Ist Ihr Unternehmen vor den Angriffen von Volt Typhoon sicher?

Der Ursprung der Volt Typhoon

Volt Typhoon ist eine staatlich gesponserte APT-Gruppe (Advanced Persistent Threat), die mit der Volksrepublik China (VRC) in Verbindung steht. Diese APT ist seit mindestens Mitte 2021 aktiv und dafür bekannt, dass sie es auf kritische Infrastrukturen in den USA abgesehen hat. Ihre Operationen zeichnen sich durch heimliche Taktiken aus, die auf Spionage und die Aufrechterhaltung des Zugangs für eine langfristige Datenexfiltration abzielen. Volt Typhoon ist Teil von Chinas breiter angelegter Cyberspionage-Agenda, die sich darauf konzentriert, strategische Ziele zu kompromittieren und der Entdeckung zu entgehen, indem sie sich stark auf eingebaute Windows-Tools und "living-off-the-land"-Techniken stützt.

Ziele

Volt TyphoonZiele

Zielländer von Volt Typhoon

Obwohl sich die Gruppe in erster Linie auf die Vereinigten Staaten konzentriert hat, sind die Aktivitäten von Volt Typhoonangesichts der globalen nachrichtendienstlichen Ziele Chinas wahrscheinlich nicht geografisch begrenzt. Die Operationen der Gruppe zielen darauf ab, geopolitische Gegner zu überwachen und potenziell auszunutzen.

Zielindustrien von Volt Typhoon

Volt Typhoon konzentriert sich auf Branchen von strategischer Bedeutung, darunter Telekommunikation, Fertigung, Versorgungsunternehmen und kritische Infrastrukturbereiche wie Energie und Transport. Diese Ziele lassen auf die Motivation schließen, nachrichtendienstliche Informationen zu sammeln und potenziell den Betrieb zu stören.

Zielindustrien von Volt Typhoon

Volt Typhoon konzentriert sich auf Branchen von strategischer Bedeutung, darunter Telekommunikation, Fertigung, Versorgungsunternehmen und kritische Infrastrukturbereiche wie Energie und Transport. Diese Ziele lassen auf die Motivation schließen, nachrichtendienstliche Informationen zu sammeln und potenziell den Betrieb zu stören.

Volt Typhoondie Opfer

Obwohl bestimmte Organisationen oft nicht bekannt gegeben werden, wurde Volt Typhoon dabei beobachtet, wie sie kritische Infrastrukturen kompromittierten und kompromittierte Systeme für die Datensammlung nutzten. Ihre Taktik deutet darauf hin, dass sie sich auf Organisationen konzentrieren, die wertvolle Informationen für nationale strategische Vorteile liefern können.

Angriffsmethode

Volt TyphoonAttach-Methode

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

Volt Typhoon nutzt Schwachstellen in Geräten mit Internetzugang aus, insbesondere in SOHO-Netzwerken (Small Office/Home Office), um sich einen ersten Zugang zu verschaffen. Zu den Techniken gehören das Ausspähen von Passwörtern und das Ausnutzen schlecht gesicherter Fernverwaltungsprotokolle.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

Sobald der Zugang hergestellt ist, erhöht die Gruppe ihre Privilegien, um eine höhere Kontrolle über das kompromittierte Netzwerk zu erlangen. Dazu werden häufig legitime Anmeldedaten missbraucht.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Volt Typhoon verwendet ausschließlich integrierte Windows-Tools wie PowerShell und Windows Management Instrumentation (WMI), um nicht entdeckt zu werden. Sie vermeiden die Bereitstellung von malware , um sich zu tarnen.

‍

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

Mit Tools wie Mimikatz sammeln sie Anmeldedaten und suchen in kompromittierten Netzwerken nach sensiblen Informationen.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

Die Gruppe verwendet Befehle, um Systemkonfigurationen, Benutzerkonten und die Netzwerktopologie zu identifizieren, was eine seitliche Bewegung und weitere Angriffe ermöglicht.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Volt Typhoon nutzt Remote-Dienste und RDP, um durch kompromittierte Systeme zu navigieren und gleichzeitig die Betriebssicherheit zu gewährleisten.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

Interessante Daten, wie z. B. E-Mail-Kommunikation, sensible Dateien und infrastrukturbezogene Informationen, werden ermittelt und gesammelt.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

In der Ausführungsphase werden Skripte und Befehle ausgeführt, um die Persistenz aufrechtzuerhalten und operative Ziele zu erreichen.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Sie schleusen die gesammelten Daten mit Hilfe von Standard-Netzwerkprotokollen ein, um sich mit dem normalen Datenverkehr zu vermischen und einer Entdeckung zu entgehen.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

Volt Typhoon konzentriert sich in erster Linie auf die langfristige Sammlung nachrichtendienstlicher Informationen und nicht auf unmittelbare Störaktionen. Seine Fähigkeiten könnten jedoch künftige Sabotageaktionen ermöglichen.

Erster Zugang

Volt Typhoon nutzt Schwachstellen in Geräten mit Internetzugang aus, insbesondere in SOHO-Netzwerken (Small Office/Home Office), um sich einen ersten Zugang zu verschaffen. Zu den Techniken gehören das Ausspähen von Passwörtern und das Ausnutzen schlecht gesicherter Fernverwaltungsprotokolle.

Rechte-Eskalation

Sobald der Zugang hergestellt ist, erhöht die Gruppe ihre Privilegien, um eine höhere Kontrolle über das kompromittierte Netzwerk zu erlangen. Dazu werden häufig legitime Anmeldedaten missbraucht.

Verteidigung Umgehung

Volt Typhoon verwendet ausschließlich integrierte Windows-Tools wie PowerShell und Windows Management Instrumentation (WMI), um nicht entdeckt zu werden. Sie vermeiden die Bereitstellung von malware , um sich zu tarnen.

‍

Zugang zu Anmeldeinformationen

Mit Tools wie Mimikatz sammeln sie Anmeldedaten und suchen in kompromittierten Netzwerken nach sensiblen Informationen.

Entdeckung

Die Gruppe verwendet Befehle, um Systemkonfigurationen, Benutzerkonten und die Netzwerktopologie zu identifizieren, was eine seitliche Bewegung und weitere Angriffe ermöglicht.

Seitliche Bewegung

Volt Typhoon nutzt Remote-Dienste und RDP, um durch kompromittierte Systeme zu navigieren und gleichzeitig die Betriebssicherheit zu gewährleisten.

Sammlung

Interessante Daten, wie z. B. E-Mail-Kommunikation, sensible Dateien und infrastrukturbezogene Informationen, werden ermittelt und gesammelt.

Ausführung

In der Ausführungsphase werden Skripte und Befehle ausgeführt, um die Persistenz aufrechtzuerhalten und operative Ziele zu erreichen.

Exfiltration

Sie schleusen die gesammelten Daten mit Hilfe von Standard-Netzwerkprotokollen ein, um sich mit dem normalen Datenverkehr zu vermischen und einer Entdeckung zu entgehen.

Auswirkungen

Volt Typhoon konzentriert sich in erster Linie auf die langfristige Sammlung nachrichtendienstlicher Informationen und nicht auf unmittelbare Störaktionen. Seine Fähigkeiten könnten jedoch künftige Sabotageaktionen ermöglichen.

MITRE ATT&CK Kartierung

TTPs verwendet von Volt Typhoon

TA0001: Initial Access

T1078

Valid Accounts

TA0002: Execution

T1203

Exploitation for Client Execution

T1059

Command and Scripting Interpreter

T1047

Windows Management Instrumentation

TA0003: Persistence

T1078

Valid Accounts

TA0004: Privilege Escalation

T1078

Valid Accounts

TA0005: Defense Evasion

T1562

Impair Defenses

T1078

Valid Accounts

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

T1087

Account Discovery

T1016

System Network Configuration Discovery

TA0008: Lateral Movement

No items found.

TA0009: Collection

No items found.

TA0011: Command and Control

T1105

Ingress Tool Transfer

T1071

Application Layer Protocol

TA0010: Exfiltration

No items found.

TA0040: Impact

No items found.

Plattform-Detektionen

So erkennen Sie Volt Typhoon mit Vectra AI

Liste der auf der Plattform Vectra AI verfügbaren Erkennungen, die auf einen Cyberangriff hindeuten könnten.

Häufig gestellte Fragen