Belirlenmiş bir tehdit grubu olan VOLTZITE, Volt Typhoon tehdit grubuyla örtüşen ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından keşfedildi.
Bu özel tehdit aktörü 2023’ün başlarından beri hedef alıyor ve özellikle acil durum yönetim hizmetlerini, telekomünikasyonu, uydu hizmetlerini ve savunma sanayi üssünü hedef alıyor.
Üstelik bu özel tehdit grubu aynı zamanda Araziden Uzakta Yaşamak (LOTL) tekniklerini ve tehlikeye atılmış varlıklar üzerinde mevcut olan yerel araçları da kullanıyor. Ayrıca VOLTZITE, tespitlerden uzun süre kaçınmak için yavaş ve istikrarlı bir keşif de gerçekleştiriyor.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
Teknik Analiz
Cyber Security News ile paylaşılan raporlara göre VOLTZITE, Komuta ve kontrol iletişimi için çeşitli web kabukları ve FRP kullanıyor.
Tehdit aktörü, yanal hareketi kolaylaştırmak için çalınan kimlik bilgilerini kullanıyor ve SOHO (Küçük Ofis ve Ev Ofis) ağ donanımını tehlikeye atıyor.
Faaliyetleri 2023’ün başından beri gözlemleniyor, ancak tehdit grubunun 2021’den beri var olduğuna dair spekülasyonlar var. 2023’ün başlarından itibaren, tehdit grubunun ABD Guam Bölgesi uzlaşmasını içeren bir olayla ilgili olduğu keşfedildi.
Diğer dikkate değer faaliyetler Haziran 2023 (Amerika Birleşik Devletleri acil durum yönetimi organizasyonu) ve Ocak 2024’te (ABD telekomünikasyon sağlayıcısının harici ağ geçitleri ve büyük bir ABD şehrinin acil durum hizmetleri GIS ağı) gerçekleşti.
Aralık 2023’te VOLTZITE’ın, diğer tehdit grubu UTA0178 ile birlikte ICS VPN’in sıfır gün güvenlik açıklarından yararlanmaya karıştığı keşfedildi. Tehdit grubunun istismar ettiği uygulamalardan bazıları şöyle:
- Fortinet Kaleci
- PRTG Ağ İzleme Cihazları
- ManageEngine ADSelfService Plus
- FatePipe WARP
- Ivanti Connect Güvenli VPN
- Cisco ASA
LOTL tekniklerine gelince, tehdit grubu çeşitli Windows araçlarını kullanıyor.
- Certutil
- dnscmd
- Ldifde
- Makecab
- net kullanıcı/grup/kullanım
- netsh
- en çok
- ntdsutil
- Güç kalkanı
- kayıt sorgulama/kaydetme
- sistem bilgisi
- görev listesi
- Webutil
- wmic
- xkopya
Dragos, bu tehdit grubu, sızma yöntemleri, Yanal hareket ve diğerleri hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınladı.