تهدید دائمی پیشرفته (APT) تحت حمایت دولت چین که اخیراً کشف شده است، "Volt Typhoon" با نام "Vanguard Panda" با استفاده از یک آسیب پذیری حیاتی در ManageEngine ADSelfService Plus Zoho، یک راه حل مدیریت ورود به سیستم و رمز عبور مشاهده شده است. و اکنون مکانیسمهای مخفیکاری که قبلاً فاش نشده بود، بسیار زیاد است.
ولت تایفون ماه گذشته به لطف گزارشهای مشترکی که از سوی این سازمان منتشر شد، مطرح شد مایکروسافت و سازمان های دولتی مختلف. این گزارشها آلودگی زیرساختهای حیاتی این گروه را در منطقه اقیانوس آرام نشان میدهد تا در صورت درگیری با تایوان به عنوان ساحل احتمالی آینده مورد استفاده قرار گیرد.
گزارش ها به تفصیل تعدادی از تاکتیکها، تکنیکها و رویههای Volt Typhoon (TTP)، از جمله استفاده از آن دستگاه های Fortinet FortiGuard در معرض اینترنت برای نفوذ اولیه و مخفی کردن فعالیت شبکه از طریق روترها، فایروال ها و سخت افزار VPN در معرض خطر.
اما کمپین اخیری که توسط CrowdStrike در یک پست های اخیر وبلاگ نشان می دهد که Volt Typhoon انعطاف پذیر است و توانایی شخصی سازی تاکتیک های خود را بر اساس داده های جمع آوری شده از طریق شناسایی گسترده دارد. در این مورد، گروه استفاده کرد CVE-2021-40539 در ManageEngine برای نفوذ، سپس پوسته وب خود را به عنوان یک فرآیند قانونی پوشانده و گزارشها را در حین انجام آن پاک میکند.
تام اتریج، مدیر ارشد خدمات حرفهای جهانی برای CrowdStrike، که جزئیاتی در مورد موقعیت یا مشخصات قربانی فاش نکرد، میگوید: این تاکتیکهای ناشناخته قبلی، «دسترسی فراگیر به محیط قربانی را برای مدت طولانی امکانپذیر کرد». "آنها با زیرساخت هایی که مشتری داشت آشنا بودند و در تمیز کردن مسیرهای خود کوشا بودند."
تاکتیک های سایبری در حال تحول Volt Typhoon
هنگامی که به نظر می رسید فعالیت مشکوکی از شبکه مشتری ناشناس آن سرچشمه می گیرد، حواس پرخاشگرانه محققان CrowdStrike می سوزد.
به نظر میرسید که نهادی که در آن زمان به رسمیت شناخته نشده بود، جمعآوری اطلاعات گستردهای را انجام میداد - آزمایش اتصال شبکه، فهرستبندی فرآیندها، جمعآوری اطلاعات کاربر و موارد دیگر. این "نشان دهنده آشنایی با محیط هدف، به دلیل توالی سریع دستورات آنها، و همچنین داشتن نام هاست داخلی و IP های خاص برای پینگ، اشتراک گذاری از راه دور برای نصب، و اعتبارنامه متن ساده برای استفاده برای [Windows Management Instrumentation] بود." محققان در پست وبلاگ خود نوشتند.
پس از مدتی بررسی مشخص شد که مهاجم - Volt Typhoon - شش ماه قبل یک پوسته وب را روی شبکه مستقر کرده بود. چگونه برای مدت طولانی مورد توجه قرار نگرفت؟
داستان با شروع شد CVE-2021-40539، یک آسیب پذیری حیاتی (9.8 امتیاز CVSS) اجرای کد از راه دور (RCE) در ADSelfService Plus. نرم افزار ManageEngine و به طور خاص ADSelfService Plus، به طور انتقادی افشا شده است در چند مورد در سالهای اخیر (CVE-2021-40539 حتی جدیدترین آسیبپذیری مهم 9.8 CVSS RCE آن نیست - این عنوان به CVE-2022-47966).
با دسترسی اولیه، مهاجمان توانستند یک پوسته وب را رها کنند. اینجا جایی بود که مخفی کاری جالبتر آغاز شد، زیرا محققان مشاهده کردند که "شل وب در تلاش بود تا با قرار دادن عنوان آن بر ManageEngine ADSelfService Plus و افزودن پیوندهایی به نرمافزار میز کمک قانونی سازمانی، به عنوان یک فایل قانونی از ManageEngine ADSelfService Plus ظاهر شود."
گروه اقدام به استخراج اعتبار مدیر و حرکت جانبی در شبکه کرد. محققان توضیح دادند که این بار برای پوشاندن مسیرهای خود یک رویکرد دستی و خام تر را در نظر گرفت، و محققان توضیح دادند که "برای پاک کردن چندین فایل گزارش و حذف فایل های اضافی از دیسک، تلاش های زیادی انجام شد."
دستکاری شواهد گسترده بود و تقریباً تمام آثار فعالیت های مخرب را از بین برد. با این حال، مهاجمان فراموش کردند کد منبع جاوا را پاک کنند و فایلهای کلاس را از سرور وب آپاچی تامکت مورد نظر خود کامپایل کردند.
اتریج میگوید: «اگر این لغزشهای جزئی که در وبلاگ گزارش شده نبود، احتمالاً مورد توجه قرار نمیگرفتند.
چگونه در برابر حملات سایبری ولتاژ تایفون دفاع کنیم
تاکنون، ولت تایفون سازمانهایی را در بخشهای ارتباطات، تولید، تاسیسات، حملونقل، ساختوساز، دریایی، دولتی، فناوری اطلاعات و آموزش هدف قرار داده است. با این حال، برای جستجوی زیرساخت های حیاتی در ایالات متحده و گوام قابل توجه است - نقطه استراتژیک دفاع آمریکا از تایوان در برابر چین.
به گفته اتریج، برخی از اصول مشابه در این مطالعه موردی میتوانند به همان اندازه در مورد نقض زیرساخت حیاتی اعمال شوند. او خاطرنشان می کند: «محیط های نوع فناوری عملیاتی (OT) معمولاً ابتدا از طریق زیرساخت فناوری اطلاعات هدف قرار می گیرند، قبل از اینکه عامل تهدید به زیرساخت منتقل شود. مطمئناً تاکتیکهایی که میبینیم آنها به کار میگیرند از دیدگاه زیرساختهای حیاتی نگرانکننده است.»
اتریج می گوید برای مقابله با تهدید ولت تایفون، یک نکته مهم مدیریت هویت است.
«هویت یک چالش بزرگ برای بسیاری از سازمانها است. ما شاهد افزایش بسیار زیادی در تبلیغات برای اعتبارنامههای سرقت شده بودهایم، و اعتبارنامههای سرقت شده بهطور گسترده در حوادثی که هر روز به آنها پاسخ میدهیم، استفاده میشوند.» در این مورد، توانایی استفاده از اعتبارنامههای دزدیده شده کلیدی برای ماندن ولت تایفون برای چندین ماه در زیر رادار بود.
اتریج همچنین بر اهمیت شکار تهدید و واکنش به حادثه تأکید می کند. به گفته او، متوقف کردن کامل بازیگران تهدید دولت-ملت غیرممکن است، اما سازمانها برای کاهش بدترین پیامدهای ممکن آمادگی بهتری خواهند داشت، اگر بتوانند «درک کنند که چه زمانی چیزی در محیط شما در حال وقوع است و قادر به مقابله با آن باشند. اقدام اصلاحی سریع.»
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. خودرو / خودروهای الکتریکی، کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- BlockOffsets. نوسازی مالکیت افست زیست محیطی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cloud/china-volt-typhoon-apt-zoho-manageengine-fresh-cyberattacks
- : دارد
- :است
- :جایی که
- $UP
- 1
- 7
- 8
- 9
- a
- توانایی
- قادر
- درباره ما
- دسترسی
- عمل
- فعالیت
- بازیگران
- اضافه کردن
- پیشرفته
- پس از
- در برابر
- نام
- معرفی
- در امتداد
- همچنین
- امریکایی
- an
- و
- آپاچی
- به نظر می رسد
- اعمال می شود
- روش
- APT
- هستند
- دور و بر
- AS
- تلاش
- مستقر
- BE
- بوده
- قبل از
- آغاز شد
- بودن
- بهتر
- بلاگ
- شکاف
- اما
- by
- آمد
- کمپین بین المللی حقوق بشر
- مورد
- بررسی موردی
- قطعا
- به چالش
- رئیس
- چین
- چینی
- کلاس
- تمیز کاری
- واضح
- مشتری
- رمز
- ارتباطات
- در معرض خطر
- تضاد
- اتصال
- عواقب
- ساخت و ساز
- میتوانست
- پوشش
- مجوزها و اعتبارات
- بحرانی
- زیرساخت های بحرانی
- مشتری
- سفارشی
- سایبر
- داده ها
- روز
- دفاع
- مستقر
- استقرار
- میز
- دقیق
- جزئیات
- DID
- کشف
- قطره
- دو
- هر
- آموزش
- از بین بردن
- تأکید می کند
- فعال
- سرمایه گذاری
- به طور کامل
- موجودیت
- محیط
- محیط
- به همان اندازه
- حتی
- واقعه
- هر
- هر روز
- مدرک
- در حال تحول
- مازاد
- اعدام
- توضیح داده شده
- سوء استفاده
- وسیع
- گسترده
- آشنا
- آشنایی
- بسیار
- پرونده
- فایل ها
- فایروال ها
- نام خانوادگی
- قابل انعطاف
- برای
- Fortinet
- از جانب
- آینده
- جمع آوری
- جمع آوری
- جهانی
- Go
- می رود
- رفتن
- رفته
- دولت
- گروه
- بود
- سخت افزار
- آیا
- داشتن
- he
- کمک
- اینجا کلیک نمایید
- برجسته
- چگونه
- اما
- HTTPS
- بزرگ
- صید
- هویت
- مدیریت هویت
- if
- اهمیت
- غیر ممکن
- in
- حادثه
- پاسخ حادثه
- از جمله
- نشان داد
- اطلاعات
- فن آوری اطلاعات
- شالوده
- اول
- جالب
- داخلی
- نیست
- IT
- ITS
- جاوه
- مشترک
- JPG
- کلید
- نام
- قانونی
- قدرت نفوذ
- لینک ها
- فهرست
- محل
- ورود به سیستم
- طولانی
- خیلی
- عمده
- مدیریت
- راه حل مدیریت
- کتابچه راهنمای
- تولید
- بسیاری
- masquerade
- مکانیسم
- دیدار
- مایکروسافت
- کاهش
- ماه
- ماه
- بیش
- اکثر
- استقرار (mount)
- حرکت
- حرکت می کند
- بسیار
- چندگانه
- تقریبا
- شبکه
- نیست
- قابل توجه
- اکنون
- عدد
- موارد
- of
- افسر
- on
- ONE
- قابل استفاده
- or
- سازمان های
- خارج
- مشخص شده
- ارام
- ویژه
- کلمه عبور
- مدیریت رمز عبور
- انجام
- دوره
- چشم انداز
- پینگ
- افلاطون
- هوش داده افلاطون
- PlatoData
- بسیاری
- به علاوه
- نقطه
- نقطه
- ممکن
- پست
- آماده شده
- قبلا
- از اصول
- قبلا
- شاید
- روش
- روند
- فرآیندهای
- حرفه ای
- مشخصات
- به سرعت
- رادار
- سریع
- RE
- اخیر
- تازه
- منطقه
- باقی مانده
- دور
- برداشتن
- گزارش
- گزارش ها
- محققان
- پاسخ
- پاسخ
- فاش کردن
- s
- همان
- می گوید:
- نمره
- بخش ها
- دیدن
- به دنبال
- به نظر می رسید
- مشاهده گردید
- خدمات
- محیط
- سهام
- صدف
- تنها
- شش
- شش ماه
- So
- نرم افزار
- راه حل
- برخی از
- چیزی
- منبع
- کد منبع
- خاص
- ایالات
- نهان
- به سرقت رفته
- توقف
- داستان
- استراتژیک
- مهاجرت تحصیلی
- حاکی از
- مشکوک
- تاکتیک
- تایوان
- گرفتن
- هدف
- هدف قرار
- هدف گذاری
- تکنیک
- پیشرفته
- تست
- با تشکر
- که
- La
- شان
- آنها
- سپس
- آنها
- این
- تهدید
- بازیگران تهدید
- از طریق
- زمان
- عنوان
- به
- تام
- در زمان
- حمل و نقل
- تبدیل
- به طور معمول
- زیر
- فهمیدن
- متحد
- ایالات متحده
- ناشناخته
- استفاده کنید
- استفاده
- کاربر
- با استفاده از
- سودمندی
- استفاده
- Ve
- از طريق
- قربانی
- ولت
- VPN
- آسیب پذیری
- بود
- نبود
- we
- وب
- وب سرور
- خوب
- رفت
- بود
- چه زمانی
- که
- تمام
- اراده
- پنجره
- با
- بدترین
- خواهد بود
- سال
- شما
- زفیرنت