตั้งใจที่จะทำการจารกรรมและรักษาการเข้าถึงโดยไม่ถูกตรวจพบให้นานที่สุด

เพื่อให้บรรลุวัตถุประสงค์ ผู้ดำเนินการภัยคุกคามให้ความสำคัญกับการซ่อนตัวในแคมเปญนี้ โดยอาศัยเทคนิค Living-off-the-land และกิจกรรมบนคีย์บอร์ดเกือบทั้งหมด พวกเขาออกคำสั่งผ่านทางบรรทัดคำสั่งเพื่อ (1) รวบรวมข้อมูล รวมถึงข้อมูลประจำตัวจากระบบท้องถิ่นและระบบเครือข่าย (2) นำข้อมูลไปไว้ในไฟล์เก็บถาวรเพื่อจัดเตรียมข้อมูลสำหรับการลักลอบถ่ายโอน จากนั้น (3) ใช้ข้อมูลประจำตัวที่ถูกต้องที่ขโมยมาเพื่อรักษาความต่อเนื่อง นอกจากนี้ Volt Typhoon ยังพยายามที่จะผสมผสานเข้ากับกิจกรรมเครือข่ายปกติโดยกำหนดเส้นทางปริมาณการใช้งานผ่านอุปกรณ์เครือข่ายสำนักงานขนาดเล็กและโฮมออฟฟิศ (SOHO) ที่ถูกโจมตี รวมถึงเราเตอร์ ไฟร์วอลล์ และฮาร์ดแวร์ VPN มีการสังเกตว่าพวกเขาใช้เครื่องมือโอเพนซอร์สเวอร์ชันแบบกำหนดเองเพื่อสร้างช่องทางคำสั่งและการควบคุม (C2) บนพร็อกซีเพื่อให้อยู่ภายใต้เรดาร์ต่อไป

ใน บล็อกโพสต์นี้ เราแชร์ข้อมูลเกี่ยวกับ Volt Typhoon แคมเปญที่กำหนดเป้าหมายไปที่ผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญ และกลยุทธ์ในการบรรลุและรักษาการเข้าถึงเครือข่ายเป้าหมายโดยไม่ได้รับอนุญาต เนื่องจากกิจกรรมนี้อาศัยบัญชีที่ถูกต้องและไบนารี Living-off-the-land (LOLBins) การตรวจหาและการบรรเทาการโจมตีนี้อาจเป็นเรื่องที่ท้าทาย บัญชีที่ถูกโจมตีจะต้องถูกปิดหรือเปลี่ยนแปลง ในตอนท้ายของ บล็อกโพสต์นี้ เราจะแชร์ขั้นตอนการบรรเทาผลกระทบและแนวทางปฏิบัติเพิ่มเติม ตลอดจนให้รายละเอียดเกี่ยวกับวิธีที่ Microsoft 365 Defender ตรวจหากิจกรรมที่เป็นอันตรายและน่าสงสัยเพื่อปกป้ององค์กรจากการโจมตีที่ซ่อนเร้นดังกล่าว สำนักงานความมั่นคงแห่งชาติ (NSA) ยังได้เผยแพร่ คำแนะนำด้านความปลอดภัยทางไซเบอร์ [PDF]  ซึ่งมีคำแนะนำในการไล่ล่าสำหรับกลยุทธ์ เทคนิค และขั้นตอน (TTP) ที่กล่าวถึงในบล็อกนี้ ตรวจสอบ บล็อกโพสต์ทั้งหมด สำหรับข้อมูลเพิ่มเติม

เช่นเดียวกับกิจกรรมของผู้โจมตีที่กำกับโดยรัฐที่สังเกตได้ Microsoft ได้แจ้งให้ลูกค้าที่เป็นเป้าหมายหรือถูกโจมตีโดยตรง โดยให้ข้อมูลสำคัญที่จำเป็นในการรักษาความปลอดภัยสภาพแวดล้อมของตน หากต้องการเรียนรู้เกี่ยวกับแนวทางของ Microsoft ในการติดตามผู้ดำเนินการภัยคุกคาม ให้อ่าน  Microsoft เปลี่ยนไปใช้ผู้ดำเนินการภัยคุกคามในการตั้งชื่อการจัดหมวดหมู่