中国支持的网络间谍组织 Volt Typhoon 正在系统性地针对旧思科设备进行复杂而隐秘的攻击活动,以扩大其攻击基础设施。
在许多情况下,以关键基础设施为目标的威胁行为者正在利用 2019 年路由器中的几个漏洞来闯入目标设备并控制它们。
针对美国关键基础设施部门
SecurityScorecard 威胁情报团队的研究人员在对最近的供应商进行一些后续调查时发现了该活动 媒体报道 关于伏特台风闯入美国关键基础设施组织并为未来潜在的破坏奠定基础。这些攻击针对的是自来水公司、电力供应商、交通和通信系统。该组织的受害者包括美国、英国和澳大利亚的组织。
供应商报告之一来自 流明,描述了一个僵尸网络,包括 小型办公室/家庭办公室 (SOHO) 路由器 Volt Typhoon 和其他中国威胁组织正在利用该网络作为指挥控制 (C2) 网络来攻击高价值网络。 Lumen 在报告中描述的网络主要由 Cisco、DrayTek 以及较小范围内的 Netgear 的报废路由器组成。
SecurityScorecard 研究人员使用 Lumen 随其报告发布的妥协指标 (IoC) 来查看他们是否能够识别与 Volt Typhoon 活动相关的新基础设施。这 调查 SecurityScorecard 的威胁研究员 Rob Ames 表示,这表明该威胁组织的活动可能比之前想象的更为广泛。
例如,SecurityScorecard 在 30 天内在 C325 僵尸网络上观察到,Volt Typhoon 似乎对 1,116%(即 320 个报废 Cisco RV325/2 路由器中的 37 个)造成了损害。该安全供应商的研究人员观察到,1 年 2023 月 7 日至 2024 年 XNUMX 月 XNUMX 日期间,受感染的思科设备与已知的 Volt Typhoon 基础设施之间存在定期连接,表明操作非常活跃。
SecurityScorecard 的挖掘还显示,Volt Typhoon 在该组织目前瞄准的思科路由器和其他网络边缘设备上部署了“fy.sh”,这是一种迄今为止未知的 Web shell。此外,SecurityScorecard 还能够识别出多个与 Volt Typhoon 活动相关的新 IP 地址。
“SecurityScorecard 使用之前流传的与 Volt Typhoon 相关的 IoC 来识别我们观察到的新受感染的设备、之前未指定的 Webshell (fy.sh) 以及可能代表新 IoC 的其他 IP 地址,”Ames 说。
靠地为生的网络攻击
伏台风 是一个威胁组织 美国网络安全和基础设施局 (CISA) 已被确定为针对美国关键基础设施部门的国家支持的中国威胁行为者。 微软早在 2023 年 2021 月就首次报道该组织,称该组织至少自 XNUMX 年 XNUMX 月起就开始活跃,总部设在中国,并使用一系列靠地为生的技术进行大规模网络间谍活动。该公司评估该组织正在开发在未来潜在冲突期间破坏美国和亚洲之间关键通信能力的能力。
艾姆斯表示,Volt Typhoon 使用受感染的路由器进行数据传输是该组织致力于秘密行动的一个迹象。
他说:“该组织经常通过这些设备路由流量,以避免在针对与受感染路由器位于同一区域的组织时进行基于地理位置的检测。” “如果所涉及的流量似乎源自该组织所在的区域,这些组织可能不太可能注意到恶意活动。”
针对易受攻击的报废设备进行网络攻击
艾姆斯表示,从攻击者的角度来看,Volt Typhoon 针对报废设备的攻击也很有意义。大约有 35 个已知的严重漏洞,其严重程度在 CVSS 等级上的评级至少为 9 分(满分 10 分),其中包括 CISA 已知利用漏洞目录中的两个漏洞,这些漏洞与 Volt Typhoon 所针对的 Cisco RV320 路由器相关。三年前,即 2021 年 XNUMX 月,思科停止发布该技术的任何错误修复、维护版本和修复。除了思科设备外,与 Volt Typhoon 相关的僵尸网络还包括受感染的传统 DrayTek Vigor 和 Netgear ProSafe 路由器。
“从设备本身的角度来看,它们是唾手可得的成果,”艾姆斯说。 “由于‘寿命终止’意味着设备生产商将不再为其发布更新,因此影响设备的漏洞可能得不到解决,从而使设备容易受到损害。”
Critical Start 网络威胁研究高级经理 Callie Guenther 表示,Volt Typhoon 的战略目标是报废的思科路由器、fy.sh 等定制工具的开发以及地理和部门目标,这表明其操作非常复杂。
“关注遗留系统并不是威胁行为者的常见策略,主要是因为它需要有关旧系统及其漏洞的特定知识,而这些知识可能并未被广泛了解或记录下来,”Guenther 说。 “然而,这是一个日益增长的趋势,特别是在国家支持的参与者中,他们有资源和动力进行广泛的侦察并开发量身定制的漏洞。”
作为例子,她指出多个威胁行为者针对所谓的 Ripple20漏洞 TCP/IP 堆栈影响了数百万台遗留物联网设备,以及针对旧 VPN 产品缺陷的中国和伊朗威胁组织。
- :具有
- :是
- :不是
- $UP
- 1
- 10
- 116
- 2019
- 2021
- 2023
- 2024
- 35%
- 7
- 9
- a
- Able
- 关于
- 要积极。
- 活动
- 演员
- 增加
- 地址
- 影响
- 影响
- 驳
- 机构
- 前
- 还
- 其中
- 和
- 和基础设施
- 任何
- 出现
- 出现
- 保健
- 国家 / 地区
- AS
- 亚洲
- 评估
- 相关
- At
- 攻击
- 攻击
- 澳大利亚
- 避免
- 背部
- 基于
- BE
- 因为
- 很
- 作为
- 之间
- 僵尸网络
- 午休
- 破坏
- 问题
- 营销活动
- 能力
- 检索目录
- 中国
- 中文
- 思科
- 承诺
- 相当常见
- 通信
- 通讯系统
- 公司
- 包含
- 妥协
- 妥协
- 折中
- 进行
- 开展
- 冲突
- 连接
- 由
- 控制
- 可以
- 情侣
- 危急
- 关键基础设施
- 目前
- 习俗
- 网络
- 网络安全
- data
- 十二月
- 部署
- 描述
- 检测
- 开发
- 发展
- 研发支持
- 设备
- 破坏
- 中断
- 做
- ,我们将参加
- 边缘
- 特别
- 间谍
- 例子
- 例子
- 剥削
- 利用
- 功勋
- 广泛
- 程度
- (名字)
- 固定
- 缺陷
- 聚焦
- 针对
- 止
- 未来
- FY
- 地域
- 地理
- Go
- 陆运
- 团队
- 组的
- 增长
- 成长
- 有
- he
- 高度
- 但是
- HTTPS
- 确定
- 鉴定
- if
- in
- 包括
- 包括
- 包含
- 迹象
- 指标
- 基础设施
- 房源搜索
- 成
- 调查
- 参与
- 物联网
- 物联网设备
- IP
- IP地址
- 伊朗的
- 问题
- 发行
- IT
- 它的
- 一月三十一日
- 一月
- 2021 年 XNUMX 月
- JPG
- 知识
- 已知
- 大规模
- 铺设
- 最少
- 离开
- 遗产
- 减
- 喜欢
- 容易
- 链接
- 不再
- 占地
- 流明
- 主要
- 保养
- 制作
- 恶意
- 经理
- 许多
- 可能..
- 手段
- 微软
- 可能
- 百万
- 更多
- 动机
- 许多
- 多
- 网络
- 网络
- 全新
- 新
- 没有
- 注意..
- of
- 办公
- 经常
- 老年人
- on
- 一
- 操作
- or
- 秩序
- 组织
- 组织
- 其他名称
- 输出
- 超过
- 期间
- 透视
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 潜力
- 功率
- 先前
- 主要
- 生产者
- 核心产品
- 坡道
- 等级
- 最近
- 定期
- 发布
- 发布
- 报告
- 业务报告
- 代表
- 需要
- 研究
- 研究员
- 研究人员
- 资源
- 提供品牌战略规划
- 抢劫
- 路线
- s
- 同
- 说
- 鳞片
- 部门的
- 行业
- 保安
- 看到
- 前辈
- 感
- 她
- 壳
- 显示
- 自
- 小
- 一些
- 极致
- 具体的
- 堆
- 团队
- 开始
- Stealth
- 鬼鬼祟祟
- 停止
- 善用
- 建议
- 供销商
- 易感
- 产品
- 量身定制
- 采取
- 目标
- 针对
- 瞄准
- TCP / IP
- 团队
- 技术
- 专业技术
- 比
- 这
- 区域
- 其
- 他们
- 他们自己
- 那里。
- 博曼
- 他们
- 思想
- 威胁
- 威胁者
- 三
- 通过
- 至
- 工具
- 交通
- 转让
- 交通运输或是
- 趋势
- 二
- Uk
- 不明
- 最新动态
- us
- 使用
- 用过的
- 运用
- 公用事业
- 供应商
- 非常
- 受害者
- 伏
- VPN
- 漏洞
- 脆弱
- 是
- 水
- we
- 卷筒纸
- 井
- ,尤其是
- 这
- WHO
- 广泛
- 将
- 年
- 和风网
