Salt Typhoon

Salt Typhoonauch bekannt unter den Pseudonymen Earth Estries, FamousSparrow, GhostEmperor und UNC2286, ist eine APT-Gruppe (Advanced Persistent Threat), die sich auf Cyberspionage-Aktivitäten spezialisiert hat.

Aufspüren der TTPs von Salt Typhoon

Ist Ihr Unternehmen vor den Angriffen von Salt Typhoon sicher?

Hintergrund

Ziele

TTPs

Erkennung

Häufig gestellte Fragen

Der Ursprung der Salt Typhoon

Seit mindestens 2020 hat diese Gruppe weltweit hochentwickelte Cyberspionage-Kampagnen durchgeführt. Bekannt für ihr fortschrittliches malware Arsenal und die Ausnutzung von Zero-Day-Schwachstellen, hat Salt Typhoon seine Reichweite im Jahr 2023 auf neue Branchen, größere Regionen und aggressivere Taktiken ausgeweitet. Das Arsenal und die Operationen dieser APT-Gruppe zeugen von ihrem Engagement für Heimlichkeit, Ausdauer und weitreichende Kompromittierung.

Ziele

Salt TyphoonZiele

Zielländer von Salt Typhoon

Seit 2023 hat Salt Typhoon über 20 Organisationen auf der ganzen Welt betroffen. Zu den betroffenen Ländern gehören:

Asien-Pazifik: Afghanistan, Indien, Indonesien, Malaysia, Pakistan, die Philippinen, Taiwan, Thailand und Vietnam.
Afrika: Eswatini, Südafrika.
Amerika: Brasilien, Vereinigte Staaten.

^Bildquelle:^{Trend Micro}

Zielindustrien von Salt Typhoon

Salt Typhoon zielt nun auf ein breiteres Spektrum von Branchen ab, darunter Technologie, Beratung, Chemie, Transport, Regierungsbehörden und gemeinnützige Organisationen, was einen äußerst opportunistischen und strategischen Ansatz widerspiegelt.

Zielindustrien von Salt Typhoon

Die Opfer, die von Salt Typhoon

Zu den Opfern gehören in der Regel Regierungsbehörden und Technologieunternehmen, die in den Bereichen Innovation, Verteidigung und kritische nationale Infrastruktur tätig sind. Die angegriffenen Organisationen sind oft mit fortschrittlichen lateralen Bewegungstaktiken konfrontiert, sobald sie kompromittiert sind.

Angriffsmethode

Salt TyphoonDie Angriffsmethode

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

Kompromittiert administrative Konten durch Diebstahl von Anmeldeinformationen oder malware -Infektion, wobei häufig SMB oder Windows Management Instrumentation (WMI) ausgenutzt wird.

Ausnutzung von Schwachstellen in weit verbreiteten Systemen, darunter:

Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
Fortinet FortiClient EMS (CVE-2023-48788)
Sophos Firewall (CVE-2022-3236)
Microsoft Exchange (ProxyLogon-Schwachstellen: CVE-2021-26855, usw.)

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

Setzt Tools wie DLL-Sideloading und Registrierungsmanipulationen ein, um Zugriff auf Systemebene zu erhalten.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Setzt Verschleierungstechniken ein, darunter die GhostSpider-Backdoor und die Taktik, sich mit Tools wie WMIC.exe und PsExec von der Außenwelt abzugrenzen, sowie PowerShell-Downgrade-Angriffe und Maskierungstechniken, um die Erkennung zu umgehen.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

Setzt Stealer wie SnappyBee (Deed RAT) oder benutzerdefinierte Stealer wie TrillClient ein, um Anmeldedaten und Browserdaten zu sammeln.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

Führt die Erkennung von Domänenvertrauen und die Netzwerkerkundung durch, um die Umgebung des Opfers abzubilden.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Verbreitet malware mithilfe von SMB- und WMI-Befehlen und stellt Backdoors auf mehreren Rechnern bereit.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

Konzentriert sich auf sensible Dateien (z. B. PDFs) und verwendet fortschrittliche Techniken wie SnappyBee, um Anmeldedaten und Sitzungs-Token zu stehlen.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

Verteilt bösartige Nutzdaten über Cobalt Strike, benutzerdefinierte Backdoors (z. B. Zingdoor oder GhostSpider) und HemiGate.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Überträgt gesammelte Daten an externe Server oder Dienste wie AnonFiles, File.io und öffentliche Repositories.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

Sorgt für Persistenz und beseitigt Anzeichen einer Infektion, indem es nach jedem Arbeitsgang die vorhandene malware säubert.

Erster Zugang

Kompromittiert administrative Konten durch Diebstahl von Anmeldeinformationen oder malware -Infektion, wobei häufig SMB oder Windows Management Instrumentation (WMI) ausgenutzt wird.

Ausnutzung von Schwachstellen in weit verbreiteten Systemen, darunter:

Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
Fortinet FortiClient EMS (CVE-2023-48788)
Sophos Firewall (CVE-2022-3236)
Microsoft Exchange (ProxyLogon-Schwachstellen: CVE-2021-26855, usw.)

Rechte-Eskalation

Setzt Tools wie DLL-Sideloading und Registrierungsmanipulationen ein, um Zugriff auf Systemebene zu erhalten.

Verteidigung Umgehung

Zugang zu Anmeldeinformationen

Setzt Stealer wie SnappyBee (Deed RAT) oder benutzerdefinierte Stealer wie TrillClient ein, um Anmeldedaten und Browserdaten zu sammeln.

Entdeckung

Führt die Erkennung von Domänenvertrauen und die Netzwerkerkundung durch, um die Umgebung des Opfers abzubilden.

Seitliche Bewegung

Verbreitet malware mithilfe von SMB- und WMI-Befehlen und stellt Backdoors auf mehreren Rechnern bereit.

Sammlung

Konzentriert sich auf sensible Dateien (z. B. PDFs) und verwendet fortschrittliche Techniken wie SnappyBee, um Anmeldedaten und Sitzungs-Token zu stehlen.

Ausführung

Verteilt bösartige Nutzdaten über Cobalt Strike, benutzerdefinierte Backdoors (z. B. Zingdoor oder GhostSpider) und HemiGate.

Exfiltration

Überträgt gesammelte Daten an externe Server oder Dienste wie AnonFiles, File.io und öffentliche Repositories.

Auswirkungen

Sorgt für Persistenz und beseitigt Anzeichen einer Infektion, indem es nach jedem Arbeitsgang die vorhandene malware säubert.

MITRE ATT&CK Kartierung

TTPs verwendet von Salt Typhoon

TA0001: Initial Access

T1078

Valid Accounts

TA0002: Execution

T1059

Command and Scripting Interpreter

T1047

Windows Management Instrumentation

TA0003: Persistence

T1543

Create or Modify System Process

T1547

Boot or Logon Autostart Execution

T1574

Hijack Execution Flow

T1078

Valid Accounts

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1134

Access Token Manipulation

T1543

Create or Modify System Process

T1547

Boot or Logon Autostart Execution

T1574

Hijack Execution Flow

T1078

Valid Accounts

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1134

Access Token Manipulation

T1036

Masquerading

T1027

Obfuscated Files or Information

T1070

Indicator Removal

T1574

Hijack Execution Flow

T1562

Impair Defenses

T1078

Valid Accounts

TA0006: Credential Access

T1056

Input Capture

TA0007: Discovery

T1482

Domain Trust Discovery

T1087

Account Discovery

TA0008: Lateral Movement

T1021

Remote Services

TA0009: Collection

T1113

Screen Capture

TA0011: Command and Control

T1071

Application Layer Protocol

TA0010: Exfiltration

T1567

Exfiltration Over Web Service

TA0040: Impact

No items found.

Plattform-Detektionen

Wie erkennt man Salt Typhoon mit Vectra AI

Liste der auf der Plattform Vectra AI verfügbaren Erkennungen, die auf einen Cyberangriff hindeuten könnten.

Hidden DNS Tunnel

Hidden HTTPS Tunnel

M365 DLL Hijacking Activity

Suspicious LDAP Query

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

Weitere Entdeckungen anzeigen

Bewerten Sie Ihr Angriffsrisiko

Häufig gestellte Fragen

Welche Branchen sind am stärksten von Salt Typhoon betroffen?

Salt Typhoon zielt auf die Bereiche Technologie, Beratung, Chemie, Transport, Behörden und gemeinnützige Organisationen ab.

Was sind die neuesten Tools, die von Salt Typhoon verwendet werden?

Neu hinzugekommen sind GhostSpider Backdoor, SnappyBee Stealer und das Demodex Rootkit.

Wie kann Salt Typhoon die Tarnung aufrechterhalten?

Sie nutzen Techniken, die sich von der Erde ernähren, und fortschrittliche Rootkits wie Demodex.

Welche Schwachstellen nutzen sie aus?

Zu den jüngsten Exploits gehören Sicherheitslücken in Ivanti Connect Secure, Sophos Firewall und Microsoft Exchange.

Wie exfiltriert Salt Typhoon Daten?

Gestohlene Daten werden auf AnonFiles oder File.io hochgeladen oder über verschlüsselte E-Mails verschickt.

Sind sie mit anderen Gruppen verbunden?

Es gibt Überschneidungen mit chinesischen APTs wie FamousSparrow und anderen regierungsnahen Organisationen.

Wie können Organisationen ihre Aktivitäten erkennen?

Überwachung auf ungewöhnliche PowerShell-Befehle, DLL-Sideloading und Cobalt Strike Beacons.

Wie groß ist die Gefahr für die Lieferkette?

Salt Typhoon nutzt die Maschinen von Auftragnehmern, um über vertrauenswürdige Beziehungen in der Lieferkette mehrere Unternehmen zu infiltrieren.

Welche Maßnahmen entschärfen die Angriffe?

Setzen Sie endpoint Erkennungstools ein, setzen Sie Patch-Management durch und überwachen Sie den Datenverkehr auf bekannte C&C-Muster.

Wie lautet die internationale Antwort?

Der gemeinsame Austausch von Informationen und einheitliche Strategien sind unerlässlich, um die wachsende Bedrohung einzudämmen.

Salt Typhoon

Der Ursprung der Salt Typhoon

Salt TyphoonZiele

Zielländer von Salt Typhoon

Zielindustrien von Salt Typhoon

Zielindustrien von Salt Typhoon

Die Opfer, die von Salt Typhoon

Salt TyphoonDie Angriffsmethode

TTPs verwendet von Salt Typhoon

Wie erkennt man Salt Typhoon mit Vectra AI

Hidden DNS Tunnel

Hidden HTTPS Tunnel

M365 DLL Hijacking Activity

Suspicious LDAP Query

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

Häufig gestellte Fragen

Welche Branchen sind am stärksten von Salt Typhoon betroffen?

Was sind die neuesten Tools, die von Salt Typhoon verwendet werden?

Wie kann Salt Typhoon die Tarnung aufrechterhalten?

Welche Schwachstellen nutzen sie aus?

Wie exfiltriert Salt Typhoon Daten?

Sind sie mit anderen Gruppen verbunden?

Wie können Organisationen ihre Aktivitäten erkennen?

Wie groß ist die Gefahr für die Lieferkette?

Welche Maßnahmen entschärfen die Angriffe?

Wie lautet die internationale Antwort?

Ist Ihr Unternehmen vor den Angriffen von Salt Typhoon sicher?