Volt Typhoon apunta a infraestructura critica de los Estados Unidos

Grupo de actores maliciosos conocidos como Volt Typhoon, denominado por Microsoft como un grupo chino de ciber espionaje, tiene como objetivo infraestructura critica de organizaciones, en los Estados Unidos. Entre las organizaciones se pueden destacar las bases militares establecidas en Guam, ubicada en el archipiélago de las Islas Marianas.

El grupo patrocinado por el estado, denominado Volt Typhoon, ha estado operativo desde mediados de 2021, lapso donde se ha visto ataques a la infraestructura de organizaciones ubicadas en Guam, y otros lugares de los Estados Unidos. Las Campañas de Volt Typhoon se centran en organizaciones relacionadas a comunicaciones, manufactura, transporte, construcción y muchos otros sectores.

Con el fin de no llama la atención, Volt Typhoon ha buscado llevar a cabo su campaña de la forma más silenciosa posible. Esto mediante el uso de técnicas de Living-off-the-land. Abonado a esto, Volt Typhoon intenta mezclar sus actividades a través de equipos de redes de Small office/Home office (SOHO) comprometidos, como routers, firewalls y VPN.

Acceso Inicial

Se ha observado al grupo de actores maliciosos Volt Typhoon, ganando acceso inicial, a través de dispositivos FortiGuard de Fortinet. Si bien, Microsoft continúa investigando a detalle como Vollt Typhoon gana este acceso inicial, se cree, es a través de una vulnerabilidad desconocida, en estos dispositivos.

Volt Typhoon aprovecha cualquier privilegio otorgado por el dispositivo Fortinet, extrae las credenciales a una cuenta de Active Directory utilizado por el dispositivo para luego intentar autenticarse en otros dispositivos de la red.

Volt Typhoon dirige todo su tráfico de red a sus objetivos a través de dispositivos de red SOHO comprometidos, para así asegurarse de que su actividad maliciosa sea vista como tráfico legítimo y así poder evadir su detección. Entre el listado de equipos que pueden ser comprometidos, se encuentran: ASUS, Cisco, D-Link, NETGEAR, y Zyxel, pues estos permiten al propietario exponer interfases de gestión HTTP o SSH a internet.

Haciendo uso de las credenciales robadas, Volt Typhoon hacen uso de técnicas de living-off-the-land para encontrar todo tipo de información en el sistema, descubrir dispositivos adicionales y filtrar información.

Acceso a credenciales

Si el dispositivo Fortinet comprometido, posee accesos privilegiados, los hackers estatales podrán volcar credenciales a través del Servicio de Subsistema de Autoridad de Seguridad Local (LSASS) codificado en Base64. Al mismo tiempo, se ha visto el uso de la herramienta de línea de comandos Ntsdsutil.exe, para la creación de medios de instalación desde los controladores de dominio, bien sea de manera remota o local.

Los archivos contenidos en medios de instalación contienen, nombres de usuario y hashes de contraseñas los cuales pueden ser crackeados fuera de línea, por los atacantes, con la finalidad de obtener credenciales de cuentas de dominio validas, las cuales pueden ser utilizadas para volver a ganar acceso a organizaciones ya comprometidas, si hubiera alguna perdida de accesos.

Descubrimiento y recolección

Se ha observado el uso de herramientas como PowerShell, la línea de comandos del instrumental de administración de Windows (WMIC), y el comando PING. Para descubrir información de los sistemas atacados, como, tipos de archivos de sistema, nombre de drivers (tamaño y espacio disponible), procesos en ejecución y redes abiertas. Según Microsoft, también se ha visto que Volt Typhoon que almacenan los datos recopilados en archivos protegidos por contraseña.

Comando y control

Se ha observado la utilización del comando integrado, netsh portproxy, para la creación de proxies en sistemas comprometidos, con la finalidad de facilitar el acceso, también se ha observado el establecimiento a un canal C2 a través de proxy, mediante la utilización de las herramientas Impacket y Fast Reverse Proxy (FRP).

Recomendaciones

  • Mitigar el riesgo de cuentas comprometidas mediante el refuerzo de políticas de autentificación multi-factor.
  • Reducir la superficie de ataque mediante el bloqueo del servicio de susistema de autoridad de seguridad local (LSASS); Bloquear la ejecución de scripts potencialmente ofuscados.
  • Endurecer el proceso LSASS activando la luz de proceso de protección (PPL) para LSASS.
  • Implementación de detección y respuesta de dispositivos finales, o EDR por sus siglas en inglés.
  • De encontrarse bajo ataque:
    • Cerrar y/o cambiar las credenciales para todas las cuentas que hayan sido comprometidas.
    • Examinar la actividad de las cuentas comprometidas, relacionado a cualquier acción maliciosa o información expuesta.

Indicadores de Compromiso

indicador descripción
SHA-256 baeffeb5fdef2f42a752c65c2d2a52e84fb57efc906d981f89dd518c314e231c
SHA-256 b4f7c5e3f14fb57be8b5f020377b993618b6e3532a4e1eb1eae9976d4130cc74
SHA-256 4b0c4170601d6e922cf23b1caf096bba2fade3dfcf92f0ab895a5f0b9a310349
SHA-256 c0fc29a52ec3202f71f6378d9f7f9a8a3a10eb19acb8765152d758aded98c76d
SHA-256 d6ab36cb58c6c8c3527e788fc9239d8dcc97468b6999cf9ccd8a815c8b4a80af
SHA-256 9dd101caee49c692e5df193b236f8d52a07a2030eed9bd858ed3aaccb406401a
SHA-256 450437d49a7e5530c6fb04df2e56c3ab1553ada3712fab02bd1eeb1f1adbc267
SHA-256 93ce3b6d2a18829c0212542751b309dacbdc8c1d950611efe2319aa715f3a066
SHA-256 7939f67375e6b14dfa45ec70356e91823d12f28bbd84278992b99e0d2c12ace5
SHA-256 389a497f27e1dd7484325e8e02bbdf656d53d5cf2601514e9b8d8974befddf61
SHA-256 c4b185dbca490a7f93bc96eefb9a597684fdf532d5a04aa4d9b4d4b1552c283b
SHA-256 e453e6efc5a002709057d8648dbe9998a49b9a12291dee390bb61c98a58b6e95
SHA-256 6036390a2c81301a23c9452288e39cb34e577483d121711b6ba6230b29a3c9ff
SHA-256 cd69e8a25a07318b153e01bba74a1ae60f8fc28eb3d56078f448461400baa984
SHA-256 17506c2246551d401c43726bdaec800f8d41595d01311cf38a19140ad32da2f4
SHA-256 8fa3e8fdbaa6ab5a9c44720de4514f19182adc0c9c6001c19cf159b79c0ae9c2
SHA-256 d17317e1d5716b09cee904b8463a203dc6900d78ee2053276cc948e4f41c8295
SHA-256 472ccfb865c81704562ea95870f60c08ef00bcd2ca1d7f09352398c05be5d05d
SHA-256 3e9fc13fab3f8d8120bd01604ee50ff65a40121955a4150a6d2c007d34807642
Related Posts
Clear Filters
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.