Firma Microsoft wykryła ukrytą i ukierunkowaną złośliwą aktywność skoncentrowaną na dostępie do poświadczeń po złamaniu zabezpieczeń i wykrywaniu systemów sieciowych, skierowaną do organizacji infrastruktury krytycznej w Stanach Zjednoczonych.
Atak jest przeprowadzany przez Volt Typhoon, sponsorowanego przez państwo ugrupowania z siedzibą w Chinach, które zazwyczaj koncentruje się na szpiegostwie i gromadzeniu informacji. Microsoft ocenia z umiarkowaną pewnością, że ta kampania Volt Typhoon ma na celu rozwój możliwości, które mogą zakłócić krytyczną infrastrukturę komunikacyjną między Stanami Zjednoczonymi a regionem Azji podczas przyszłych kryzysów.
Volt Typhoon działa od połowy 2021 r. i atakował organizacje infrastruktury krytycznej na Guam i innych częściach Stanów Zjednoczonych. W tej kampanii dotknięte organizacje obejmują sektory komunikacji, produkcji, użyteczności publicznej, transportu, budownictwa, żeglugi, rządu, technologii informatycznych i edukacji. Zaobserwowane zachowanie sugeruje, że ugrupowanie cyberprzestępcze zamierza prowadzić działalność szpiegowską i utrzymywać dostęp bez wykrycia tak długo, jak to możliwe.
Aby osiągnąć swój cel, ugrupowanie cyberprzestępcze kładzie w tej kampanii duży nacisk na skradanie się, polegając niemal wyłącznie na technikach życia poza ziemią i aktywności na klawiaturze. Za pośrednictwem wiersza poleceń wydają polecenia w celu (1) zebrania danych, w tym poświadczeń z systemów lokalnych i sieciowych, (2) umieszczenia danych w pliku archiwum w celu przeprowadzenia eksfiltracji, a następnie (3) użycia skradzionych prawidłowych danych uwierzytelniających w celu zachowania trwałości. Ponadto Volt Typhoon próbuje wtopić się w normalną aktywność sieciową, kierując ruch przez zaatakowany sprzęt sieciowy dla małych biur i biur domowych (SOHO), w tym routery, zapory ogniowe i sprzęt VPN. Zaobserwowano je również przy użyciu niestandardowych wersji narzędzi open source w celu ustanowienia kanału dowodzenia i kontroli (C2) przez proxy, aby dalej pozostawać poza radarem.
Volt Typhoon atakuje dostawców infrastruktury krytycznej i stosuje taktyki uzyskiwania i utrzymywania nieautoryzowanego dostępu do sieci docelowych. Ponieważ ta aktywność opiera się na prawidłowych kontach i plikach binarnych życia poza ziemią (LOLBins), wykrycie i złagodzenie tego ataku może być trudne.
Konta, których zabezpieczenia zostały naruszone, muszą zostać zamknięte lub zmienione. Na końcu tego wpisu w blogu udostępniamy więcej kroków ograniczających zagrożenie i najlepszych rozwiązań, a także szczegółowe informacje na temat tego, jak usługa Microsoft 365 Defender wykrywa złośliwe i podejrzane działania, aby chronić organizacje przed takimi potajemnymi atakami. Agencja Bezpieczeństwa Narodowego (NSA) opublikowała również Cybersecurity Advisory [PDF], który zawiera przewodnik polowania na taktyki, techniki i procedury (TTP) omówione na tym blogu.
Przetlumaczono przez translator Google
zrodlo:https://halturnerradioshow.com/
Brak komentarzy:
Prześlij komentarz