Détection d’Acteur Cyber Espionné par l’État Chinois : L’Avis Commun de Cybersécurité (CSA) AA23-144a Met en Lumière l’Activité Furtive de Volt Typhoon Visant l’Infrastructure Critique Américaine
Table des matières :
Depuis des années, la Chine lance des opérations offensives visant à collecter des renseignements et à rassembler des données sensibles auprès d’organisations américaines et mondiales dans de multiples industries, avec des attaques fréquemment liées à des groupes APT soutenus par l’État, comme Mustang Panda or APT41.
Le 24 mai 2023, la NSA, la CISA et le FBI, en collaboration avec d’autres agences américaines et internationales, ont publié un avis conjoint sur la cybersécurité couvrant l’activité récemment dévoilée de l’adversaire du groupe APT soutenu par l’État chinois suivi sous le nom de Volt Typhoon. En accédant à un système d’entreprise, les acteurs de la menace volent les informations de connexion des utilisateurs et les utilisent pour étendre leur accès à d’autres réseaux et maintenir leur persistance, ce qui permet à Volt Typhoon de rester plus longtemps sous le radar. Selon le rapport, l’activité des adversaires impacte l’infrastructure critique des États-Unis et représente une menace sérieuse pour les cyber-défenseurs en élargissant potentiellement sa portée d’attaques pour cibler plusieurs secteurs industriels à l’échelle mondiale.
Détection des attaques APT de Volt Typhoon parrainées par l’État chinois
Compte tenu de l’intensification des tensions entre les États-Unis et la Chine, les groupes de menaces persistantes avancés affiliés à la République populaire de Chine (RPC) se tournent vers les cibles aux États-Unis d’Amérique. Le dernier avis conjoint de la NSA, de la CISA, du FBI et des autorités internationales révèle une campagne de cyber-espionnage de longue durée utilisant des techniques « living-off-the-land » pour attaquer le secteur de l’infrastructure critique des États-Unis.
Pour aider les organisations à détecter l’activité malveillante liée à Volt Typhoon, la plateforme de SOC Prime pour la défense cybernétique collective agrège un ensemble de règles Sigma pertinentes. Toutes les détections sont compatibles avec plus de 25 solutions SIEM, EDR et XDR et sont mappées au cadre MITRE ATT&CK v12 pour aider les professionnels de la sécurité à rationaliser les opérations d’investigation et de chasse aux menaces.
Appuyez sur le bouton Explorer les détections ci-dessous pour examiner immédiatement un ensemble de contenus de détection visant à détecter les attaques cachées de Volt Typhoon utilisant « living-off-the-land » lors des dernières intrusions. Pour simplifier la recherche de contenu, SOC Prime prend en charge le filtrage par des tags personnalisés « AA23-144a » et « RPC » basés sur l’alerte de la CISA et les identifiants géographiques des collectifs de pirates.
Équipez votre SOC avec un ensemble unique de règles de détection contre les groupes APT proéminents soutenus par la Chine, l’Iran et la Russie
Témoignant de l’escalade de la guerre cybernétique mondiale en cours depuis plus de dix ans, l’équipe de SOC Prime, soutenue par notre programme Threat Bounty a continuellement analysé les activités des groupes APT proéminents dans le monde entier pour concevoir un contenu de détection sélectionné et aider les organisations à renforcer leur défense cybernétique contre les menaces parrainées par l’État. Nos experts sont en première ligne de la cyberdéfense depuis les attaques de BlackEnergy and l’épidémie de NotPetya, en agrégeant l’expertise collective de l’industrie et en développant un contenu de détection pertinent.
À ce jour, le Threat Detection Marketplace de SOC Prime propose plus de 1 000 règles Sigma adressant les tactiques, techniques et procédures proéminentes utilisées par les collectifs parrainés par l’État chinois, iranien et russe. En utilisant le Threat Detection Marketplace reposant sur la norme Sigma indépendante du fournisseur, les équipes SOC peuvent être pleinement armées avec le contenu de détection se rapportant aux TTP des acteurs APT clés, quel que soit leur système de sécurité.
La liste sélectionnée de règles Sigma contre les collectifs de piratage parrainés par les nations chinoise, iranienne et russe est en cours de préparation, prête à équiper les défenseurs cybernétiques avec des algorithmes de détection vérifiés mappés à ATT&CK et convertibles en 28 solutions SIEM, EDR et XDR pour une défense proactive. Restez à l’écoute de nos mises à jour pour être le premier à débloquer l’ensemble complet de plus de 1 000 règles Sigma contre les menaces associées et ne laissez aucune chance aux attaquants de frapper.
Analyse de l’activité APT Volt Typhoon soutenue par la Chine couverte dans le dernier avertissement CSA conjoint
L’agence de sécurité nationale des États-Unis (NSA), l’Agence de cybersécurité et de sécurité des infrastructures (CISA), le Bureau fédéral d’enquête américain (FBI), ainsi que d’autres autorités de cybersécurité ont récemment émis un avis conjoint de cybersécurité (CSA) éclairant sur l’activité malveillante nouvellement découverte du collectif de piratage parrainé par l’État Volt Typhoon. Le groupe couvert dans ce rapport est lié à la République populaire de Chine (RPC) et lance une série d’opérations offensives ciblant les réseaux à travers les secteurs de l’infrastructure critique des États-Unis.
Selon les recherches de Microsoft, Volt Typhoon mène ses opérations offensives dans l’arène des cyber-menaces depuis 2021, ciblant principalement l’infrastructure critique à Guam et dans d’autres parties des États-Unis à travers plusieurs secteurs industriels. Les modèles de comportement identifiés révèlent les objectifs des attaquants liés à l’activité de cyber-espionnage et leur concentration sur le maintien de la furtivité et de la persistance.
Le groupe de piratage applique largement le TTP « living-off-the-land » de son arsenal adverse en abusant des outils d’administration réseau intégrés pour atteindre ses objectifs malveillants. Cette technique permet aux attaquants de contourner la détection en se mêlant aux systèmes Windows légitimes et aux opérations réseau régulières et d’échapper aux solutions EDR. Volt Typhoon utilise PowerShell et un ensemble d’utilitaires en ligne de commande Microsoft Windows, tels que les outils « ntdsutil » et « netsh ».
La chaîne d’attaque implique trois étapes, y compris la collecte d’informations d’identification des systèmes compromis, le stockage des données dans une archive pour les préparer à l’exfiltration, et l’utilisation des identifiants récupérés pour maintenir la persistance. À l’étape initiale, les acteurs de la menace exploitent une vulnérabilité de la suite de cybersécurité FortiGuard largement utilisée pour accéder aux systèmes d’entreprise. Après avoir accédé à l’environnement ciblé, Volt Typhoon effectue une activité « hands-on-keyboard » et s’appuie sur des commandes « living-off-the-land » pour la recherche d’informations à travers les réseaux compromis et l’exfiltration de données.
L’avis CSA couvre une liste de commandes adversaires et d’IOCs qui peuvent aider les professionnels de la cybersécurité à chasser les menaces liées à l’APT lié à la Chine mentionné ci-dessus.
Selon l’enquête de cybersécurité, Volt Typhoon a utilisé des appareils de réseau SOHO impactés pour cacher son activité malveillante, ce qui nécessite l’attention immédiate des propriétaires de ces appareils pour prévenir l’exposition à une infection potentielle.
De plus, il a été observé que les pirates tentaient d’exfiltrer le fichier « ntds.dit » contenant des données sensibles sur les utilisateurs, les groupes et les hachages de mots de passe ainsi que la ruche de registre SYSTEM depuis des contrôleurs de domaine Windows. Volt Typhoon essaie de générer une copie d’ombre et de récupérer une copie du fichier « ntds.dit » directement. Les acteurs de la menace sont capables de réaliser ces opérations malveillantes et de voler des mots de passe d’utilisateurs via l’utilitaire en ligne de commande Ntdsutil que les administrateurs de serveur Microsoft Windows utilisent pour gérer AD et ses composants associés, ce qui nécessite une attention particulière de la part des cyber-défenseurs lors de l’exécution des commandes de l’outil.
Pour atténuer les risques, les chercheurs en cybersécurité recommandent également de suivre les directives sur la manière de retirer les acteurs de la menace des réseaux compromis, telles que les directives d’éviction de la CISA, ainsi que de suivre les meilleures pratiques de l’industrie pour réduire la surface d’attaque et optimiser le risque du postulat de cybersécurité, comme l’application d’une authentification multi-facteurs forte, la restriction de l’utilisation des proxys de port dans les environnements, l’activation de la protection fournie par le cloud, et l’exécution des solutions EDR en mode bloc, etc.
Contexte MITRE ATT&CK
Pour explorer le contexte approfondi derrière l’activité ciblée en cours du groupe APT Volt Typhoon soutenu par la Chine, toutes les règles Sigma fournies dans la pile de détection ci-dessus sont étiquetées avec MITRE ATT&CK abordant les tactiques et techniques correspondantes : Tactics Techniques Sigma Rule Execution Command and Scripting Interpreter (T1059) Windows Management Instrumentation (T1047) Defense Evasion System Binary Proxy Execution (T1218) Virtualization/Sandbox Evasion (T1497) Indicator Removal (T1070) Impair Defenses (T1562) Hide Artifacts (T1564) Obfuscated Files or Information (T1027) Credential Access OS Credential Dumping (T1003) Unsecured Credentials (T1552) Discovery System Information Discovery (T1082) System Owner/User Discovery (T1033) Account Discovery (T1087) Network Service Discovery (T1046) System Network Configuration Discovery (T1016) Collection Archive Collected Data (T1560)
