マイクロソフト、国家支援による中国の攻撃者が米国の重要インフラを標的にしていると発表

マイクロソフトは、中国国家支援の攻撃者であるボルト タイフーンが米国の重要インフラ組織を標的にしていると発表しました。同社は、ボルト・タイフーンは米国とアジアの間の重要な通信インフラを混乱させる能力を開発中であると述べた。この能力は、中国が関与する危機の際に役立つ可能性がある。

この悪意のあるキャンペーンは2021年半ばから続いており、グアムと米国のその他の地域の組織を標的にしています。影響を受ける企業は、通信、製造、公益事業、運輸、建設、海事、政府、情報技術、教育など複数のセクターに及びます。

Microsoft Defender ウイルス対策とMicrosoft Defender for Endpoint は、 Volt タイフーンによって侵害されたかどうかをユーザーに通知します。Microsoft Defender ウイルス対策では、次のものが Volt タイフーンに関連しています。

• 動作:Win32/SuspNtdsUtilUsage.A
• 動作:Win32/SuspPowershellExec.E
• 動作:Win32/SuspRemoteCmdCommandParent.A
• 動作:Win32/UNCFilePathOperation
• 動作:Win32/VSSAmsiCaller.A
• 動作:Win32/WinrsCommand.A
• 動作:Win32/WmiSuspProcExec.J!se
• 動作:Win32/WmicRemote.A
• 動作:Win32/WmiprvseRemoteProc.B

Microsoft Defender for Endpoint を使用している場合は、次のアラートが表示されます。

• ボルト・タイフーンの脅威アクターが検出されました

Volt タイフーンにより、Microsoft Defender for Endpoint で次のプロンプトが表示される場合もありますが、必ずしもそれが原因であるとは限りません。

• マシンはトラフィックをローカル以外のアドレスに転送するように構成されていました
• Active Directory 情報を収集する Ntdsutil
• LSASS メモリからダンプされたパスワード ハッシュ
• コードを実行するための wmic.exe の不審な使用
• インパケットツールキット

Volt タイフーンの影響を受けた場合は、侵害されたすべてのアカウントを閉じるか、認証情報を変更する必要があります。また、ハッカーが何をしたかを確認するために、侵害されたアカウントのアクティビティを調査することをお勧めします。

適切なセキュリティ対策を講じていないと、ハッカーがシステムに存在していたことに気付かない可能性があります。Microsoftは、このキャンペーンはルーター、ファイアウォール、VPNハードウェアなどのネットワーク機器を介してトラフィックをルーティングすることで通常のネットワーク活動に紛れ込むなど、密かに行われていると述べた。

Microsoft は、Volt タイフーンの活動について詳しく説明しています。さらに技術的な詳細に興味がある場合は、Microsoft のブログ投稿を必ずお読みください。