Microsoftは、米国とアジアの重要インフラストラクチャをターゲットにした中国のハッカーを見つけることができました

ジャカルタ-マイクロソフトは、中国が後援し、通常はスパイ活動と情報収集に焦点を当てている俳優であるVolt ofhoonによって標的にされた悪意のある活動を発見することに成功しました。

マイクロソフトによると、Voltンは、将来の危機の間に米国(US)とアジア地域の間の重要なコミュニケーションインフラストラクチャを混乱させる可能性のある機能の開発を目標としています。

Voltonは2021年半ばから活動しており、Microsoftのブログから引用したように、グアムや米国の他の場所にある重要なインフラストラクチャ組織をターゲットにしています。

このキャンペーンでは、影響を受ける組織は、通信、製造、公益事業、輸送、建設、海事、政府、情報技術、教育セクターです。

Microsoftが観察した行動は、脅威アクターがスパイ活動を行い、可能な限り長く検出されずにアクセスを維持することを意図していたことを示唆しています。

彼らの目標を達成するために、脅威アクターは、このキャンペーンでステルスを強く強調し、ライブドアのテクニックとライブキーボードアクティビティにほぼ独占的に依存しています。

同社は、このキャンペーンは、ルーター、ファイアウォール、VPNハードウェアなどのネットワーク機器を介してトラフィックをルーティングすることによって、通常のネットワーク活動を組み合わせるなど、秘密裏に行われたと述べた。

コマンドの行を通じてコマンドを発行して、ローカル システムやネットワークからの資格情報を含むデータを収集し、アーカイブ ファイルにデータを入力して悪用し、盗まれた有効な資格情報を使用して粘り強さを維持します。

さらに、Voltyhoonは、ルーター、ファイアウォール、VPNハードウェアなどの侵害された小規模および家庭のオフィスネットワーク機器(SOHO)を介してトラフィックをルーティングすることにより、通常のネットワークアクティビティに溶け込もうとしました。

さらに、オープンソースツールの特別なバージョンを使用して、レーダーの下にとどまるために代理人を通じてコマンドとコントロールチャネル(C2)を作成します。

このアクティビティは有効なアカウントとライブオフザランドバイナリ(LOLBins)に依存するため、これらの攻撃を検出して軽減することは課題です。侵害したアカウントは、閉じるか変更する必要があります。

観察された国のアクターの活動と同様に、マイクロソフトは標的または侵害された顧客に直接通知し、環境を保護するために必要な重要な情報を提供しました。

以下は、Microsoft Defender Antivirusによって追跡されるVoltンに関連するアクティビティまたはアクティビティです。

1. 行動:Win32/SuspNtdsUtilUsage.A

2. 行動:ウィン32/スプパワースナースエクセック。

3.行動:Win32/SuspRemoteCmdCommandParent.A

4. 行動: Win32 / UNCFilePath 操作

5. 行動: Win32/VSSAmsiCaller.A

6. 行動:Win32/WinrsCommand.A

7. 行動:Win32/WmiSuspProcExec.J!se

8. 行動:Win32/WmicRemote.A

9. 行動:Win32/WmiprvseRemoteProc.B