Siber Saldırı Bülteni: Saldırganlar Hacklemez, Giriş Yapar: MFA Kör Noktası >

Siber Saldırı Bülteni: Saldırganlar Giriş Yapmıyor - Giriş Yapıyorlar: MFA Kör Noktası >

Hamburger simgesi üst satır
Hamburger simgesi orta çizgi
Hamburger simgesi alt satırı
cybercriminels
>
Ulus-Devlet Aktörü

Salt Typhoon

Salt TyphoonEarth Estries, FamousSparrow, GhostEmperor ve UNC2286 gibi takma adlarla da bilinen, siber casusluk faaliyetlerinde uzmanlaşmış gelişmiş bir kalıcı tehdit (APT) grubudur.

Salt Typhoon'un TTP'lerini tespit edin
Kuruluşunuz Salt Typhoon'un Saldırılarına Karşı Güvende mi?
Arka plan
Hedefler
TTP'ler
Algılama
Sıkça Sorulan Sorular
Tehdit Brifingini izleyin

Kökeni Salt Typhoon

Bu grup en az 2020'den beri küresel çapta son derece sofistike siber casusluk kampanyaları yürütmektedir. Gelişmiş malware cephaneliği ve zero-day güvenlik açıklarından faydalanmasıyla tanınan Salt Typhoon , 2023 yılında erişim alanını yeni sektörleri, genişletilmiş coğrafyaları ve daha agresif taktikleri içerecek şekilde genişletmiştir. Bu APT grubunun cephaneliği ve operasyonları gizlilik, sebat ve yaygınlık konusunda kararlılık göstermektedir taviz.

Kökeni Salt Typhoon
Hedefler

Salt Typhoon'nin Hedefleri

Tarafından hedeflenen ülkeler Salt Typhoon

2023 yılından bu yana Salt Typhoon dünya genelinde 20'den fazla kuruluşu etkilemiştir. Etkilenen ülkeler şunlardır:

  • Asya-Pasifik: Afganistan, Hindistan, Endonezya, Malezya, Pakistan, Filipinler, Tayvan, Tayland ve Vietnam.
  • Afrika: Eswatini, Güney Afrika.
  • Amerika kıtası: Brezilya, Birleşik Devletler.

Görüntü kaynağı: Trend Micro

Tarafından hedeflenen sektörler Salt Typhoon

Salt Typhoon Artık teknoloji, danışmanlık, kimya, ulaştırma, devlet kurumları ve kâr amacı gütmeyen kuruluşlar da dahil olmak üzere daha geniş bir sektör yelpazesini hedeflemekte ve son derece fırsatçı ve stratejik bir yaklaşımı yansıtmaktadır.

Tarafından hedeflenen sektörler Salt Typhoon

Salt Typhoon Artık teknoloji, danışmanlık, kimya, ulaştırma, devlet kurumları ve kâr amacı gütmeyen kuruluşlar da dahil olmak üzere daha geniş bir sektör yelpazesini hedeflemekte ve son derece fırsatçı ve stratejik bir yaklaşımı yansıtmaktadır.

Tarafından hedef alınan kurbanlar Salt Typhoon

Mağdurlar arasında genellikle inovasyon, savunma ve kritik ulusal altyapı alanlarında faaliyet gösteren devlet kurumları ve teknoloji şirketleri yer almaktadır. Hedef alınan kuruluşlar genellikle bir kez tehlikeye girdikten sonra gelişmiş yanal hareket taktikleriyle karşı karşıya kalırlar.

Saldırı Yöntemi

Salt Typhoon'in Saldırı Yöntemi

İlk Erişim
Ayrıcalık Yükseltme
Savunma Kaçırma
Kimlik Bilgileri Erişimi
Keşif
Yanal Hareket
Koleksiyon
Yürütme
Sızma
Etki
Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

Genellikle SMB veya Windows Yönetim Araçları'ndan (WMI) yararlanarak kimlik bilgisi hırsızlığı veya malware bulaştırma yoluyla yönetici hesaplarının güvenliğini tehlikeye atar.

Aşağıdakiler de dahil olmak üzere yaygın olarak kullanılan sistemlerdeki güvenlik açıklarını istismar eder:

  • Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Sophos Güvenlik Duvarı (CVE-2022-3236)
  • Microsoft Exchange (ProxyLogon güvenlik açıkları: CVE-2021-26855, vb.)
Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

Sistem düzeyinde erişim elde etmek için DLL yan yükleme ve kayıt defteri manipülasyonları gibi araçlar kullanır.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

Algılamayı atlatmak için GhostSpider arka kapısı ve WMIC.exe ve PsExec gibi araçlarla "arazide yaşama" taktikleri, PowerShell sürüm düşürme saldırıları ve maskeleme teknikleri dahil olmak üzere gizleme teknikleri kullanır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

Kimlik bilgilerini ve tarayıcı verilerini toplamak için SnappyBee (Deed RAT) gibi hırsızları veya TrillClient gibi özel hırsızları dağıtır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

Kurban ortamının haritasını çıkarmak için etki alanı güven keşfi ve ağ keşfi gerçekleştirir.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

SMB ve WMI komutlarını kullanarak malware adresini yayar ve arka kapıları birden fazla makineye dağıtır.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

Hassas dosyalara (örn. PDF'ler) odaklanır ve kimlik bilgilerini ve oturum belirteçlerini çalmak için SnappyBee gibi gelişmiş teknikler kullanır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

Cobalt Strike, özel arka kapılar (örneğin, Zingdoor veya GhostSpider) ve HemiGate aracılığıyla kötü amaçlı yükleri dağıtır.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

Toplanan verileri AnonFiles, File.io ve genel depolar gibi harici sunuculara veya hizmetlere aktarır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

Her operasyonel turdan sonra mevcut malware adresini temizleyerek kalıcılığı sağlar ve enfeksiyon kanıtlarını ortadan kaldırır.

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim

Genellikle SMB veya Windows Yönetim Araçları'ndan (WMI) yararlanarak kimlik bilgisi hırsızlığı veya malware bulaştırma yoluyla yönetici hesaplarının güvenliğini tehlikeye atar.

Aşağıdakiler de dahil olmak üzere yaygın olarak kullanılan sistemlerdeki güvenlik açıklarını istismar eder:

  • Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Sophos Güvenlik Duvarı (CVE-2022-3236)
  • Microsoft Exchange (ProxyLogon güvenlik açıkları: CVE-2021-26855, vb.)
Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme

Sistem düzeyinde erişim elde etmek için DLL yan yükleme ve kayıt defteri manipülasyonları gibi araçlar kullanır.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma

Algılamayı atlatmak için GhostSpider arka kapısı ve WMIC.exe ve PsExec gibi araçlarla "arazide yaşama" taktikleri, PowerShell sürüm düşürme saldırıları ve maskeleme teknikleri dahil olmak üzere gizleme teknikleri kullanır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi

Kimlik bilgilerini ve tarayıcı verilerini toplamak için SnappyBee (Deed RAT) gibi hırsızları veya TrillClient gibi özel hırsızları dağıtır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif

Kurban ortamının haritasını çıkarmak için etki alanı güven keşfi ve ağ keşfi gerçekleştirir.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket

SMB ve WMI komutlarını kullanarak malware adresini yayar ve arka kapıları birden fazla makineye dağıtır.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon

Hassas dosyalara (örn. PDF'ler) odaklanır ve kimlik bilgilerini ve oturum belirteçlerini çalmak için SnappyBee gibi gelişmiş teknikler kullanır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme

Cobalt Strike, özel arka kapılar (örneğin, Zingdoor veya GhostSpider) ve HemiGate aracılığıyla kötü amaçlı yükleri dağıtır.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma

Toplanan verileri AnonFiles, File.io ve genel depolar gibi harici sunuculara veya hizmetlere aktarır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki

Her operasyonel turdan sonra mevcut malware adresini temizleyerek kalıcılığı sağlar ve enfeksiyon kanıtlarını ortadan kaldırır.

MITRE ATT&CK Haritalama

Tarafından kullanılan TTP'ler Salt Typhoon

TA0001: Initial Access
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1574
Hijack Execution Flow
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1574
Hijack Execution Flow
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1036
Masquerading
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1574
Hijack Execution Flow
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1056
Input Capture
TA0007: Discovery
T1482
Domain Trust Discovery
T1087
Account Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1113
Screen Capture
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
No items found.
Platform Tespitleri

Salt Typhoon ile nasıl tespit edilir? Vectra AI

Vectra AI Platformunda bulunan ve bir siber saldırıya işaret edebilecek Tespitlerin listesi.

Hidden DNS Tunnel

Hidden HTTPS Tunnel

M365 DLL Hijacking Activity

Suspicious LDAP Query

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

Daha fazla algılama görüntüleyin
Saldırıya maruz kalma durumunuzu değerlendirin

Sıkça Sorulan Sorular

Salt Typhoon adresinden en çok etkilenen sektörler hangileridir?

Salt Typhoon teknoloji, danışmanlık, kimya, ulaştırma, kamu ve kâr amacı gütmeyen kuruluşları hedeflemektedir.

Salt Typhoon tarafından kullanılan en yeni araçlar nelerdir?

Yeni eklenenler arasında GhostSpider arka kapısı, SnappyBee hırsızı ve Demodex Rootkit bulunmaktadır.

Salt Typhoon gizliliğini nasıl koruyor?

Arazide yaşama tekniklerini ve Demodex gibi gelişmiş rootkit'leri kullanırlar.

Hangi güvenlik açıklarından faydalanıyorlar?

Son istismarlar arasında Ivanti Connect Secure, Sophos Firewall ve Microsoft Exchange'deki güvenlik açıkları yer alıyor.

Salt Typhoon verileri nasıl dışarı sızdırır?

Çalınan veriler AnonFiles, File.io'ya yüklenir veya şifrelenmiş e-postalar aracılığıyla gönderilir.

Başka gruplarla bağlantıları var mı?

FamousSparrow gibi Çinli APT'ler ve hükümetle bağlantılı diğer kuruluşlarla örtüşmeler var.

Kuruluşlar bunların faaliyetlerini nasıl tespit edebilir?

Olağandışı PowerShell komutlarını, DLL yan yüklemelerini ve Cobalt Strike işaretlerini izleyin.

Tedarik zincirine yönelik tehdit nedir?

Salt Typhoon güvenilir tedarik zinciri ilişkileri aracılığıyla birden fazla kuruluşa sızmak için yüklenici makinelerini kullanır.

Hangi önlemler saldırıları hafifletir?

uç nokta algılama araçlarını dağıtın, yama yönetimini uygulayın ve bilinen C&C kalıpları için trafiği izleyin.

Uluslararası tepki nedir?

İşbirliğine dayalı istihbarat paylaşımı ve birleşik stratejiler, büyüyen tehdidin azaltılması için elzemdir.

Kuruluşunuz Salt Typhoon'un Saldırılarına Karşı Güvende mi?

Saldırıya maruz kalma durumunuzu değerlendirin