Microsoft zegt dat een door de staat gesponsorde Chinese acteur zich richt op kritieke infrastructuur in de VS
Microsoft heeft aangekondigd dat Volt Typhoon, een door de Chinese staat gesponsorde speler, zich richt op kritieke infrastructuurorganisaties in de Verenigde Staten. Het bedrijf zei dat Volt Typhoon mogelijkheden ontwikkelt om kritieke communicatie-infrastructuur tussen de VS en Azië te verstoren – een mogelijkheid die van pas zou kunnen komen tijdens een crisis waarbij China betrokken is.
De kwaadaardige campagne is al sinds medio 2021 aan de gang en richt zich op organisaties in Guam en de rest van de Verenigde Staten. Getroffen bedrijven omvatten meerdere sectoren, waaronder communicatie, productie, nutsvoorzieningen, transport, bouw, maritiem, overheid, informatietechnologie en onderwijs.
Microsoft Defender Antivirus en Microsoft Defender for Endpoint laten gebruikers weten of ze zijn gecompromitteerd door Volt Typhoon. Op Microsoft Defender Antivirus zijn de volgende gerelateerd aan Volt Typhoon:
- Gedrag:Win32/SuspNtdsUtilUsage.A
- Gedrag:Win32/SuspPowershellExec.E
- Gedrag:Win32/SuspRemoteCmdCommandParent.A
- Gedrag:Win32/UNCFilePathOperation
- Gedrag:Win32/VSSAmsiCaller.A
- Gedrag:Win32/WinrsCommand.A
- Gedrag:Win32/WmiSuspProcExec.J!se
- Gedrag:Win32/WmicRemote.A
- Gedrag:Win32/WmiprvseRemoteProc.B
Als u Microsoft Defender for Endpoint gebruikt, ziet u de volgende waarschuwing:
- Volt Typhoon bedreigingsactor gedetecteerd
Volt Typhoon kan ook de volgende prompts veroorzaken op Microsoft Defender for Endpoint, maar dit is niet noodzakelijkerwijs de oorzaak:
- Er is een machine geconfigureerd om verkeer door te sturen naar een niet-lokaal adres
- Ntdsutil verzamelt Active Directory-informatie
- Wachtwoord-hashes gedumpt uit LSASS-geheugen
- Verdacht gebruik van wmic.exe om code uit te voeren
- Impacket-toolkit
Als u bent getroffen door Volt Typhoon, moet u de inloggegevens van alle gecompromitteerde accounts sluiten of wijzigen. Het wordt ook aangeraden dat gebruikers de activiteit van gecompromitteerde accounts onderzoeken om te zien wat hackers mogelijk hebben gedaan.
Als u niet over de juiste beveiligingsmaatregelen beschikt, weet u misschien nooit dat de hackers ooit in uw systeem zijn geweest. Microsoft zei dat de campagne heimelijk wordt uitgevoerd, onder meer door op te gaan in normale netwerkactiviteit door verkeer te routeren via netwerkapparatuur zoals routers, firewalls en VPN-hardware.
Microsoft heeft de Volt Typhoon-activiteit uitgebreid beschreven. Als je geïnteresseerd bent in meer technische details, lees dan zeker de blogpost van Microsoft.
Geef een reactie