Ünlüsparrow, Ghostemperor, Earth Astries ve UNC2286 olarak da adlandırılan Tuz Typhoon olarak bilinen Çin Gelişmiş Kalıcı Tehdit (APT) grubu, dünya çapında kritik sektörleri aktif olarak hedeflemektedir.
Bu grup özellikle en az 2019’dan beri ABD, Asya-Pasifik Bölgesi, Orta Doğu ve Güney Afrika’daki telekomünikasyon ve devlet kuruluşlarına odaklanmıştır.
Salt Typhoon, sofistike siber başlık yetenekleri ve yasadışı faaliyetlerdeki kapsamlı deneyimi, tespiti en aza indirirken kalıcı erişimi sürdürmek için birden fazla arka plan ve hack araçları kullanma ile bilinir.
Sömürü teknikleri ve hedefleri
Salklı tayfun, Microsoft Exchange’in proxylogon gibi güvenlik açıklarından yararlandığı ve saldırganların geçerli kimlik bilgileri gerektirmeden değişim sunucularını devralmasına izin verdiği gözlemlenmiştir.
Önceden onaylanmış bu uzaktan kumanda yürütme (RCE) istismar zinciri, saldırganların ulaşılabilir herhangi bir değişim sunucusu üzerinde tam kontrol sahibi olmasını sağladığı için özellikle tehlikelidir.
Grup ayrıca komutları gizlice değiştirmek ve çalınan verileri dışarı atmak için GitHub, Gmail, Anonfiles ve File.io gibi ortak bulut ve iletişim hizmetlerinden yararlanır.
Ek olarak, Salt Typhoon, Windows Antimal Yazılım Tarama Arayüzü (AMSI) günlüğünü atlamak için PowerShell düşürme saldırıları kullanır ve algılama çabalarını daha da karmaşıklaştırır.
Düşman öyküleri ve savunma stratejileri
Bu tehditlere karşı koymak için Atustiq, tuz tayfunun taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) taklit eden bir değerlendirme şablonu geliştirdi.
Bu şablon, kuruluşların güvenlik kontrollerini doğrulamalarına ve bu tür sofistike tehditlere karşı savunma yeteneklerini değerlendirmelerine olanak tanır.
Taklit edilen temel teknikler arasında PowerShell ve Visual Basic komut dosyası gibi yürütme yöntemleri, kayıt defteri modifikasyonları gibi kalıcılık teknikleri ve güvenlik yazılımını devre dışı bırakma gibi savunma kaçakçılığı stratejileri bulunmaktadır.
Bu kritik TTP’lere odaklanarak, kuruluşlar güvenlik duruşlarını artırabilir ve tuz Typhoon’un casusluk operasyonlarına karşı algılama ve önleme yeteneklerini geliştirebilir.
Bu değerlendirme şablonunun kullanımı, kuruluşların güvenlik kontrol performanslarını yakın zamanda aktif Çin APT faaliyetlerine karşı değerlendirmeleri için çok önemlidir.
Ayrıca hükümet ve telekomünikasyon sektörlerine odaklanan rakiplere karşı güvenlik duruşunun değerlendirilmesine yardımcı olur.
Talep Typhoon’un küresel casusluk operasyonlarının ortaya koyduğu riskleri azaltmak için tespit ve önleme boru hatlarının sürekli validasyonu esastır.
Kuruluşlar, DLL yan yükleme ve planlanan görevler gibi belirli tekniklerin tespitine ve hafifletilmesine öncelik vererek, bu saldırılara karşı savunmasızlıklarını önemli ölçüde azaltabilir.
Gerçek dünyadaki kötü niyetli bağlantıları ve kimlik avı saldırılarını araştırın Tehdit İstihbarat Arama – Ücretsiz dene