Rilevamento di Attori di Cyberstatali Cinesi: La Consulenza sulla Sicurezza Informatica Congiunta (CSA) AA23-144a Fa Luce sull’Attività Nascosta di Volt Typhoon che Prende di Mira le Infrastrutture Critiche degli Stati Uniti
Indice:
Da anni, la Cina ha lanciato operazioni offensive mirate alla raccolta di informazioni e alla raccolta di dati sensibili da organizzazioni statunitensi e globali in diversi settori, con attacchi frequentemente legati a gruppi APT supportati dalla nazione, come Mustang Panda or APT41.
Il 24 maggio 2023, NSA, CISA e FBA, insieme ad altre agenzie autrici statunitensi e internazionali, hanno emesso un avviso congiunto sulla sicurezza informatica che copre l’attività avversa recentemente svelata del gruppo APT supportato dalla nazione legato alla Cina tracciato come Volt Typhoon. Accedendo a un sistema aziendale, gli attori delle minacce rubano i dettagli di accesso degli utenti e li applicano per espandere il loro accesso ad altre reti e mantenere la persistenza, il che consente a Volt Typhoon di rimanere più a lungo sotto il radar. Secondo il rapporto, l’attività avversa impatta le infrastrutture critiche degli Stati Uniti e rappresenta una seria minaccia per i difensori informatici espandendo potenzialmente la sua portata di attacchi per colpire più settori industriali su scala globale.
Rilevazione degli attacchi APT di Volt Typhoon sponsorizzati dallo stato cinese
In vista delle crescenti tensioni tra gli Stati Uniti e la Cina, i gruppi di minacce persistenti avanzate affiliati alla Repubblica Popolare Cinese (RPC) stanno rivolgendosi ai bersagli all’interno degli Stati Uniti d’America. L’ultimo avviso congiunto di NSA, CISA, FBA e autorità internazionali rivela una campagna di cyber-spionaggio di lunga durata che sfrutta tecniche di living-off-the-land per attaccare il settore delle infrastrutture critiche degli Stati Uniti.
Per aiutare le organizzazioni a rilevare l’attività malevola collegata a Volt Typhoon, la piattaforma SOC Prime per la difesa informatica collettiva aggrega un insieme di regole Sigma rilevanti. Tutte le rilevazioni sono compatibili con oltre 25 soluzioni SIEM, EDR e XDR e mappate al framework MITRE ATT&CK v12 per aiutare i professionisti della sicurezza a semplificare le operazioni di investigazione e caccia alla minaccia.
Premi il pulsante Esplora Rilevazioni qui sotto per approfondire immediatamente un bundle di contenuti di rilevazione mirato a individuare attacchi nascosti di Volt Typhoon che sfruttano la tecnica living-off-the-land durante le ultime intrusioni. Per semplificare la ricerca dei contenuti, SOC Prime supporta il filtraggio tramite tag personalizzati “AA23-144a” e “RPC” basati sull’allerta CISA e sugli identificatori geografici di collettivi di hacking.
Equipa il tuo SOC con un insieme unico di regole di rilevazione contro i gruppi APT prominenti supportati da Cina, Iran e Russia
Assistendo all’escalation della guerra informatica globale in corso da oltre un decennio, il team SOC Prime supportato dal nostro Programma di Bounty sulle Minacce membri ha continuamente analizzato le attività dei gruppi APT prominenti in tutto il mondo per creare contenuti di rilevazione curati e aiutare le organizzazioni a migliorare la loro difesa informatica contro le minacce sponsorizzate dallo stato. I nostri esperti sono in prima linea sul fronte informatico sin dagli attacchi BlackEnergy and l’epidemia di NotPetya, aggregando l’esperienza collettiva del settore e sviluppando contenuti di rilevazione rilevanti.
Ad oggi, il Marketplace di Rilevazione di Minacce di SOC Prime cura oltre 1.000 regole Sigma affrontando tattiche, tecniche e procedure promosse da collettivi sponsorizzati dallo stato cinese, iraniano e russo. Utilizzando il Marketplace di Rilevazione di Minacce potenziato dallo standard Sigma agnostico al fornitore, i team SOC possono essere completamente equipaggiati con i contenuti di rilevazione che affrontano i TTP degli attori APT chiave indipendentemente dalla soluzione di sicurezza in uso.
L’elenco curato di regole Sigma contro i collettivi di hacking sponsorizzati dalla nazione cinese, iraniana e russa è in arrivo, pronto a dotare i difensori informatici di algoritmi di rilevazione verificati mappati su ATT&CK e convertibili in 28 soluzioni SIEM, EDR e XDR per una difesa informatica proattiva. Resta sintonizzato con i nostri aggiornamenti per essere il primo a sbloccare l’intera collezione di oltre 1.000 regole Sigma contro le minacce correlate e non lasciare alcuna possibilità agli attaccanti di colpire.
Analisi dell’attività APT sostenuta dalla Cina di Volt Typhoon coperta nell’ultimo avviso congiunto CSA
L’Agenzia per la Sicurezza Nazionale degli Stati Uniti (NSA), l’Agenzia per la Sicurezza Informatica e delle Infrastrutture (CISA), il Federal Bureau of Investigation (FBI) degli Stati Uniti, insieme ad altre autorità di sicurezza informatica hanno recentemente emesso un avviso congiunto sulla Sicurezza Informatica (CSA) che getta luce sull’attività malevola appena scoperta del collettivo di hacking sponsorizzato dalla nazione Volt Typhoon. Il gruppo trattato in questo rapporto è legato alla Repubblica Popolare Cinese (RPC) e lancia una serie di operazioni offensive mirate a reti nei settori delle infrastrutture critiche degli Stati Uniti.
Secondo la ricerca di Microsoft, Volt Typhoon ha condotto le sue operazioni offensive nell’arena delle minacce informatiche dal 2021, prendendo di mira principalmente le infrastrutture critiche a Guam e in altre parti degli Stati Uniti attraverso diversi settori industriali. I modelli di comportamento identificati rivelano gli obiettivi dell’attaccante relativi all’attività di cyber-spionaggio e la loro attenzione a mantenere furtività e persistenza.
Il gruppo di hacker applica ampiamente la TTP di living-off-the-land dal suo arsenale avversario abusando degli strumenti di amministrazione di rete integrati per raggiungere i suoi obiettivi malevoli. Quest’ultima tecnica consente agli attaccanti di eludere la rilevazione mescolandosi con i normali sistemi Windows legittimi e le operazioni di rete regolari e di eludere le soluzioni EDR. Volt Typhoon sfrutta PowerShell e un insieme di utility della riga di comando di Microsoft Windows, come gli strumenti “ntdsutil” e “netsh”.
La catena di attacco coinvolge tre fasi, inclusa la raccolta delle credenziali dai sistemi compromessi, l’archiviazione dei dati in un archivio per prepararli all’esfiltrazione e l’applicazione delle credenziali recuperate per la manutenzione della persistenza. Nella fase iniziale, gli attori delle minacce sfruttano una vulnerabilità nella suite di sicurezza informatica FortiGuard ampiamente utilizzata per ottenere l’accesso ai sistemi aziendali. Dopo aver ottenuto l’accesso all’ambiente bersaglio, Volt Typhoon esegue un’attività manuale e si affida a comandi di living-off-the-land per la ricerca di informazioni attraverso le reti compromesse e l’esfiltrazione dei dati.
L’avviso CSA copre un elenco di comandi avversari e IOC che possono assistere i professionisti della sicurezza informatica nella caccia alle minacce legate al gruppo APT cinese menzionato sopra.
Secondo l’indagine sulla sicurezza informatica, Volt Typhoon ha applicato dispositivi di rete SOHO impattati per nascondere la sua attività malevola, il che richiede l’attenzione immediata dei proprietari di questi dispositivi per prevenire l’esposizione a potenziali infezioni.
Inoltre, gli hacker sono stati osservati nel tentativo di esfiltrare il file “ntds.dit” con i dati sensibili sugli utenti, i gruppi e gli hash delle password insieme al sistema di registro SYSTEM dai controller di dominio Windows. Volt Typhoon cerca di generare una copia shadow e recuperare una copia del file “ntds.dit” direttamente da essa. Gli attori delle minacce sono in grado di eseguire queste operazioni malevole e rubare le password degli utenti tramite l’utility della riga di comando Ntdsutil che gli amministratori del server Microsoft Windows applicano per gestire AD e i suoi componenti correlati, e ciò richiede un’attenzione particolare dei difensori informatici quando si eseguono i comandi dello strumento.
Per mitigare i rischi, i ricercatori di sicurezza informatica consigliano anche di seguire le linee guida su come rimuovere gli attori delle minacce dalle reti compromesse, come le linee guida di sfratto di CISA, oltre a seguire le migliori pratiche del settore per ridurre la superficie di attacco e ottimizzare il rischio della postura di sicurezza informatica, come l’applicazione dell’autenticazione multi-fattore forte, la restrizione dell’uso del proxy di porta all’interno degli ambienti, l’abilitazione della protezione basata su cloud e l’esecuzione di soluzioni EDR in modalità blocco, ecc.
Contesto MITRE ATT&CK
Per esplorare il contesto approfondito dietro l’attività mirata in corso del gruppo APT Volt Typhoon supportato dalla Cina, tutte le regole Sigma fornite all’interno della pila di rilevazione sopra citata sono contrassegnate con MITRE ATT&CK indirizzando le tattiche e le tecniche corrispondenti.
