Five Eyes siber güvenlik ajansları, Volt Typhoon siber aktörü tarafından kullanılan saldırıların teknik ayrıntılarını kamuoyuna açıkladı ve faaliyetlerini Çin hükümetine bağladı.
Amerika Birleşik Devletleri Ulusal Güvenlik Ajansı (NSA), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI), Avustralya, Cabnada, Yeni Zelanda ve Birleşik Krallık’tan siber güvenlik kurumlarıyla ortaklaşa tavsiye belgesi yayınladı.
Microsoft, Guam’daki iletişim altyapısına yönelik yakın tarihli bir Volt Typhoon saldırısını ayrı ayrı özetledi ve ayrı bir yayında grubun 2021’den beri aktif olduğunu söyledi.
Emniyet teşkilatları yayınladı [detailed technical paper [pdf] Volt Typhoon’da, saldırganların “karada yaşamak” olarak adlandırılan bir saldırı tekniği olan yerleşik Windows yardımcı programına mümkün olduğunca güvendiğini belirtir.
Wmic, ntdsutil, netsh ve PowerShell gibi araçların kullanılması, aktörün normal Windows sistemi ve ağ etkinlikleriyle uyum sağlayarak algılamadan kaçınmasına, üçüncü taraf uygulamalarının kullanıma sunulması durumunda uyarı verecek uç nokta algılama ve yanıt (EDR) ürünlerinden kaçınmasına olanak tanır. ana bilgisayara ve varsayılan günlük yapılandırmalarında yakalanan etkinlik miktarını sınırlayın” teknik belgesinde belirtildi.
Volt Typhoon güvenliği ihlal edilmiş SOHO kullanıyor [small office/home office] Yönlendiriciler, yerel ISP’lerden yayılan komuta ve kontrol trafiğini sürdürmelerine izin veren ara altyapı olarak.
“Aktör, Earthworm ve sabit kodlu C2 geri aramalarına sahip özel bir Hızlı Ters Proxy (FRP) istemcisi kullandı. [T1090] cisco_up.exe, cl64.exe, vm3dservice.exe, watchdogd.exe, Win.exe, WmiPreSV.exe ve WmiPrvSE.exe dahil ancak bunlarla sınırlı olmamak üzere çeşitli dosya adlarıyla 8080, 8443, 8043, 8000 ve 10443 bağlantı noktalarına ,” diye belirtti gazete.
Yayını duyuran bir bildiride NSA, savunucuların “denetim günlüğü temizlendiğinde oluşturulan Olay Kimliği 1102 için günlükleri de izlemesi gerektiğini” söyledi.
Saldırganların CVE-2021-40539 ve CVE-2021-27860’tan yararlandığı biliniyor.
CVE-2021-40539, Zoho’nun ManageEngine’indeki bir kimlik doğrulama bypass’ıdır ve geçen yıl Uluslararası Kızıl Haç’ı ihlal etmek için istismar edilmiştir.
CVE-2021-27860, FatPipe yazılımındaki web yönetimi arayüzünde bulunan bir güvenlik açığıdır.