Microsoft diz que ator chinês patrocinado pelo estado visa infraestrutura crítica nos EUA
A Microsoft anunciou que o Volt Typhoon, um ator patrocinado pelo estado chinês, tem como alvo organizações de infraestrutura crítica nos Estados Unidos. A empresa disse que o Volt Typhoon está desenvolvendo recursos para interromper a infraestrutura crítica de comunicações entre os EUA e a Ásia – um recurso que pode ser útil durante uma crise envolvendo a China.
A campanha maliciosa ocorre desde meados de 2021 e tem como alvo organizações em Guam e no restante dos Estados Unidos. As empresas afetadas abrangem vários setores, incluindo comunicações, manufatura, serviços públicos, transporte, construção, marítima, governo, tecnologia da informação e educação.
O Microsoft Defender Antivirus e o Microsoft Defender for Endpoint permitirão que os usuários saibam se foram comprometidos pelo Volt Typhoon. No Microsoft Defender Antivirus, os seguintes estão relacionados ao Volt Typhoon:
- Comportamento:Win32/SuspNtdsUtilUsage.A
- Comportamento:Win32/SuspPowershellExec.E
- Comportamento:Win32/SuspRemoteCmdCommandParent.A
- Comportamento:Win32/UNCFilePathOperation
- Comportamento:Win32/VSSAmsiCaller.A
- Comportamento:Win32/WinrsCommand.A
- Comportamento:Win32/WmiSuspProcExec.J!se
- Comportamento:Win32/WmicRemote.A
- Comportamento:Win32/WmiprvseRemoteProc.B
Se você usar o Microsoft Defender for Endpoint, verá o seguinte alerta:
- Ator de ameaça Volt Typhoon detectado
O Volt Typhoon também pode causar os seguintes prompts no Microsoft Defender for Endpoint, mas não é necessariamente a causa:
- Uma máquina foi configurada para encaminhar o tráfego para um endereço não local
- Ntdsutil coletando informações do Active Directory
- Hashes de senha despejados da memória LSASS
- Uso suspeito de wmic.exe para executar código
- Kit de ferramentas de empacotamento
Se você foi afetado pelo Volt Typhoon, feche ou altere as credenciais de todas as contas comprometidas. Também é aconselhável que os usuários examinem a atividade das contas comprometidas para ver o que os hackers podem ter feito.
Se você não tiver as medidas de segurança apropriadas, talvez nunca saiba que os hackers estiveram em seu sistema. A Microsoft disse que a campanha está sendo feita furtivamente, inclusive misturando-se à atividade normal da rede, roteando o tráfego por meio de equipamentos de rede, como roteadores, firewalls e hardware VPN.
A Microsoft detalhou extensivamente a atividade do Volt Typhoon. Se você estiver interessado em se aprofundar nos detalhes mais técnicos, leia a postagem no blog da Microsoft.
Deixe um comentário