Erkennung chinesischer staatlich unterstützter Cyber-Akteure: Gemeinsamer Cybersicherheitsrat (CSA) AA23-144a wirft Licht auf schleichende Aktivitäten von Volt Typhoon, die auf kritische Infrastruktur in den USA abzielen
Inhaltsverzeichnis:
Seit Jahren führt China offensive Operationen durch, die darauf abzielen, Informationen zu sammeln und sensible Daten von US-amerikanischen und globalen Organisationen in verschiedenen Branchen zu erhalten. Diese Angriffe stehen häufig im Zusammenhang mit staatlich unterstützten APT-Gruppen, wie Mustang Panda or APT41.
Am 24. Mai 2023 haben NSA, CISA und FBA gemeinsam mit anderen US-amerikanischen und internationalen Stellen eine gemeinsame Cybersecurity-Beratung herausgegeben, die über die neu enthüllten Aktivitäten der China-gebundenen, staatlich unterstützten APT-Gruppe informiert, die als Volt Typhoon verfolgt wird. Indem sie Zugang zu einem Unternehmenssystem erlangen, stehlen Bedrohungsakteure Benutzerdaten und verwenden diese, um ihren Zugang zu anderen Netzwerken auszuweiten und ihre Präsenz aufrechtzuerhalten, was Volt Typhoon ermöglicht, länger unentdeckt zu bleiben. Laut dem Bericht betreffen die Aktivitäten der Gegner die kritische Infrastruktur der USA und stellen eine ernsthafte Bedrohung für die Cyber-Verteidiger dar, indem sie möglicherweise den Angriffsumfang erweitern, um verschiedene Industriesektoren weltweit ins Visier zu nehmen.
Erkennung von China-staatlich unterstützten Volt Typhoon APT-Angriffen
Angesichts der wachsenden Spannungen zwischen den USA und China richten die hochentwickelten, persistente Bedrohungsgruppen, die mit der Volksrepublik China (VR China) verbunden sind, ihren Blick auf die Ziele innerhalb der Vereinigten Staaten von Amerika. Die jüngste gemeinsame Beratung von NSA, CISA, FBA und internationalen Behörden offenbart eine langanhaltende Cyber-Spionagekampagne, die Techniken der Nutzung vorhandener Ressourcen verwendet, um den Sektor der kritischen Infrastruktur der USA anzugreifen.
Um Organisationen bei der Erkennung der mit Volt Typhoon verbundenen bösartigen Aktivitäten zu unterstützen, aggregiert die SOC Prime-Plattform für kollektive Cyberabwehr eine Reihe relevanter Sigma-Regeln. Alle Erkennungen sind mit über 25 SIEM-, EDR- und XDR-Lösungen kompatibel und auf das MITRE ATT&CK-Framework v12 abgebildet, um Sicherheitsfachleuten dabei zu helfen, die Untersuchung und Bedrohungssuche zu optimieren.
Drücken Sie die Explore Detections Taste unten, um sofort zu einem Inhaltsbündel zur Erkennung überzugehen, das darauf abzielt, versteckte Volt Typhoon-Angriffe zu identifizieren, die die Nutzung vorhandener Ressourcen im Laufe der neuesten Eindringlinge nutzen. Um die Inhaltssuche zu vereinfachen, unterstützt SOC Prime die Filterung durch benutzerdefinierte Tags „AA23-144a“ und „RPC“ basierend auf der CISA-Warnung und den geographischen Kennungen des Hacker-Kollektivs.
Rüsten Sie Ihr SOC mit einem einzigartigen Erkennungsregelset gegen prominente von China, Iran und Russland unterstützte APT-Gruppen aus
Angesichts der Eskalation des anhaltenden globalen Cyberkriegs seit über einem Jahrzehnt hat das SOC Prime-Team, unterstützt durch unser Threat Bounty Program Mitglieder, kontinuierlich die Aktivitäten prominenter APT-Gruppen weltweit analysiert, um kuratierte Erkennungsinhalte zu erstellen und Organisationen dabei zu helfen, ihre Cyberabwehr gegen staatlich unterstützte Bedrohungen zu verstärken. Unsere Experten stehen an vorderster Front der Cyberfront seit den BlackEnergy-Angriffen and NotPetya-Ausbruchund sammeln das kollektive Branchenwissen und entwickeln relevante Erkennungsinhalte.
Bis heute kuratiert der Threat Detection Marketplace von SOC Prime über 1.000 Sigma-Regeln, die sich mit prominenten Taktiken, Techniken und Verfahren befassen, die von chinesischen, iranischen und russischen staatlich unterstützten Kollektiven eingesetzt werden. Durch die Nutzung des Threat Detection Marketplace, der auf dem herstellerneutralen Sigma-Standard basiert, können SOC-Teams vollständig mit Erkennungsinhalten ausgestattet werden, die die TTPs wichtiger APT-Akteure abdecken, unabhängig von ihrer verwendeten Sicherheitslösung.
Die kuratierte Liste der Sigma-Regeln gegen von China, Iran und Russland unterstützte Hacker-Kollektive ist unterwegs und bereit, Cyberverteidiger mit verifizierten Erkennungsalgorithmen zu versorgen, die auf ATT&CK-Mapping abgebildet und in 28 SIEM-, EDR- und XDR-Lösungen umwandelbar sind, um eine proaktive Cyberabwehr zu ermöglichen. Bleiben Sie auf dem Laufenden mit unseren Updates, um als Erster die gesamte Sammlung von über 1.000 Sigma-Regeln gegen verwandte Bedrohungen freizuschalten und Angreifern keine Chance zu geben, zuzuschlagen.
Analyse der von China unterstützten Volt Typhoon APT-Aktivitäten, die im neuesten gemeinsamen CSA-Alarm abgedeckt sind
Die U.S. National Security Agency (NSA), die Cybersecurity and Infrastructure Security Agency (CISA), das Federal Bureau of Investigation (FBI) der USA sowie andere Cybersicherheitsbehörden haben kürzlich eine gemeinsame Cybersecurity-Beratung (CSA) herausgegeben, die Licht auf die neu aufgedeckte bösartige Aktivität des staatlich unterstützten Hacker-Kollektivs Volt Typhoon wirft. Die in diesem Bericht behandelte Gruppe ist mit der Volksrepublik China (VR China) verbunden und startet eine Reihe von offensiven Operationen, die sich gegen Netzwerke in den kritischen Infrastruktursektoren der USA richten.
Laut Forschung von Microsoftführt Volt Typhoon seit 2021 offensive Operationen im Bereich der Cyberbedrohungen durch, hauptsächlich gegen kritische Infrastrukturen in Guam und anderen Teilen der USA über verschiedene Industriesektoren hinweg. Die identifizierten Verhaltensmuster zeigen die Ziele des Angreifers im Zusammenhang mit Cyber-Spionageaktivitäten und deren Fokussierung auf die Aufrechterhaltung von Tarnung und Beständigkeit.
Die Hackergruppe verwendet weitgehend die TTP der Nutzung vorhandener Ressourcen aus ihrem Arsenal, indem sie eingebaute Netzadministrationstools missbraucht, um ihre bösartigen Ziele zu erreichen. Diese Technik ermöglicht es Angreifern, Erkennungen zu umgehen, indem sie sich mit legitimen Windows-Systemen und regulären Netzwerkoperationen vermischen und EDR-Lösungen ausweichen können. Volt Typhoon nutzt PowerShell und eine Reihe von Microsoft Windows-Befehlszeilen-Dienstprogrammen, wie „ntdsutil“ und „netsh“-Tools.
Die Angriffskette umfasst drei Phasen, darunter das Sammeln von Anmeldeinformationen von kompromittierten Systemen, das Speichern der Daten in einem Archiv zur Vorbereitung der Exfiltration und das Anwenden der abgerufenen Anmeldeinformationen zur Aufrechterhaltung der Beständigkeit. In der Anfangsphase nutzen Bedrohungsakteure eine Schwachstelle in der weitverbreiteten FortiGuard-Cybersicherheits-Suite, um Zugang zu Unternehmenssystemen zu erlangen. Nach dem Zugang zur Zielumgebung führt Volt Typhoon eine manuelle Aktivität durch und verlässt sich auf Kommandos zur Nutzung der vorhandenen Ressourcen, um Informationen in den kompromittierten Netzwerken zu suchen und Daten zu exfiltrieren.
Die CSA-Beratung umfasst eine Liste von gegnerischen Kommandos und IOCs, die Cybersicherheitsprofis helfen können, Bedrohungen im Zusammenhang mit den oben genannten China-gebundenen APTs zu jagen.
Laut der Cybersicherheitsuntersuchung hat Volt Typhoon betroffene SOHO-Netzwerkgeräte verwendet, um seine bösartigen Aktivitäten zu verbergen, was die sofortige Aufmerksamkeit der Besitzer dieser Geräte erfordert, um eine potenzielle Infektion zu verhindern.
Zudem wurden Versuche beobachtet, die Datei „ntds.dit“ mit den sensiblen Daten über Benutzer, Gruppen und Passwort-Hashes sowie den SYSTEM-Registrierungs-Hive von Windows-Domänencontrollern zu exfiltrieren. Volt Typhoon versucht, eine Schattenkopie zu erstellen und eine Kopie der „ntds.dit“-Datei direkt daraus abzurufen. Bedrohungsakteure sind in der Lage, diese bösartigen Operationen durchzuführen und Benutzerpasswörter über das Ntdsutil-Befehlszeilen-Dienstprogramm zu stehlen, das Microsoft Windows Server-Administratoren verwenden, um AD und dessen zugehörige Komponenten zu verwalten, was von Cyber-Verteidigern besondere Aufmerksamkeit beim Ausführen der Tool-Befehle erfordert.
Um die Risiken zu mindern, empfehlen Cybersicherheitsforscher auch, den Leitlinien zur Entfernung von Bedrohungsakteuren aus kompromittierten Netzwerken zu folgen, wie den dazugehörigen CISA-Eviktionsrichtliniensowie den besten Branchenpraktiken zu folgen, um die Angriffsfläche zu reduzieren und die Cybersecurity-Position risikogerecht zu optimieren, wie die Durchsetzung einer starken Multi-Faktor-Authentifizierung, die Einschränkung der Port-Proxy-Nutzung innerhalb der Umgebungen, die Aktivierung von Cloud-gelieferter Schutz und das Ausführen von EDR-Lösungen im Block-Modus usw.
MITRE ATT&CK-Kontext
Um den detaillierten Kontext hinter der laufenden gezielten Aktivität der China-gestützten Volt Typhoon APT-Gruppe zu erkunden, sind alle Sigma-Regeln im obigen Erkennungsstapel mit MITRE ATT&CK versehen und adressieren die entsprechenden Taktiken und Techniken: Tactics Techniques Sigma Rule Execution Command and Scripting Interpreter (T1059) Windows Management Instrumentation (T1047) Defense Evasion System Binary Proxy Execution (T1218) Virtualization/Sandbox Evasion (T1497) Indicator Removal (T1070) Impair Defenses (T1562) Hide Artifacts (T1564) Obfuscated Files or Information (T1027) Credential Access OS Credential Dumping (T1003) Unsecured Credentials (T1552) Discovery System Information Discovery (T1082) System Owner/User Discovery (T1033) Account Discovery (T1087) Network Service Discovery (T1046) System Network Configuration Discovery (T1016) Collection Archive Collected Data (T1560)
