Microsoft ve “Beş Göz” ülkeleri Çarşamba günü yaptığı açıklamada, Çin merkezli sinsi bir grubun ABD ve Guam’daki kritik altyapı kuruluşlarına tespit edilmeden kalıcı bir dayanak noktası kurmayı başardığını söyledi.
Teknoloji devinin tehdit istihbarat ekibi, uzlaşma sonrası kimlik bilgisi erişimi ve ağ sistemi keşfini içeren etkinliği şu adla izliyor: Volt Tayfunu.
Devlet destekli aktör, Haziran 2021’den beri aktif olan küme ile casusluk ve bilgi toplamaya yöneliktir ve halihazırda kurulu veya virüs bulaşmış makinelerde yerleşik araçlardan yararlanarak izinsiz giriş izini gizlemektedir.
Hedeflenen öne çıkan sektörlerden bazıları arasında iletişim, imalat, hizmet, ulaşım, inşaat, denizcilik, hükümet, bilgi teknolojisi ve eğitim yer alıyor.
Şirket ayrıca, kampanyanın “gelecekteki krizler sırasında Amerika Birleşik Devletleri ile Asya bölgesi arasındaki kritik iletişim altyapısını kesintiye uğratabilecek yeteneklerin geliştirilmesini sürdürdüğünü” ılımlı bir güvenle değerlendirdi.
Saldırıların tanımlayıcı bir özelliği, yerel web tarayıcısı uygulamalarından veri sızdırmak ve arka kapı erişimi için çalınan kimlik bilgilerinden yararlanmak için özel olarak karadan uzakta yaşama (LotL) tekniklerine güvenerek radarın altında kalmaya “güçlü vurgu” olmasıdır.
Temel amaç, tehdit aktörünün hassas bilgilere erişim elde etmek için kasıtlı olarak düşük bir profil tuttuğunu gösterecek şekilde, düzenli Windows sistemi ve ağ etkinlikleriyle uyumlu hale getirerek algılamayı atlatmaktır.
Microsoft, “Ayrıca Volt Typhoon, trafiği güvenliği ihlal edilmiş küçük ofis ve ev ofis (SOHO) ağ ekipmanları, yönlendiriciler, güvenlik duvarları ve VPN donanımı dahil olmak üzere yönlendirerek normal ağ etkinliğine uyum sağlamaya çalışıyor” dedi.
Alışılmışın dışında bir başka ticaret yolu da, proxy üzerinden bir komuta ve kontrol (C2) kanalı oluşturmak için açık kaynak araçlarının özel sürümlerinin yanı sıra saldırıların kaynağını gizlemek için diğer kuruluşların C2 proxy ağında güvenliği ihlal edilmiş sunucularının kullanılmasıdır.
New York Times tarafından bildirilen bir olayda, düşman kolektif, Pasifik Okyanusu’ndaki hassas bir ABD askeri karakolu olan Guam adasındaki telekomünikasyon ağlarını ihlal etti ve kötü niyetli bir web kabuğu kurdu.
İlk giriş vektörü, internete bakan Fortinet FortiGuard cihazlarının bilinmeyen bir sıfır gün kusuru aracılığıyla istismar edilmesini içerir, ancak Volt Typhoon’un Zoho ManageEngine sunucularında kusurları silah haline getirdiği de gözlemlenmiştir. Daha sonra erişim, kimlik bilgilerini çalmak ve ağdaki diğer cihazlara girmek için kötüye kullanılır.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Windows üreticileri ayrıca, hedeflenen veya güvenliği ihlal edilmiş müşterileri doğrudan bilgilendirdiğini ve onlara ortamlarının güvenliğini sağlamak için gerekli bilgileri sağladığını belirtti.
Bununla birlikte, tehdit aktörleri saldırılarını gerçekleştirmek için geçerli hesapları ve arazi dışı ikili dosyaları (LOLBins) kullandıklarında bu tür riskleri azaltmanın “özellikle zorlayıcı” olabileceği konusunda uyardı.
Tehdit grubunu Bronz Siluet adı altında izleyen Secureworks, “operasyonel güvenlik için dikkatli bir değerlendirme sergilediğini” söyledi. […] ve izinsiz giriş faaliyetinin tespit edilmesini ve atfedilmesini önlemek için güvenliği ihlal edilmiş altyapıya güvenme.”
Gelişme aynı zamanda Reuters’in Çinli bilgisayar korsanlarının “Doğu Afrika ülkelerinin Pekin’e borçlu olduğu borç” hakkında bilgi elde etme iddiasıyla önemli bakanlıklara ve devlet kurumlarına karşı üç yıl süren geniş kapsamlı bir dizi saldırıda Kenya hükümetini hedef aldıklarını ifşa etmesiyle geldi. ulus.”
Dijital saldırının, en azından 2010’dan beri Kuzey Amerika, Güney Amerika, Afrika ve Orta Doğu’daki hükümet ve diplomatik kuruluşları hedef aldığı bilinen BackdoorDiplomacy (APT15, Playful Taurus veya Vixen Panda) tarafından gerçekleştirildiğinden şüpheleniliyor. .