האיום המתקדם המתמשך (APT) "Volt Typhoon", הידוע גם "Vanguard Panda", שנתגלה לאחרונה בגיבוי המדינה של סין, זוהה תוך שימוש בפגיעות קריטית ב-ManageEngine ADSelfService Plus של Zoho, פתרון כניסה יחידה וניהול סיסמאות. וכעת הוא כולל שפע של מנגנוני התגנבות שטרם נחשפו.
וולט טייפון עלה על הפרק בחודש שעבר, הודות לדיווחים משותפים של מיקרוסופט ו סוכנויות ממשלתיות שונות. הדיווחים הדגישו את הדבקה של הקבוצה בתשתיות קריטיות באזור האוקיינוס השקט, שישמשו כראש חוף עתידי אפשרי במקרה של עימות עם טייוואן.
הדוחות פירטו מספר הטקטיקות, הטכניקות והנהלים של וולט טייפון (TTP), לרבות השימוש בו מכשירי Fortinet FortiGuard החשופים לאינטרנט לפריצה ראשונית, והסתרת פעילות הרשת באמצעות נתבים, חומות אש וחומרת VPN שנפגעו.
אבל מסע פרסום שהתווה לאחרונה על ידי CrowdStrike ב פוסט בבלוג האחרון מציע כי וולט טייפון גמיש, עם יכולת להתאים אישית את הטקטיקה שלו על סמך נתונים שנאספו באמצעות סיור נרחב. במקרה זה, הקבוצה השתמשה CVE-2021-40539 ב-ManageEngine לחדירה, ואז הסתיר את מעטפת האינטרנט שלה כתהליך לגיטימי ומחק יומנים תוך כדי.
טקטיקות אלו שלא היו ידועות בעבר אפשרו "גישה נרחבת לסביבת הקורבן לתקופה ממושכת", אומר טום את'רידג', קצין השירותים המקצועיים העולמיים הראשיים של CrowdStrike, שלא חשף פרטים על מיקומו או הפרופיל של הקורבן. "הם הכירו את התשתית שהייתה ללקוח, והקפידו לנקות את עקבותיהם".
טקטיקות הסייבר המתפתחות של וולט טייפון
חושיהם העוקבים של חוקרי CrowdStrike עקצו כאשר נראה היה שפעילות חשודה נובעת מהרשת של הלקוח הלא מזוהה שלה.
נראה שהישות הלא מוכרת אז מבצעת איסוף מידע נרחב - בדיקת קישוריות רשת, תהליכי רישום, איסוף מידע על משתמשים ועוד הרבה יותר. זה "הצביע על היכרות עם סביבת היעד, עקב הרצף המהיר של הפקודות שלהם, כמו גם שיש להם שמות מארחים פנימיים וכתובות IP ספציפיות ל-ping, שיתופים מרוחקים לטעינה ותעודות טקסט רגיל לשימוש עבור [מכשירי ניהול Windows]", כתבו חוקרים בפוסט בבלוג שלהם.
התברר, לאחר חקירה מסוימת, שהתוקף - וולט טייפון - פרס קליפת אינטרנט לרשת שישה חודשים שלמים לפני כן. איך זה נעלם מעיניו כל כך הרבה זמן?
הסיפור התחיל ב CVE-2021-40539, פגיעות קריטית (9.8 ציון CVSS) של ביצוע קוד מרחוק (RCE) ב-ADSelfService Plus. תוכנת ManageEngine, ו-ADSelfService Plus בפרט, נחשף בצורה ביקורתית במספר הזדמנויות בשנים האחרונות (CVE-2021-40539 הוא אפילו לא הפגיעות הקריטית ביותר שלו 9.8 CVSS RCE - הכותרת הזו מגיעה אל CVE-2022-47966).
עם גישה ראשונית, התוקפים הצליחו להפיל מעטפת אינטרנט. כאן התחילה ההתגנבות המעניינת יותר, שכן החוקרים הבחינו "ה-webshell ניסתה להתחזות לקובץ לגיטימי של ManageEngine ADSelfService Plus על ידי הגדרת הכותרת שלו ל-ManageEngine ADSelfService Plus והוספת קישורים לתוכנת עזרה ארגונית לגיטימית."
הקבוצה המשיכה לשאוב אישורי מנהל ולנוע לרוחב ברשת. זה לקח גישה גסה יותר ידנית כדי לכסות את המסלולים שלו הפעם, תוך כדי "לאורך זמן רב כדי לנקות קובצי יומן מרובים ולהסיר קבצים עודפים מהדיסק", הסבירו החוקרים.
שיבוש הראיות היה נרחב, וכמעט חיסל את כל העקבות לפעילות זדונית. עם זאת, התוקפים שכחו למחוק את קוד המקור של Java והידור קבצי Class משרת האינטרנט הממוקד שלהם Apache Tomcat.
"אלמלא ההחמקה הקלה הזו שדווחה בבלוג, הם כנראה היו נעלמים מעיניהם", אומר את'רידג'.
כיצד להתגונן מפני מתקפות סייבר מסוג וולט טייפון
עד כה, וולט טייפון נצפתה מכוונת לארגונים במגזרי התקשורת, הייצור, השירות, התחבורה, הבנייה, הימי, הממשל, טכנולוגיית המידע והחינוך. עם זאת, זה בולט ביותר בחיפוש אחר תשתית קריטית בארצות הברית ובגואם - נקודה אסטרטגית של הגנה אמריקאית על טייוואן נגד סין.
לטענת את'רידג', חלק מאותם עקרונות במחקר המקרה הזה יכולים להיות מיושמים באותה מידה על פרצת תשתית קריטית. "סביבות מסוג טכנולוגיה תפעולית (OT) ממוקדות בדרך כלל דרך תשתית IT תחילה, לפני ששחקן האיום עובר לתשתית", הוא מציין. "אין ספק שהטקטיקות שאנו רואים אותם מפעילים תהיה מודאגת מנקודת מבט קריטית של תשתית."
כדי להתמודד עם האיום של וולט טייפון, אומר את'רידג', נקודה מרכזית אחת היא ניהול זהויות.
"זהות היא אתגר עצום עבור הרבה ארגונים. ראינו עלייה עצומה בפרסומות של אישורים גנובים, ואישורים גנובים ממונפים בצורה די נרחבת בתקריות שאנו מגיבים אליהן כל יום ויום", הוא אומר. במקרה הזה, היכולת למנף אישורים גנובים הייתה המפתח להישארותו של וולט טייפון מתחת לרדאר במשך כל כך הרבה חודשים.
את'רידג' מדגישה גם את החשיבות של ציד איומים ותגובה לאירועים. ידוע לשמצה בלתי אפשרי לעצור את גורמי האיום של מדינות הלאום, אבל ארגונים יהיו מוכנים יותר לצמצם את ההשלכות הגרועות ביותר האפשריות, הוא אומר, אם הם מסוגלים "להבין מתי משהו קורה בסביבה שלך, ולהיות מסוגלים לקחת פעולה מתקנת במהירות".
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
- מקור: https://www.darkreading.com/cloud/china-volt-typhoon-apt-zoho-manageengine-fresh-cyberattacks
- :יש ל
- :הוא
- :איפה
- $ למעלה
- 1
- 7
- 8
- 9
- a
- יכולת
- יכול
- אודות
- גישה
- פעולה
- פעילות
- שחקנים
- מוסיף
- מתקדם
- לאחר
- נגד
- aka
- תעשיות
- לאורך
- גם
- אֲמֶרִיקָאִי
- an
- ו
- אַפָּשׁ
- נראה
- יישומית
- גישה
- APT
- ARE
- סביב
- AS
- מנסה
- מבוסס
- BE
- היה
- לפני
- החל
- להיות
- מוטב
- בלוג
- הפרה
- אבל
- by
- הגיע
- מבצע
- מקרה
- מקרה מבחן
- בהחלט
- לאתגר
- רֹאשׁ
- סין
- סינית
- בכיתה
- ניקוי
- ברור
- לקוחות
- קוד
- תקשורת
- התפשר
- סכסוך
- קישוריות
- השלכות
- בניה
- יכול
- כיסוי
- אישורים
- קריטי
- תשתית קריטית
- לקוח
- אישית
- סייבר
- נתונים
- יְוֹם
- גופי בטחון
- פרס
- פריסה
- שולחן כתיבה
- מְפוֹרָט
- פרטים
- DID
- גילה
- ירידה
- ראוי
- כל אחד
- חינוך
- חיסול
- מדגיש
- מופעל
- מִפְעָל
- לַחֲלוּטִין
- ישות
- סביבה
- סביבות
- באותה מידה
- אֲפִילוּ
- אירוע
- כל
- כל יום
- עדות
- מתפתח
- עודף
- הוצאת להורג
- מוסבר
- מעללים
- נרחב
- בהרחבה
- מוכר
- בְּקִיאוּת
- רחוק
- שלח
- קבצים
- חומות אש
- ראשון
- גמיש
- בעד
- פורטינט
- החל מ-
- עתיד
- אסף
- איסוף
- גלוֹבָּלִי
- Go
- Goes
- הולך
- נעלם
- ממשלה
- קְבוּצָה
- היה
- חומרה
- יש
- יש
- he
- לעזור
- כאן
- מודגש
- איך
- אולם
- HTTPS
- עצום
- ציד
- זהות
- ניהול זהות
- if
- חשיבות
- בלתי אפשרי
- in
- תקרית
- תגובה לאירוע
- כולל
- הצביע
- מידע
- טכנולוגיית מידע
- תשתית
- בתחילה
- מעניין
- פנימי
- J States
- IT
- שֶׁלָה
- Java
- משותף
- jpg
- מפתח
- אחרון
- לגיטימי
- תנופה
- קישורים
- רישום
- מיקום
- היכנס
- ארוך
- מגרש
- גדול
- ניהול
- פתרון ניהול
- מדריך ל
- ייצור
- רב
- מסכות
- מנגנוני
- לִפְגוֹשׁ
- מיקרוסופט
- להקל
- חוֹדֶשׁ
- חודשים
- יותר
- רוב
- הר
- המהלך
- מהלכים
- הרבה
- מספר
- כמעט
- רשת
- ניסט
- יַקִיר
- עַכשָׁיו
- מספר
- הזדמנויות
- of
- קָצִין
- on
- ONE
- מבצעי
- or
- ארגונים
- הַחוּצָה
- המתואר
- פסיפיק
- מסוים
- סיסמה
- ניהול סיסמאות
- ביצוע
- תקופה
- פרספקטיבה
- פינג
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- שפע
- ועוד
- נקודה
- נקודות
- אפשרי
- הודעה
- מוּכָן
- קוֹדֶם
- עקרונות
- קודם
- כנראה
- נהלים
- תהליך
- תהליכים
- מקצועי
- פּרוֹפִיל
- מהירות
- מכ"ם
- מהיר
- RE
- לאחרונה
- לאחרונה
- באזור
- נותר
- מרחוק
- להסיר
- דווח
- דוחות לדוגמא
- חוקרים
- להגיב
- תגובה
- לגלות
- s
- אותו
- אומר
- ציון
- מגזרים
- לִרְאוֹת
- מחפשים
- נראה
- לראות
- שירותים
- הצבה
- שיתופים
- פָּגָז
- יחיד
- שישה
- שישה חודשים
- So
- תוכנה
- פִּתָרוֹן
- כמה
- משהו
- מָקוֹר
- קוד מקור
- ספציפי
- הברית
- התגנבות
- גָנוּב
- עצור
- סיפור
- אסטרטגי
- לימוד
- מציע
- חשוד
- טקטיקה
- טייוואן
- לקחת
- יעד
- ממוקד
- מיקוד
- טכניקות
- טכנולוגיה
- בדיקות
- תודה
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- אז
- הֵם
- זֶה
- איום
- איום שחקנים
- דרך
- זמן
- כותרת
- ל
- טום
- לקח
- הובלה
- הסתובב
- בדרך כלל
- תחת
- להבין
- מאוחד
- ארצות הברית
- לא ידוע
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- באמצעות
- תועלת
- מנוצל
- Ve
- באמצעות
- קרבן
- וולט
- VPN
- פגיעות
- היה
- לא היה
- we
- אינטרנט
- שרת אינטרנט
- טוֹב
- הלכתי
- היו
- מתי
- אשר
- כל
- יצטרך
- חלונות
- עם
- גרוע
- היה
- שנים
- זפירנט