Çin devleti destekli bir tehdit aktörü olan Volt Typhoon, kendisini hedef ağlarda önceden konumlandırarak iletişim, enerji, ulaşım ve su sistemleri gibi kritik altyapı sektörlerini hedef alıyor ve çoğunlukla operasyonel teknoloji (OT) ortamlarındaki güvenlik açıklarından yararlanıyor.
Kalıcılığı ve sabırlı operasyonlarıyla tanınan Volt Typhoon, BRONZE SILHOUETTE, Voltzite, Insidious Taurus, DEV-0391, UNC3236 ve Vanguard Panda gibi çeşitli takma adlar altında takip ediliyor.
İlk erişimi elde etmek için sıfır gün de dahil olmak üzere yama yapılmamış güvenlik açıklarından yararlanarak hedef sistemlerde uzun süreli kalıcılık oluşturmak için LOTL tekniklerinden ve manuel saldırılardan yararlanan gelişmiş bir tehdit aktörüdür.
Siber Güvenlik Yatırım Getirisini En Üst Düzeye Çıkarma: KOBİ ve MSP Liderleri için Uzman İpuçları – Ücretsiz Web Seminerine Katılın
Volt Typhoon ABD Kritik Altyapısına Saldırıyor
Faaliyetlerini gizlemek için, trafiğini güvenliği ihlal edilmiş SOHO yönlendiricileri aracılığıyla proxy olarak kullanıyorlar, meşru görünmesini sağlıyorlar ve coğrafi konuma dayalı güvenlik önlemleriyle tespit edilmekten kaçınıyorlar, bu da onların gizli keşif yapmalarına ve güvenliği ihlal edilmiş ağlarda kalıcı bir varlık sürdürmelerine olanak tanıyor.
Trafiği proxy olarak kullanmak ve saldırı başlatmak için ASUS, Cisco, Draytek, FatPipe, Fortinet, Netgear ve Zyxel gibi güvenliği ihlal edilmiş SOHO cihazlarından yararlanarak açıkta kalan güvenlik duvarları, VPN’ler ve web sunucularının yanı sıra zayıf kimlik bilgileri ve yama uygulanmamış cihazlardaki güvenlik açıklarından yararlanır.
Genellikle yama uygulanmamış, yanlış yapılandırılmış veya kullanım ömrü dolmuş olan bu cihazlar, bilinen güvenlik açıkları ve varsayılan kimlik bilgileri nedeniyle kolay giriş noktaları sağlar. Güvenliği ihlal edildiğinde, KV Botnet kötü amaçlı yazılımından etkilenirler.
Yerel Windows araçlarını kullanarak, dijital ayak izini en aza indirir ve Mimikatz ile kimlik bilgisi dökümü ve RDP aracılığıyla yanal hareket gibi teknikler kullanarak grup, geleneksel güvenlik önlemlerinden kaçınır.
Görev Zamanlayıcı aracılığıyla kalıcılık sağlar ve gölge kopyalama AD veritabanlarına odaklanarak hassas verileri dışarı sızdırır ve meşru araçların kullanımı, onu tespit edilmesi ve hafifletilmesi zorlu bir rakip haline getirir.
Volt Typhoon, grup tarafından aktif olarak istismar edilen Fortinet FortiOS, Zoho ManageEngine ADSelfService Plus ve Versa Director’da bulunanlar gibi ağlara yetkisiz erişim sağlamak için VPN’ler de dahil olmak üzere çeşitli yazılım çözümlerindeki çok sayıda kritik güvenlik açığından yararlandı.
Volt Typhoon, bu güvenlik açıklarından yararlanarak güvenlik önlemlerini atlayabilir ve hedeflenen ağlarda kalıcı bir varlık oluşturabilir; bu da, bu güvenlik açıklarıyla ilişkili riskleri azaltmak için zamanında yama uygulamanın ve sağlam güvenlik uygulamalarının önemini vurgular.
Volt Typhoon tarafından istismar edilen birden fazla güvenlik açığı, değişen düzeylerde genel kavram kanıtlama (PoC) kullanılabilirliğine sahiptir. CVE-2021-27860 için genel bir PoC mevcut olmasa da CVE-2021-40539 için kısmi bir PoC GitHub’da mevcuttur.
Fortinet’teki güvenlik açıklarına yönelik halka açık PoC’ler (CVE-2022-42475 ve CVE-2023-27997) geniş çapta paylaşılıyor ve bu durum, yeni açıklanan Versa Director güvenlik açığı (CVE-2024-39717) için şu anda halka açık bir PoC bulunmadığından uzaktan kod yürütülmesini gösteriyor.
Tenable’a göre, bu kavram kanıtlarının mevcudiyeti değişiklik gösterdiğinden, yamaları zamanında uygulamak ve potansiyel istismarlara karşı dikkatli olmak çok önemlidir.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılım Dosyalarını ve Bağlantılarını Analiz Edin -> Ücretsiz Deneyin