Microsoft twierdzi, że sponsorowany przez państwo chiński aktor atakuje infrastrukturę krytyczną w USA
Microsoft ogłosił , że Volt Typhoon, chiński aktor sponsorowany przez państwo, bierze na cel organizacje infrastruktury krytycznej w Stanach Zjednoczonych. Firma poinformowała, że Volt Typhoon opracowuje zdolności do zakłócania krytycznej infrastruktury komunikacyjnej między Stanami Zjednoczonymi a Azją – zdolność, która może się przydać podczas kryzysu z udziałem Chin.
Złośliwa kampania trwa od połowy 2021 roku i jest wymierzona w organizacje z Guam i reszty Stanów Zjednoczonych. Firmy, których to dotyczy, działają w wielu sektorach, w tym w komunikacji, produkcji, usługach użyteczności publicznej, transporcie, budownictwie, morskim, rządowym, informatycznym i edukacyjnym.
Microsoft Defender Antivirus i Microsoft Defender for Endpoint powiadomią użytkowników, jeśli zostali narażeni na atak Volt Typhoon. W programie Microsoft Defender Antivirus następujące elementy są powiązane z Volt Typhoon:
- Zachowanie:Win32/SuspNtdsUtilUsage.A
- Zachowanie:Win32/SuspPowershellExec.E
- Zachowanie:Win32/SuspRemoteCmdCommandParent.A
- Zachowanie:Win32/UNCFilePathOperation
- Zachowanie:Win32/VSSAmsiCaller.A
- Zachowanie:Win32/WinrsCommand.A
- Zachowanie:Win32/WmiSuspProcExec.J!se
- Zachowanie:Win32/WmicRemote.A
- Zachowanie:Win32/WmiprvseRemoteProc.B
Jeśli korzystasz z usługi Microsoft Defender dla punktu końcowego, zobaczysz następujący alert:
- Wykryto aktora zagrażającego Volt Typhoon
Volt Typhoon może również powodować następujące monity w usłudze Microsoft Defender for Endpoint, ale niekoniecznie jest to przyczyną:
- Maszyna została skonfigurowana do przekazywania ruchu na adres inny niż lokalny
- Ntdsutil zbiera informacje o usłudze Active Directory
- Skróty haseł zrzucone z pamięci LSASS
- Podejrzane użycie wmic.exe do wykonania kodu
- Zestaw narzędzi Impacket
Jeśli zostałeś dotknięty przez Volt Typhoon, powinieneś zamknąć lub zmienić dane uwierzytelniające dla wszystkich przejętych kont. Zaleca się również, aby użytkownicy sprawdzali aktywność zaatakowanych kont, aby zobaczyć, co mogli zrobić hakerzy.
Jeśli nie masz odpowiednich środków bezpieczeństwa, możesz nigdy nie wiedzieć, że hakerzy kiedykolwiek byli w twoim systemie. Microsoft powiedział, że kampania jest prowadzona potajemnie, w tym poprzez wtapianie się w normalną aktywność sieciową poprzez kierowanie ruchu przez sprzęt sieciowy, taki jak routery, zapory ogniowe i sprzęt VPN.
Microsoft obszernie szczegółowo opisał działalność Volt Typhoon. Jeśli chcesz zagłębić się w bardziej techniczne szczegóły, przeczytaj wpis na blogu firmy Microsoft.
Dodaj komentarz