마이크로소프트는 미국의 중요 인프라를 목표로 하는 국가 후원 중국 행위자에 대해 밝혔습니다.

Microsoft는 중국 국영 기업인 Volt Typhoon이 미국의 중요 인프라 조직을 표적으로 삼고 있다고 발표했습니다 . 이 회사는 Volt Typhoon이 미국과 아시아 간의 중요한 통신 인프라를 방해하는 기능을 개발하고 있다고 밝혔습니다. 이 기능은 중국과 관련된 위기 중에 유용할 수 있습니다.

이 악의적인 캠페인은 2021년 중반부터 계속되고 있으며 괌과 미국의 다른 지역에 있는 조직을 대상으로 하고 있습니다. 영향을 받는 회사는 통신, 제조, 유틸리티, 운송, 건설, 해양, 정부, 정보 기술 및 교육을 포함한 여러 부문에 걸쳐 있습니다.

Microsoft Defender 바이러스 백신 및 끝점용 Microsoft Defender는 사용자가 Volt Typhoon에 의해 손상되었는지 여부를 알려줍니다. Microsoft Defender 바이러스 백신에서 다음은 Volt Typhoon과 관련이 있습니다.

• 동작:Win32/SuspNtdsUtilUsage.A
• 동작:Win32/SuspPowershellExec.E
• 동작:Win32/SuspRemoteCmdCommandParent.A
• 동작:Win32/UNCFilePathOperation
• 동작:Win32/VSSAmsiCaller.A
• 동작:Win32/WinrsCommand.A
• 동작:Win32/WmiSuspProcExec.J!se
• 동작:Win32/WmicRemote.A
• 동작:Win32/WmiprvseRemoteProc.B

엔드포인트용 Microsoft Defender를 사용하는 경우 다음 경고가 표시됩니다.

• 볼트 타이푼 위협 행위자 감지

Volt Typhoon은 엔드포인트용 Microsoft Defender에서 다음과 같은 메시지를 표시할 수도 있지만 이것이 반드시 원인은 아닙니다.

• 로컬이 아닌 주소로 트래픽을 전달하도록 머신이 구성되었습니다.
• Active Directory 정보를 수집하는 Ntdsutil
• LSASS 메모리에서 덤프된 암호 해시
• wmic.exe를 의심스럽게 사용하여 코드 실행
• Impacket 툴킷

Volt Typhoon의 영향을 받은 경우 손상된 모든 계정의 자격 증명을 닫거나 변경해야 합니다. 또한 사용자는 손상된 계정의 활동을 조사하여 해커가 수행한 작업을 확인하는 것이 좋습니다.

적절한 보안 조치가 없다면 해커가 시스템에 침입한 사실을 전혀 모를 수 있습니다. 마이크로소프트는 이 캠페인이 라우터, 방화벽, VPN 하드웨어와 같은 네트워크 장비를 통해 트래픽을 라우팅함으로써 정상적인 네트워크 활동에 섞이는 것을 포함하여 은밀하게 수행되고 있다고 말했습니다.

Microsoft는 Volt Typhoon 활동을 광범위하게 자세히 설명했습니다. 더 자세한 기술 정보에 관심이 있다면 Microsoft의 블로그 게시물을 읽어보세요.