Detección de Actores Cibernéticos Patrocinados por el Estado Chino: El Aviso Conjunto de Ciberseguridad (CSA) AA23-144a Arroja Luz sobre la Actividad Sigilosa de Volt Typhoon Dirigida a la Infraestructura Crítica de EE. UU.
Tabla de contenidos:
Durante años, China ha estado lanzando operaciones ofensivas dirigidas a recopilar inteligencia y reunir datos sensibles de organizaciones de EE. UU. y a nivel mundial en múltiples industrias, con ataques frecuentemente relacionados con grupos APT apoyados por la nación, como Mustang Panda or APT41.
El 24 de mayo de 2023, la NSA, CISA y el FBA, en conjunto con otras agencias autoras de EE. UU. e internacionales, emitieron un aviso conjunto de ciberseguridad cubriendo la actividad del adversario recientemente revelada del grupo APT respaldado por la nación vinculado a China, rastreado como Volt Typhoon. Al acceder a un sistema corporativo, los actores de amenazas roban los detalles de inicio de sesión de los usuarios y los aplican para expandir su acceso a otras redes y mantener la persistencia, lo que le permite a Volt Typhoon permanecer más tiempo bajo el radar. Según el informe, la actividad del adversario impacta en la infraestructura crítica de EE. UU. y representa una seria amenaza para los defensores cibernéticos al potencialmente expandir su alcance de ataques para dirigirse a múltiples sectores de la industria a escala global.
Detección de ataques APT Volt Typhoon patrocinados por el Estado Chino
En vista de las crecientes tensiones entre EE. UU. y China, los grupos de amenazas persistentes avanzadas afiliados a la República Popular China (RPC) están enfocando su atención en los objetivos dentro de los Estados Unidos de América. El último aviso conjunto de la NSA, CISA, FBA y autoridades internacionales revela una campaña de ciberespionaje de larga duración que aprovecha técnicas de ‘living-off-the-land’ para atacar el sector de infraestructura crítica de EE. UU.
Para ayudar a las organizaciones a detectar la actividad maliciosa vinculada a Volt Typhoon, la Plataforma de SOC Prime para la defensa cibernética colectiva agrega un conjunto de reglas Sigma relevantes. Todas las detecciones son compatibles con más de 25 soluciones SIEM, EDR y XDR y están mapeadas a el marco MITRE ATT&CK v12 para ayudar a los profesionales de la seguridad a optimizar las operaciones de investigación y caza de amenazas.
Presione el Explorar Detecciones botón a continuación para profundizar inmediatamente en un paquete de contenido de detección destinado a detectar ataques encubiertos de Volt Typhoon aprovechando ‘living-off-the-land’ durante las últimas intrusiones. Para simplificar la búsqueda de contenido, SOC Prime admite el filtrado por etiquetas personalizadas “AA23-144a” y “RPC” basadas en la alerta de CISA e identificadores geográficos del colectivo de piratería.
Equipa tu SOC con un conjunto único de reglas de detección contra prominentes grupos APT respaldados por China, Irán y Rusia
Witnessing the escalation of the ongoing global cyber war for over a decade, SOC Prime team backed by our Programa de recompensas por amenazas members has been continuously analyzing the activities of prominent APT groups worldwide to craft curated detection content and help organizations enhance their cyber defense against state-sponsored threats. Our experts are on the cyber frontline since ataques BlackEnergy and brote NotPetyaaggregation collective industry expertise and developing relevant detection content.
Hasta la fecha, el Mercado de Detección de Amenazas de SOC Prime selecciona más de 1,000 reglas Sigma que abordan tácticas, técnicas y procedimientos prominentes utilizados por colectivos patrocinados por el estado chino, iraní y ruso. Usando el Mercado de Detección de Amenazas propulsado por el estándar Sigma independiente del proveedor, los equipos SOC pueden estar completamente armados con el contenido de detección que aborda los TTPs de los actores clave de APT, independientemente de la solución de seguridad que usen.
La lista seleccionada de reglas Sigma contra colectivos de piratería respaldados por la nación china, iraní y rusa está en camino, lista para equipar a los defensores cibernéticos con algoritmos de detección verificados mapeados a ATT&CK y convertibles a 28 soluciones SIEM, EDR y XDR para defensa cibernética proactiva. Manténgase atento a nuestras actualizaciones para ser el primero en desbloquear toda la colección de más de 1,000 reglas Sigma contra amenazas relacionadas y no dejar ninguna oportunidad para que los atacantes ataquen.
Análisis de las actividades APT respaldadas por China de Volt Typhoon cubierto en la última alerta CSA conjunta
La Agencia de Seguridad Nacional de EE. UU. (NSA), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el Buró Federal de Investigaciones (FBI) de EE. UU., junto con otras autoridades de ciberseguridad, han emitido recientemente un Aviso Conjunto de Ciberseguridad (CSA) arrojando luz sobre la actividad maliciosa recién descubierta del colectivo de piratería respaldado por la nación Volt Typhoon. El grupo cubierto en este informe está vinculado a la República Popular China (RPC) y lanza una serie de operaciones ofensivas dirigidas a redes en sectores de infraestructura crítica de EE. UU.
Según investigación de Microsoft, Volt Typhoon ha estado realizando sus operaciones ofensivas en el ámbito de amenazas cibernéticas desde 2021, principalmente enfocándose en la infraestructura crítica en Guam y otras partes de EE. UU. a través de múltiples sectores de la industria. Los patrones de comportamiento identificados revelan los objetivos del atacante relacionados con la actividad de ciberespionaje y su enfoque en mantener el sigilo y la persistencia.
El grupo de piratería aplica en gran medida el TTP de ‘living-off-the-land’ de su arsenal adversario, abusando de herramientas integradas de administración de redes para lograr sus objetivos maliciosos. Esta última técnica permite a los atacantes eludir la detección mezclándose con sistemas Windows legítimos y operaciones regulares de la red y evadir soluciones EDR. Volt Typhoon aprovecha PowerShell y un conjunto de utilidades de línea de comandos de Microsoft Windows, como las herramientas “ntdsutil” y “netsh”.
La cadena de ataque involucra tres etapas, incluyendo la recolección de credenciales de sistemas comprometidos, el almacenamiento de los datos en un archivo para prepararlos para la exfiltración y la aplicación de las credenciales recuperadas para el mantenimiento de la persistencia. En la etapa inicial, los actores de amenazas explotan una vulnerabilidad en el conjunto de ciberseguridad FortiGuard ampliamente utilizado para obtener acceso a sistemas corporativos. Después de obtener acceso al entorno objetivo, Volt Typhoon realiza una actividad manual y se basa en comandos de ‘living-off-the-land’ para la búsqueda de información a través de las redes comprometidas y la exfiltración de datos.
El aviso CSA cubre una lista de comandos adversarios e IOCs que pueden asistir a los profesionales de la ciberseguridad en la búsqueda de amenazas relacionadas con el APT vinculado a China mencionado anteriormente.
Según la investigación de ciberseguridad, Volt Typhoon ha aplicado dispositivos de red SOHO afectados para ocultar su actividad maliciosa, lo que requiere la atención inmediata de los propietarios de estos dispositivos para prevenir la exposición a una posible infección.
Además, se ha observado a los piratas informáticos intentando exfiltrar el archivo “ntds.dit” con los datos sensibles sobre usuarios, grupos y hashes de contraseñas junto con la colmena del registro del SISTEMA de los controladores de dominio de Windows. Volt Typhoon intenta generar una Copia Sombra y obtener una copia del archivo “ntds.dit” directamente de ella. Los actores de amenazas son capaces de realizar estas operaciones maliciosas y robar contraseñas de usuario a través de la utilidad de línea de comandos Ntdsutil que los administradores de Microsoft Windows Server aplican para gestionar AD y sus componentes relacionados, lo que requiere la atención meticulosa de los defensores cibernéticos al ejecutar los comandos de herramientas.
Para mitigar los riesgos, los investigadores en ciberseguridad también recomiendan seguir las pautas sobre cómo eliminar a los actores de amenazas de redes comprometidas, como la guía de desalojo de CISA, así como seguir las mejores prácticas de la industria para reducir la superficie de ataque y optimizar el riesgo de la postura de ciberseguridad, como aplicar una autenticación multifactor fuerte, restringir el uso de proxy de puertos dentro de los entornos, habilitar la protección en la nube y ejecutar soluciones EDR en modo de bloqueo, etc.
Contexto de MITRE ATT&CK
Para explorar el contexto en profundidad detrás de la actividad dirigida en curso del grupo APT Volt Typhoon respaldado por China, todas las reglas Sigma proporcionadas dentro del conjunto de detección anterior están etiquetadas con MITRE ATT&CK abordando las tácticas y técnicas correspondientes: Tactics Techniques Sigma Rule Execution Command and Scripting Interpreter (T1059) Windows Management Instrumentation (T1047) Defense Evasion System Binary Proxy Execution (T1218) Virtualization/Sandbox Evasion (T1497) Indicator Removal (T1070) Impair Defenses (T1562) Hide Artifacts (T1564) Obfuscated Files or Information (T1027) Credential Access OS Credential Dumping (T1003) Unsecured Credentials (T1552) Discovery System Information Discovery (T1082) System Owner/User Discovery (T1033) Account Discovery (T1087) Network Service Discovery (T1046) System Network Configuration Discovery (T1016) Collection Archive Collected Data (T1560)
