Volt Typhoon Attacks: Chinese Nation-Backed Actors Focus Malicious Efforts at the US Critical Infrastructure

北京政府の代理として行動する国家の支援を受けたハッカーたちは、何年にもわたって情報収集や米国および世界的な組織に対する破壊的なキャンペーンを目的とした攻撃作戦を組織しており、その攻撃の多くが以下のグループに関連しています： マスタング パンダ or APT41.

米国、英国、オーストラリア、ニュージーランド、カナダの情報機関による最新の共同警告は、「 Volt Typhoon （別名：Vanguard Panda、BRONZE SILHOUETTE）」という中国の別のAPTグループが、米国の重要インフラに注目していることを警告しています。国家の支援を受けた攻撃者たちは、半世紀以上米国の重要インフラにアクセスしており、破壊的な作戦を計画しています。特に、敵対者たちはSOHOルーター、ファイアウォール、およびVPNに影響を及ぼす一連のセキュリティギャップを利用して、ターゲットネットワークに初期の足場を確立し、悪意のある活動を進行させています。

Volt Typhoonの攻撃を検出

国家の支援を受けた攻撃者がもたらす増大する脅威は、新しい戦術、技術、および手順が敵対者のツールキットに追加されることで絶えず強化されています。サイバーセキュリティの専門家は、新しい悪質なトリックに常に注目し、組織のインフラを確保し、攻撃の可能性を初期段階で検出する必要があります。SOC Prime Platformは、脅威ハンティングを次のレベルに引き上げるための一連の高度なツールを提供し、常に防御を最新の状態に保つことができます。

SOC Prime Platformの管理された検出アルゴリズムセットを使用して、Volt Typhoonの操作に関連する悪意のある活動を検出します。すべての検出は、25以上のSIEM、EDR、XDR、およびデータレイクソリューションと互換性があり、 MITRE ATT&CKフレームワークv14 にマッピングされており、セキュリティ専門家の調査を合理化するのに役立ちます。

以下の「探索検出」ボタンを押して、Volt Typhoonの隠密攻撃を検出するための検出コンテンツバンドルをすぐに掘り下げます。コンテンツ検索を簡素化するために、SOC Primeはカスタムタグ「AA24-038A,」「Volt Typhoon,」「Vanguard Panda」「BRONZE SILHOUETTE」「Dev-0391」「UNC3236」「Voltzite」「Insidious Taurus” 」に基づいたCISAの警告およびハッキング集団識別子をサポートしています。

探索検出

AA24-038A CISAサイバーセキュリティ勧告でカバーされたハッキンググループVolt Typhoonの攻撃を分析

2024年2月7日に、CISA、NSA、FBI、および他の国際情報機関が協調して AA24-038Aアドバイザリ を発行し、Volt Typhoon APTによる長期的な作戦の警告を発しました。国家の支援を受けた敵対者は、SOHOルーターから成るボットネットを駆使して、通信、エネルギー、交通、その他の米国の重要インフラセクターの複数の組織のネットワークに侵入しました。連邦サイバーセキュリティ専門家によると、Volt Typhoonは主に破壊的な作戦に焦点を当てており、サイバースパイ活動ではなく、ネットワークにアクセスを確立し、環境全体で横移動してOT資産を潜在的に破壊することを目的としています。米国に対する主な焦点に加え、カナダ、オーストラリア、ニュージーランドの組織も影響を受ける可能性があると専門家は予測しています。

注目すべきは、最近のVolt Typhoonの攻撃が、2023年12月に明らかになった中国後援のハッカーに関連するKVボットネットマルウェアに結びついている可能性があることです。このマルウェアはルーターとVPNデバイスを乗っ取るために使用され、強力なボットネットを中国のハッカーの制御下に形成しました。

Volt Typhoonは2021年以来、サイバー脅威分野で攻撃的な作戦を展開しており、主に複数の業界セクターにおけるグアムおよび米国内の重要インフラを標的としています。識別された行動パターンは、攻撃者のサイバースパイ活動に関連する目的と、そのステルス性と持続性を維持しようとする姿勢を示しています。レーダー下を飛ぶために、Volt Typhoonは大量に生産されたライフサイクル戦術を活用し、有効なアカウントを悪用し、運用セキュリティを強化します。このアプローチのために、ハッカーはターゲットネットワーク内に5年以上も未検知のまま潜入し、秘密裏に悪意のある活動を進めました。

ますます高度化する 中国の敵対者の能力 が過去5年にわたって国の政府の支援を受けていることを考慮すると、中国はサイバー戦争を強化し、攻撃の範囲を拡大することによって、サイバー前線での地位を強化する可能性が高いです。SOC Primeに依存し、 500を超える厳選された検出アルゴリズム を現在および新たに出現するAPT攻撃の範囲と規模に応じて活用し、自身のサイバー耐性を絶えず強化してください。