微軟稱國家支持的中國演員瞄準美國的關鍵基礎設施

微軟宣布，中國政府資助的攻擊者 Volt Typhoon 正以美國的關鍵基礎設施組織為目標。該公司表示，Volt Typhoon 正在開發破壞美國和亞洲之間關鍵通信基礎設施的能力——這種能力在涉及中國的危機中可能會派上用場。

惡意活動自 2021 年年中以來一直在進行，目標是關島和美國其他地區的組織。受影響的公司跨越多個行業，包括通信、製造、公用事業、運輸、建築、海事、政府、信息技術和教育。

Microsoft Defender Antivirus和Microsoft Defender for Endpoint將讓用戶知道他們是否已受到 Volt Typhoon 的危害。在 Microsoft Defender 防病毒軟件上，以下內容與 Volt Typhoon 相關：

• 行為：Win32/SuspNtdsUtilUsage.A
• 行為：Win32/SuspPowershellExec.E
• 行為：Win32/SuspRemoteCmdCommandParent.A
• 行為：Win32/UNCFilePathOperation
• 行為：Win32/VSSAmsiCaller.A
• 行為：Win32/WinrsCommand.A
• 行為：Win32/WmiSuspProcExec.J!se
• 行為：Win32/WmicRemote.A
• 行為：Win32/WmiprvseRemoteProc.B

如果您使用 Microsoft Defender for Endpoint，您將看到以下警報：

• 檢測到 Volt Typhoon 威脅演員

Volt Typhoon 也可能導致 Microsoft Defender for Endpoint 出現以下提示但不一定是原因：

• 一台機器被配置為將流量轉發到非本地地址
• Ntdsutil 收集 Active Directory 信息
• 從 LSASS 內存中轉儲的密碼哈希
• 可疑使用 wmic.exe 執行代碼
• Impacket 工具包

如果您受到 Volt Typhoon 的影響，您應該關閉或更改所有受感染帳戶的憑據。還建議用戶檢查受感染帳戶的活動，看看黑客可能做了什麼。

如果您沒有採取適當的安全措施，您可能永遠不會知道黑客曾經進入過您的系統。微軟表示，該活動正在秘密進行，包括通過路由器、防火牆和 VPN 硬件等網絡設備路由流量，從而融入正常的網絡活動。

Microsoft 已廣泛詳細介紹了 Volt Typhoon 活動。如果您有興趣深入了解更多技術細節，請務必閱讀 Microsoft 的博客文章。