Microsoft dice que el actor chino patrocinado por el estado apunta a la infraestructura crítica en los EE. UU.
Microsoft ha anunciado que Volt Typhoon, un actor patrocinado por el estado chino, está apuntando a organizaciones de infraestructura crítica en los Estados Unidos. La compañía dijo que Volt Typhoon está desarrollando capacidades para interrumpir la infraestructura de comunicaciones crítica entre los EE. UU. y Asia, una capacidad que podría ser útil durante una crisis que involucre a China.
La campaña maliciosa ha estado ocurriendo desde mediados de 2021 y está dirigida a organizaciones en Guam y el resto de los Estados Unidos. Las empresas afectadas abarcan múltiples sectores, incluidos las comunicaciones, la fabricación, los servicios públicos, el transporte, la construcción, el sector marítimo, el gobierno, la tecnología de la información y la educación.
Microsoft Defender Antivirus y Microsoft Defender para Endpoint informarán a los usuarios si Volt Typhoon los ha puesto en peligro. En Microsoft Defender Antivirus, lo siguiente está relacionado con Volt Typhoon:
- Comportamiento: Win32/SuspNtdsUtilUsage.A
- Comportamiento: Win32/SuspPowershellExec.E
- Comportamiento: Win32/SuspRemoteCmdCommandParent.A
- Comportamiento: Win32/UNCFilePathOperation
- Comportamiento:Win32/VSSAMsiCaller.A
- Comportamiento: Win32/WinrsCommand.A
- Comportamiento: Win32/WmiSuspProcExec.J!se
- Comportamiento:Win32/WmicRemote.A
- Comportamiento:Win32/WmiprvseRemoteProc.B
Si usa Microsoft Defender para Endpoint, verá la siguiente alerta:
- Detectado actor de amenazas Volt Typhoon
Volt Typhoon también puede generar los siguientes mensajes en Microsoft Defender para Endpoint, pero no es necesariamente la causa:
- Se configuró una máquina para reenviar el tráfico a una dirección no local
- Ntdsutil recopilando información de Active Directory
- Hashes de contraseña volcados de la memoria LSASS
- Uso sospechoso de wmic.exe para ejecutar código
- kit de herramientas de impacket
Si se ha visto afectado por Volt Typhoon, debe cerrar o cambiar las credenciales de todas las cuentas comprometidas. También se recomienda que los usuarios examinen la actividad de las cuentas comprometidas para ver qué pueden haber hecho los piratas informáticos.
Si no cuenta con las medidas de seguridad adecuadas, es posible que nunca sepa que los piratas informáticos estuvieron alguna vez en su sistema. Microsoft dijo que la campaña se realiza de manera sigilosa, incluso mezclándose con la actividad normal de la red al enrutar el tráfico a través de equipos de red como enrutadores, firewalls y hardware VPN.
Microsoft ha detallado ampliamente la actividad de Volt Typhoon. Si está interesado en profundizar en los detalles más técnicos, asegúrese de leer la publicación del blog de Microsoft.
Deja una respuesta