Volt Typhoon menarget infrastruktur penting AS dengan teknik living-off-the-land (LotL)

Serangan ini dilancarkan oleh Volt Typhoon, pelaku yang disponsori negara dan berbasis di Tiongkok, yang khususnya berfokus pada spionase dan pengumpulan informasi. Microsoft menilai dengan cukup yakin, bahwa kampanye Volt Typhoon ini berupaya untuk membangun kemampuan yang dapat mendisrupsi infrastruktur komunikasi penting antara Amerika Serikat dan kawasan Asia pada saat krisis di masa depan.

Volt Typhoon telah aktif semenjak pertengahan tahun 2021 dan sudah menarget organisasi infrastruktur penting di Guam serta lokasi lainnya di Amerika Serikat. Di dalam kampanye ini, organisasi yang terimbas merupakan organisasi yang menjembatani sektor komunikasi, manufaktur, utilitas, transportasi, konstruksi, maritim, pemerintahan, teknologi informasi, dan pendidikan. Dari perilaku yang terpantau, ditunjukkan bahwa pelaku ancaman bermaksud untuk melakukan spionase dan mempertahankan akses tanpa terdeteksi selama mungkin.

Untuk mencapai tujuan mereka, pelaku ancaman menekankan dengan tegas kerahasiaan di dalam kampanye ini, nyaris sepenuhnya mengandalkan teknik living-off-the-land dan aktivitas hands-on-keyboard. Mereka mengeluarkan perintah lewat baris perintah untuk (1) mengumpulkan data, termasuk kredensial dari sistem jaringan dan lokal, (2) memasukkan data ke dalam file arsip untuk digunakan saat eksfiltrasi, lalu (3) menggunakan kredensial valid curian untuk menjaga persistensi. Selain itu, Volt Typhoon mencoba untuk berbaur di dalam aktivitas jaringan normal dengan merutekan lalu lintas melalui perlengkapan jaringan kantor kecil dan kantor rumah (SOHO) yang disusupi, termasuk perangkat keras VPN, router, dan firewall. Agar semakin tersembunyi, mereka juga terpantau memakai alat sumber terbuka versi kustom untuk membangun saluran perintah dan kontrol (C2) melalui proksi.

Pada posting blogini, kami membagikan informasi tentang Volt Typhoon, kampanye mereka yang menarget penyedia infrastruktur penting, serta taktik mereka untuk meraih dan mempertahankan akses yang tidak sah dalam rangka menyasar jaringan. Karena aktivitas ini mengandalkan akun valid dan bin living-off-the-land (LOLBins), mendeteksi dan memitigasi serangan ini bisa menjadi hal yang menantang. Akun yang disusupi harus ditutup atau diubah. Di akhir posting blogini, kami membagikan langkah mitigasi serta praktik terbaik lainnya, sekaligus memberikan detail tentang bagaimana Microsoft 365 Defender mendeteksi aktivitas berbahaya dan mencurigakan untuk melindungi organisasi dari serangan tersembunyi seperti ini. Badan Keamanan Nasional (National Security Agency/NSA) juga telah menerbitkan Saran Keamanan Cyber [PDF] , yang memuat panduan untuk berburu taktik, teknik, dan prosedur (TTP) yang didiskusikan di dalam blog ini. Lihat posting blog selengkapnya untuk informasi lebih jauh.

Seperti halnya semua aktivitas pelaku negara bangsa yang telah terpantau, Microsoft sudah memberikan informasi secara langsung kepada pelanggan sasaran atau pelanggan yang disusupi, menyediakan informasi penting yang pelanggan butuhkan untuk mengamankan lingkungan mereka. Untuk mempelajari tentang pendekatan Microsoft terkait pelacakan pelaku ancaman, baca Microsoft beralih ke taksonomi penamaan pelaku ancaman baru