Η Microsoft έχει ανακοινώσει ότι ο Volt Typhoon, ένας κινεζικός κρατικός φορέας, στοχεύει οργανισμούς υποδομής ζωτικής σημασίας στις Ηνωμένες Πολιτείες. Η εταιρεία είπε ότι η Volt Typhoon αναπτύσσει δυνατότητες για να διαταράξει κρίσιμες υποδομές επικοινωνιών μεταξύ των ΗΠΑ και της Ασίας – μια ικανότητα που θα μπορούσε να είναι χρήσιμη κατά τη διάρκεια μιας κρίσης που περιλαμβάνει την Κίνα.
Η κακόβουλη εκστρατεία συνεχίζεται από τα μέσα του 2021 και στοχεύει οργανισμούς στο Γκουάμ και τις υπόλοιπες Ηνωμένες Πολιτείες. Οι επηρεαζόμενες εταιρείες καλύπτουν πολλούς τομείς, συμπεριλαμβανομένων των επικοινωνιών, της μεταποίησης, των υπηρεσιών κοινής ωφελείας, των μεταφορών, των κατασκευών, της ναυτιλίας, της κυβέρνησης, της τεχνολογίας πληροφοριών και της εκπαίδευσης.
Το Microsoft Defender Antivirus και το Microsoft Defender για Endpoint θα ενημερώσει τους χρήστες εάν έχουν παραβιαστεί από το Volt Typhoon. Στο Microsoft Defender Antivirus, τα ακόλουθα σχετίζονται με το Volt Typhoon:
- Συμπεριφορά:Win32/SuspNtdsUtilUsage.A
- Συμπεριφορά:Win32/SuspPowershellExec.E
- Συμπεριφορά:Win32/SuspRemoteCmdCommandParent.A
- Συμπεριφορά:Win32/UNCFilePathOperation
- Συμπεριφορά:Win32/VSSAMsiCaller.A
- Συμπεριφορά:Win32/WinrsCommand.A
- Συμπεριφορά:Win32/WmiSuspProcExec.J!se
- Συμπεριφορά: Win32/WmicRemote.A
- Συμπεριφορά:Win32/WmiprvseRemoteProc.B
Εάν χρησιμοποιείτε το Microsoft Defender για Endpoint, θα δείτε την ακόλουθη ειδοποίηση:
- Εντοπίστηκε threat actor Volt Typhoon
Το Volt Typhoon μπορεί επίσης να προκαλέσει τα ακόλουθα μηνύματα στο Microsoft Defender για Endpoint, αλλά δεν είναι απαραίτητα η αιτία:
- Ένα μηχάνημα διαμορφώθηκε για προώθηση της κυκλοφορίας σε μη τοπική διεύθυνση
- Ntdsutil συλλέγει πληροφορίες Active Directory
- Κατακερματισμοί κωδικών πρόσβασης απορρίφθηκαν από τη μνήμη LSASS
- Ύποπτη χρήση του wmic.exe για την εκτέλεση κώδικα
- Εργαλειοθήκη Impacket
Εάν έχετε επηρεαστεί από το Volt Typhoon, θα πρέπει να κλείσετε ή να αλλάξετε τα διαπιστευτήρια για όλους τους παραβιασμένους λογαριασμούς. Συνιστάται επίσης στους χρήστες να εξετάζουν τη δραστηριότητα των παραβιασμένων λογαριασμών για να δουν τι μπορεί να έχουν κάνει οι χάκερ.
Εάν δεν έχετε λάβει τα κατάλληλα μέτρα ασφαλείας, μπορεί να μην μάθετε ποτέ ότι οι χάκερ ήταν ποτέ στο σύστημά σας. Η Microsoft είπε ότι η καμπάνια γίνεται κρυφά, συμπεριλαμβανομένης της ανάμειξης σε κανονική δραστηριότητα δικτύου δρομολογώντας την κυκλοφορία μέσω εξοπλισμού δικτύου όπως δρομολογητές, τείχη προστασίας και υλικό VPN.
Η Microsoft έχει αναφέρει εκτενώς τη δραστηριότητα του Volt Typhoon. Εάν ενδιαφέρεστε να διερευνήσετε τις περισσότερες τεχνικές λεπτομέρειες, φροντίστε να διαβάσετε την ανάρτηση ιστολογίου της Microsoft.
