Microsoft diz que ator chinês patrocinado pelo estado visa infraestrutura crítica nos EUA

A Microsoft anunciou que o Volt Typhoon, um ator patrocinado pelo estado chinês, tem como alvo organizações de infraestrutura crítica nos Estados Unidos. A empresa disse que o Volt Typhoon está desenvolvendo recursos para interromper a infraestrutura crítica de comunicações entre os EUA e a Ásia – um recurso que pode ser útil durante uma crise envolvendo a China.

A campanha maliciosa ocorre desde meados de 2021 e tem como alvo organizações em Guam e no restante dos Estados Unidos. As empresas afetadas abrangem vários setores, incluindo comunicações, manufatura, serviços públicos, transporte, construção, marítima, governo, tecnologia da informação e educação.

O Microsoft Defender Antivirus e o Microsoft Defender for Endpoint permitirão que os usuários saibam se foram comprometidos pelo Volt Typhoon. No Microsoft Defender Antivirus, os seguintes estão relacionados ao Volt Typhoon:

• Comportamento:Win32/SuspNtdsUtilUsage.A
• Comportamento:Win32/SuspPowershellExec.E
• Comportamento:Win32/SuspRemoteCmdCommandParent.A
• Comportamento:Win32/UNCFilePathOperation
• Comportamento:Win32/VSSAmsiCaller.A
• Comportamento:Win32/WinrsCommand.A
• Comportamento:Win32/WmiSuspProcExec.J!se
• Comportamento:Win32/WmicRemote.A
• Comportamento:Win32/WmiprvseRemoteProc.B

Se você usar o Microsoft Defender for Endpoint, verá o seguinte alerta:

• Ator de ameaça Volt Typhoon detectado

O Volt Typhoon também pode causar os seguintes prompts no Microsoft Defender for Endpoint, mas não é necessariamente a causa:

• Uma máquina foi configurada para encaminhar o tráfego para um endereço não local
• Ntdsutil coletando informações do Active Directory
• Hashes de senha despejados da memória LSASS
• Uso suspeito de wmic.exe para executar código
• Kit de ferramentas de empacotamento

Se você foi afetado pelo Volt Typhoon, feche ou altere as credenciais de todas as contas comprometidas. Também é aconselhável que os usuários examinem a atividade das contas comprometidas para ver o que os hackers podem ter feito.

Se você não tiver as medidas de segurança apropriadas, talvez nunca saiba que os hackers estiveram em seu sistema. A Microsoft disse que a campanha está sendo feita furtivamente, inclusive misturando-se à atividade normal da rede, roteando o tráfego por meio de equipamentos de rede, como roteadores, firewalls e hardware VPN.

A Microsoft detalhou extensivamente a atividade do Volt Typhoon. Se você estiver interessado em se aprofundar nos detalhes mais técnicos, leia a postagem no blog da Microsoft.