Un grupo sigiloso con sede en China logró establecer un punto de apoyo persistente en organizaciones de infraestructura crítica en los EE. UU. y Guam sin ser detectado. microsoft y las naciones de los «Cinco Ojos» dijo el miércoles.
El equipo de inteligencia de amenazas del gigante tecnológico está rastreando la actividad, que incluye el acceso de credenciales posterior al compromiso y el descubrimiento del sistema de red, bajo el nombre tifón de voltios.
El actor patrocinado por el estado es engranado hacia el espionaje y la recopilación de información, con el clúster activo desde junio de 2021 y oscureciendo su huella de intrusión aprovechando las herramientas ya instaladas o integradas en las máquinas infectadas.
Algunos de los sectores destacados a los que se dirige incluyen comunicaciones, manufactura, servicios públicos, transporte, construcción, marítimo, gobierno, tecnología de la información y educación.
La compañía evaluó además con confianza moderada que la campaña «busca el desarrollo de capacidades que podrían interrumpir la infraestructura de comunicaciones crítica entre los Estados Unidos y la región de Asia durante futuras crisis».
A definiendo característica Uno de los ataques es el «fuerte énfasis» en permanecer bajo el radar confiando exclusivamente en técnicas de vivir fuera de la tierra (LotL) para extraer datos de las aplicaciones de navegador web locales y aprovechar las credenciales robadas para el acceso de puerta trasera.
El objetivo principal es eludir la detección mediante la armonización con las actividades regulares del sistema y la red de Windows, lo que indica que el autor de la amenaza mantiene deliberadamente un perfil bajo para obtener acceso a información confidencial.
“Además, Volt Typhoon intenta mezclarse con la actividad normal de la red al enrutar el tráfico a través de equipos de red comprometidos para oficinas pequeñas y oficinas en el hogar (SOHO), incluidos enrutadores, firewalls y hardware VPN”, dijo Microsoft.
Otro oficio inusual es el uso de versiones personalizadas de herramientas de código abierto para establecer un canal de comando y control (C2) sobre proxy, así como servidores comprometidos de otras organizaciones en su red proxy C2 para ocultar la fuente de los ataques.
en un incidente reportado Según el New York Times, el colectivo adversario violó las redes de telecomunicaciones en la isla de Guam, un puesto militar estadounidense sensible en el Océano Pacífico, e instaló un caparazón web malicioso.
El vector de entrada inicial implica la explotación de dispositivos Fortinet FortiGuard orientados a Internet por medio de una falla desconocida de día cero, aunque también se ha observado que Volt Typhoon usa fallas como arma en los servidores de Zoho ManageEngine. Luego se abusa del acceso para robar credenciales y acceder a otros dispositivos en la red.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Los fabricantes de Windows también notaron que notificó directamente a los clientes objetivo o comprometidos y les proporcionó la información necesaria para proteger sus entornos.
Sin embargo, advirtió que podría ser «particularmente desafiante» mitigar tales riesgos cuando los actores de amenazas utilizan cuentas válidas y binarios de vida libre (LOLBins) para llevar a cabo sus ataques.
Secureworks, que está monitoreando el grupo de amenazas bajo el nombre silueta de broncedijo que ha «demostrado una cuidadosa consideración por la seguridad operativa […] y la dependencia de la infraestructura comprometida para evitar la detección y la atribución de su actividad de intrusión».
El desarrollo también se produce cuando Reuters revelado que los piratas informáticos chinos atacaron al gobierno de Kenia en una serie de ataques de gran alcance de tres años contra ministerios e instituciones estatales clave en un supuesto intento de obtener información sobre la «deuda contraída con Beijing por la nación de África Oriental».
Se sospecha que la ofensiva digital fue llevada a cabo por BackdoorDiplomacy (también conocido como APT15, Playful Taurus o Vixen Panda), que se sabe que apunta a entidades gubernamentales y diplomáticas en América del Norte, América del Sur, África y Medio Oriente al menos desde 2010. .