Microsoft Tehdit Analizi Pod Yayını’ndaki uzmanlardan doğrudan içgörüler edinin. Şimdi dinleyin.
Volt Typhoon, gizlenmek için yerel sistemdeki geçerli araçlardan faydalanma tekniklerini kullanarak ABD’nin kritik altyapılarını hedef alıyor
Saldırı, genellikle casusluk ve bilgi toplamaya odaklı, Çin merkezli ve devlet destekli bir aktör olan Volt Typhoon tarafından gerçekleştirildi. Microsoft, orta olasılıklı güvenilirlik düzeyinde, Volt Typhoon’un bu saldırı kampanyasının, gelecekteki krizlerde Birleşik Devletler ile Asya bölgesi arasındaki kritik iletişim altyapısını bozabilecek imkanlar yaratmayı hedeflediğini belirledi.
Volt Typhoon, 2021’in ortalarından bu yana faaliyetlerini sürdürüyor ve Guam ile Birleşik Devletler’in farklı yerlerindeki kritik altyapı kurumlarını hedef alıyor. Bu saldırı kampanyasından etkilenen kurumlar iletişim, üretim, kamu hizmetleri, ulaşım, inşaat, denizcilik, kamu, bilgi teknolojisi ve eğitim sektörlerinde yer alıyor. Gözlemlenen davranış, tehdit aktörünün , casusluk yapmayı ve fark edilmeden uzun süre boyunca erişimi sürdürmeyi hedeflediğini gösteriyor.
Tehdit aktörü, amacına ulaşmak için bu saldırı kampanyasında gizliliğe büyük önem veriyor ve neredeyse tamamen gizlenmek için yerel sistemdeki geçerli araçlardan faydalanma tekniklerineve doğrudan klavye kullanım etkinliğine dayanıyor. Komut satırı üzerinden ise, (1) yerel ve ağ sistemlerindeki kimlik bilgileri de dahil veri toplama, (2) verileri sızdırmak üzere bir arşiv dosyasında tutma ve ardından (3) kalıcılığı sağlamak için çalınan ve geçerli kimlik bilgilerini kullanma komutu veriyor. Volt Typhoon ayrıca, yönlendiriciler, güvenlik duvarları ve VPN donanımı da dahil olmak üzere ele geçirilen küçük işyeri ve ev ofis (SOHO) ağ ekipmanları üzerinden yönlendirdiği trafiği normal ağ etkinliklerine dahil etmeye çalışıyor. Buna ek olarak eylemlerine fark edilmeden devam edebilmek için ara sunucu üzerine komuta ve kontrol (C2) kanalı kurmak için özel açık kaynak araç sürümleri kullandıkları gözlemlenmiştir.
Bu blog gönderisinde, Volt Typhoon hakkındaki bilgileri, kritik altyapı sağlayıcılarını hedef alan saldırı kampanyalarını ve hedefledikleri ağlara yetkisiz erişim sağlama ve bu erişimi sürdürme taktiklerini sizinle paylaşıyoruz. Bu etkinlik, geçerli hesaplara ve gizlenmek için yerel sistemdeki geçerli araçlardan faydalanma ikili kodlarına (LOLBins) dayandığından bu saldırıyı tespit edip şiddetini hafifletmek zorlayıcı olabilir. Risk altındaki hesapların kapatılması veya değiştirilmesi gerekir. Bu blog postunun son bölümünde, diğer risk azaltma adımları ve en iyi deneyimlere ek olarak Microsoft 365 Defender’ın, kötü amaçlı ve şüpheli etkinlikleri algılayıp kurumları bu tür gizli saldırılardan nasıl koruduğuna ilişkin ayrıntılı bilgilere yer verdik. Ayrıca Ulusal Güvenlik Ajansı (NSA) tarafından da, bu blogda ele alınan taktik, teknik ve prosedürlere (TTP) ilişkin bir tehdit avcılığı kılavuzu barındıran Siber Güvenlik Bildirimi [PDF] yayınlandı. Daha fazla bilgi edinmek için blog gönderisinin tamamına göz atın.
Gözlemlenen her siber güvenlik devlet kurumu etkinliğinde olduğu gibi Microsoft, hedeflenen veya risk altındaki müşterilerine doğrudan bildirimde bulunarak ortamlarını güvenli hale getirmeleri için gereken önemli bilgileri aktarmıştır. Microsoft’un tehdit aktörü izleme yaklaşımı hakkında bilgi edinmek için Microsoft yeni bir tehdit aktörü adlandırma taksonomisine geçiş yapıyorbaşlıklı blog gönderisini okuyun
Microsoft’u takip edin