Detecção de Ator Cibernético Patrocinado pelo Estado Chinês: Aviso Conjunto de Cibersegurança (CSA) AA23-144a Lança Luz sobre Atividades Furtivas do Volt Typhoon Alvejando Infraestrutura Crítica dos EUA
Índice:
Há anos, a China vem lançando operações ofensivas visando coletar inteligência e reunir dados sensíveis de organizações dos EUA e de todo o mundo em múltiplas indústrias, com ataques frequentemente relacionados a grupos APT apoiados por nações, como Mustang Panda or APT41.
Em 24 de maio de 2023, a NSA, CISA e FBA, em conjunto com outras agências autoras dos EUA e internacionais, emitiram um aviso conjunto de cibersegurança cobrindo a atividade adversária recentemente revelada do grupo APT apoiado por nação vinculado à China, rastreado como Volt Typhoon. Ao acessar um sistema corporativo, os atores da ameaça roubam detalhes de login de usuários e os aplicam para expandir seu acesso a outras redes e manter a persistência, o que permite ao Volt Typhoon permanecer por mais tempo sob o radar. De acordo com o relatório, a atividade adversária impacta a infraestrutura crítica dos EUA e representa uma séria ameaça para os defensores cibernéticos ao potencialmente expandir seu alcance de ataques para atingir vários setores da indústria em escala global.
Detectando Ataques APT Volt Typhoon Patrocinados Pelo Estado da China
Diante da intensificação das tensões entre os EUA e a China, os grupos de ameaças persistentes avançadas afiliados à República Popular da China (RPC) estão voltando seu foco para os alvos dentro dos Estados Unidos da América. O mais recente aviso conjunto da NSA, CISA, FBA e autoridades internacionais revela uma campanha de ciberespionagem duradoura aproveitando técnicas de living-of-the-land para atacar o setor de infraestrutura crítica dos EUA.
Para ajudar as organizações a detectar a atividade maliciosa vinculada ao Volt Typhoon, a Plataforma da SOC Prime para defesa cibernética coletiva agrega um conjunto de regras Sigma relevantes. Todas as detecções são compatíveis com mais de 25 soluções SIEM, EDR e XDR e mapeadas para estrutura MITRE ATT&CK v12 para ajudar os profissionais de segurança a agilizar as operações de investigação e hunting de ameaças.
Pressione o Explore Detections botão abaixo para ir imediatamente a um pacote de conteúdo de detecção destinado a detectar ataques encobertos do Volt Typhoon aproveitando-se do living-off-the-land ao longo das últimas intrusões. Para simplificar a busca de conteúdo, a SOC Prime oferece suporte à filtragem por etiquetas personalizadas “AA23-144a” e “RPC” com base no alerta CISA e identificadores geográficos coletivos de hackers.
Equipe o Seu SOC Com Conjunto de Regras de Detecção Único Contra Grupos APT Proeminentes Patrocinados por China, Irã e Rússia
Testemunhando a escalada da guerra cibernética global em curso há mais de uma década, a equipe da SOC Prime, apoiada por nosso Programa de Recompensa por Ameaças tem analisado continuamente as atividades de grupos APT proeminentes em todo o mundo para criar conteúdo de detecção curado e ajudar as organizações a melhorar sua defesa cibernética contra ameaças patrocinadas por estados. Nossos especialistas estão na linha de frente cibernética desde os ataques BlackEnergy and surto do NotPetya, agregando a expertise coletiva da indústria e desenvolvendo conteúdo de detecção relevante.
Até o momento, o Marketplace de Detecção de Ameaças da SOC Prime organiza mais de 1.000 regras Sigma que abordam táticas, técnicas e procedimentos proeminentes utilizados por coletivos patrocinados por China, Irã e Rússia. Utilizando o Marketplace de Detecção de Ameaças, alimentado pelo padrão Sigma agnóstico de fornecedor, as equipes SOC podem estar totalmente armadas com o conteúdo de detecção que aborda as TTPs dos principais atores APT independentemente da solução de segurança em uso.
A lista curada de regras Sigma contra coletivos de hackers patrocinados por nações chinesa, iraniana e russa está a caminho, pronta para equipar os defensores cibernéticos com algoritmos de detecção verificados mapeados para ATT&CK e conversíveis para 28 soluções SIEM, EDR e XDR para defesa cibernética proativa. Fique atento às nossas atualizações para ser o primeiro a desbloquear toda a coleção de mais de 1.000 regras Sigma contra ameaças relacionadas e não dar chance aos atacantes para atacar.
Análise da Atividade APT Volt Typhoon Patrocinada pela China Coberta no Último Alerta Conjunto CSA
A Agência de Segurança Nacional dos EUA (NSA), a Agência de Segurança de Infraestrutura e Cibersegurança (CISA), o Departamento Federal de Investigação dos EUA (FBI), junto com outras autoridades de cibersegurança, emitiram recentemente um Aviso Conjunto de Cibersegurança (CSA) lançando luz sobre a atividade maliciosa recém-descoberta do coletivo de hackers patrocinado por nações Volt Typhoon. O grupo coberto neste relatório está vinculado à República Popular da China (RPC) e lança uma série de operações ofensivas visando redes em setores de infraestrutura crítica dos EUA.
De acordo com pesquisa da Microsoft, o Volt Typhoon tem realizado suas operações ofensivas na arena das ameaças cibernéticas desde 2021, principalmente visando a infraestrutura crítica em Guam e outras partes dos EUA em vários setores da indústria. Os padrões de comportamento identificados revelam os objetivos do atacante relacionados à atividade de ciberespionagem e seu foco em manter sigilo e persistência.
O grupo de hackers aplica amplamente a TTP living-off-the-land do seu arsenal de adversário, abusando de ferramentas administrativas de rede embutidas para atingir seus objetivos maliciosos. A última técnica permite que os atacantes contornem a detecção ao se misturar com sistemas Windows legítimos e operações regulares de rede e evadir soluções EDR. O Volt Typhoon aproveita o PowerShell e um conjunto de utilitários de linha de comando Microsoft Windows, como as ferramentas “ntdsutil” e “netsh”.
A cadeia de ataque envolve três estágios, incluindo a coleta de credenciais de sistemas comprometidos, o armazenamento dos dados em um arquivo para prepará-los para exfiltração, e a aplicação das credenciais recuperadas para manutenção de persistência. No estágio inicial, os atores da ameaça exploram uma vulnerabilidade na suíte de cibersegurança FortiGuard amplamente utilizada para obter acesso aos sistemas corporativos. Após conseguir acesso ao ambiente alvo, o Volt Typhoon realiza uma atividade hands-on-keyboard e depende de comandos de living-off-the-land para busca de informações nas redes comprometidas e exfiltração de dados.
O aviso CSA cobre uma lista de comandos adversários e IOCs que podem auxiliar profissionais de cibersegurança a caçar ameaças relacionadas ao APT vinculado à China acima mencionado.
De acordo com a investigação de cibersegurança, o Volt Typhoon aplicou dispositivos de rede SOHO impactados para esconder sua atividade maliciosa, o que requer a atenção imediata dos proprietários desses dispositivos para prevenir a exposição a uma potencial infecção.
Além disso, os hackers foram observados fazendo tentativas de exfiltrar o arquivo “ntds.dit” com dados sensíveis sobre usuários, grupos e hashes de senhas junto com a colmeia do registro SYSTEM de controladores de domínio do Windows. O Volt Typhoon tenta gerar uma Shadow Copy e recuperar uma cópia do arquivo “ntds.dit” diretamente dela. Os atores da ameaça são capazes de realizar essas operações maliciosas e roubar senhas de usuários via utilitário de linha de comando Ntdsutil que os administradores do Microsoft Windows Server aplicam para gerenciar AD e seus componentes relacionados, o que requer atenção próxima de defensores cibernéticos ao executar os comandos da ferramenta.
Para mitigar os riscos, pesquisadores de cibersegurança também recomendam seguir as diretrizes sobre como remover atores de ameaça de redes comprometidas, como a orientação de evacuação da CISA, além de seguir as melhores práticas da indústria para reduzir a superfície de ataque e otimizar o risco da postura de cibersegurança, como impor autenticação multifator forte, restringir o uso de proxy de porta dentro dos ambientes, habilitar proteção em nuvem e executar soluções EDR no modo de bloqueio, etc.
Contexto do MITRE ATT&CK
Para explorar o contexto aprofundado por trás da atividade direcionada em andamento do grupo APT Volt Typhoon apoiado pela China, todas as regras Sigma fornecidas no stack de detecção acima são etiquetadas com MITRE ATT&CK endereçando as táticas e técnicas correspondentes: Tactics Techniques Sigma Rule Execution Command and Scripting Interpreter (T1059) Windows Management Instrumentation (T1047) Defense Evasion System Binary Proxy Execution (T1218) Virtualization/Sandbox Evasion (T1497) Indicator Removal (T1070) Impair Defenses (T1562) Hide Artifacts (T1564) Obfuscated Files or Information (T1027) Credential Access OS Credential Dumping (T1003) Unsecured Credentials (T1552) Discovery System Information Discovery (T1082) System Owner/User Discovery (T1033) Account Discovery (T1087) Network Service Discovery (T1046) System Network Configuration Discovery (T1016) Collection Archive Collected Data (T1560)
