Participe da sessão do painel executivo da RSAC em 24 de março "Os agentes de IA estão aqui! Você está preparado?".
Volt Typhoon mira nas infraestruturas críticas dos EUA com técnicas "living-off-the-land"
O ataque é realizado por Volt Typhoon, um ator patrocinado pelo estado que está baseado na China e normalmente se concentra em espionagem e coleta de informações. A Microsoft avalia com um nível de confiança moderado que esta campanha de Volt Typhoon está buscando desenvolver capacidades que poderiam interromper a infraestrutura de comunicações importantes entre os Estados Unidos e a região da Ásia durante futuras crises.
Volt Typhoon está ativo desde meados de 2021 e tem como alvo organizações com infraestruturas importantes em Guam e em outros lugares nos Estados Unidos. Nesta campanha, as organizações afetadas abrangem os setores de comunicações, manufatura, utilidades, transporte, construção, marítimo, governo, tecnologia da informação e educação. O comportamento observado sugere que o ator da ameaça pretende realizar espionagem e manter o acesso sem ser detectado pelo maior tempo possível.
Para alcançar seu objetivo, o ator da ameaça coloca enfatiza muito a furtividade desta campanha, confiando quase exclusivamente em técnicas "living-off-the-land" e atividades "hands-on-keyboard" (atividades executadas diretamente no teclado, em tradução livre). Eles emitem comandos via linha de comando para: (1) coletar dados, incluindo credenciais de sistemas locais e de rede, (2) colocar os dados em um arquivo para prepará-los para exfiltração e, em seguida, (3) usar as credenciais válidas roubadas para se manter no ambiente. Além disso, o Volt Typhoon tenta se misturar à atividade normal da rede roteando o tráfego através de equipamentos de rede de pequenos escritórios e home office (SOHO) comprometidos, incluindo roteadores, firewalls e hardware VPN. Também foi observado o uso de versões personalizadas de ferramentas de código aberto para estabelecer um canal de comando e controle (C2) no proxy para que não seja detectado.
Nesta postagem no blog, compartilhamos informações sobre o Volt Typhoon, sua campanha visando provedores de infraestruturas críticas e suas táticas para alcançar e manter acesso não autorizado às redes-alvo. Como essa atividade depende de contas válidas e binários living-off-the-land (LOLBins), detectar e mitigar esse ataque pode ser desafiador. Contas comprometidas devem ser encerradas ou alteradas. Ao final desta postagem no blog, compartilhamos mais etapas de mitigação e melhores práticas, também fornecemos detalhes sobre como o Microsoft 365 Defender detecta atividades maliciosas e suspeitas para proteger as organizações de tais ataques furtivos. A Agência de Segurança Nacional (NSA) também publicou um Aviso de segurança cibernética [PDF] que contém um guia de busca para as táticas, técnicas e procedimentos (TTPs) discutidos neste blog. Confira a postagem completa no blog para mais informações.
Como em qualquer atividade observada de um ator de estado-nação, a Microsoft notificou diretamente clientes-alvo ou clientes comprometidos, fornecendo informações importantes para proteger seus ambientes. Para saber sobre a abordagem da Microsoft para rastreamento de atores de ameaças, leia A Microsoft muda para uma nova taxonomia de nomeação de atores de ameaças
Siga a Segurança da Microsoft