Salt Typhoon
Salt TyphoonEarth Estries, FamousSparrow, GhostEmperor ve UNC2286 gibi takma adlarla da bilinen, siber casusluk faaliyetlerinde uzmanlaşmış gelişmiş bir kalıcı tehdit (APT) grubudur.

Kökeni Salt Typhoon
Bu grup en az 2020'den beri küresel çapta son derece sofistike siber casusluk kampanyaları yürütmektedir. Gelişmiş malware cephaneliği ve zero-day güvenlik açıklarından faydalanmasıyla tanınan Salt Typhoon , 2023 yılında erişim alanını yeni sektörleri, genişletilmiş coğrafyaları ve daha agresif taktikleri içerecek şekilde genişletmiştir. Bu APT grubunun cephaneliği ve operasyonları gizlilik, sebat ve yaygınlık konusunda kararlılık göstermektedir taviz.
Tarafından hedeflenen ülkeler Salt Typhoon
2023 yılından bu yana Salt Typhoon dünya genelinde 20'den fazla kuruluşu etkilemiştir. Etkilenen ülkeler şunlardır:
- Asya-Pasifik: Afganistan, Hindistan, Endonezya, Malezya, Pakistan, Filipinler, Tayvan, Tayland ve Vietnam.
- Afrika: Eswatini, Güney Afrika.
- Amerika kıtası: Brezilya, Birleşik Devletler.
Görüntü kaynağı: Trend Micro
Tarafından hedeflenen sektörler Salt Typhoon
Salt Typhoon Artık teknoloji, danışmanlık, kimya, ulaştırma, devlet kurumları ve kâr amacı gütmeyen kuruluşlar da dahil olmak üzere daha geniş bir sektör yelpazesini hedeflemekte ve son derece fırsatçı ve stratejik bir yaklaşımı yansıtmaktadır.
Tarafından hedef alınan kurbanlar Salt Typhoon
Mağdurlar arasında genellikle inovasyon, savunma ve kritik ulusal altyapı alanlarında faaliyet gösteren devlet kurumları ve teknoloji şirketleri yer almaktadır. Hedef alınan kuruluşlar genellikle bir kez tehlikeye girdikten sonra gelişmiş yanal hareket taktikleriyle karşı karşıya kalırlar.
Salt Typhoon'in Saldırı Yöntemi

Genellikle SMB veya Windows Yönetim Araçları'ndan (WMI) yararlanarak kimlik bilgisi hırsızlığı veya malware bulaştırma yoluyla yönetici hesaplarının güvenliğini tehlikeye atar.
Aşağıdakiler de dahil olmak üzere yaygın olarak kullanılan sistemlerdeki güvenlik açıklarını istismar eder:
- Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
- Fortinet FortiClient EMS (CVE-2023-48788)
- Sophos Güvenlik Duvarı (CVE-2022-3236)
- Microsoft Exchange (ProxyLogon güvenlik açıkları: CVE-2021-26855, vb.)

Sistem düzeyinde erişim elde etmek için DLL yan yükleme ve kayıt defteri manipülasyonları gibi araçlar kullanır.

Algılamayı atlatmak için GhostSpider arka kapısı ve WMIC.exe ve PsExec gibi araçlarla "arazide yaşama" taktikleri, PowerShell sürüm düşürme saldırıları ve maskeleme teknikleri dahil olmak üzere gizleme teknikleri kullanır.

Kimlik bilgilerini ve tarayıcı verilerini toplamak için SnappyBee (Deed RAT) gibi hırsızları veya TrillClient gibi özel hırsızları dağıtır.

Kurban ortamının haritasını çıkarmak için etki alanı güven keşfi ve ağ keşfi gerçekleştirir.

SMB ve WMI komutlarını kullanarak malware adresini yayar ve arka kapıları birden fazla makineye dağıtır.

Hassas dosyalara (örn. PDF'ler) odaklanır ve kimlik bilgilerini ve oturum belirteçlerini çalmak için SnappyBee gibi gelişmiş teknikler kullanır.

Cobalt Strike, özel arka kapılar (örneğin, Zingdoor veya GhostSpider) ve HemiGate aracılığıyla kötü amaçlı yükleri dağıtır.

Toplanan verileri AnonFiles, File.io ve genel depolar gibi harici sunuculara veya hizmetlere aktarır.

Her operasyonel turdan sonra mevcut malware adresini temizleyerek kalıcılığı sağlar ve enfeksiyon kanıtlarını ortadan kaldırır.

Genellikle SMB veya Windows Yönetim Araçları'ndan (WMI) yararlanarak kimlik bilgisi hırsızlığı veya malware bulaştırma yoluyla yönetici hesaplarının güvenliğini tehlikeye atar.
Aşağıdakiler de dahil olmak üzere yaygın olarak kullanılan sistemlerdeki güvenlik açıklarını istismar eder:
- Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
- Fortinet FortiClient EMS (CVE-2023-48788)
- Sophos Güvenlik Duvarı (CVE-2022-3236)
- Microsoft Exchange (ProxyLogon güvenlik açıkları: CVE-2021-26855, vb.)

Sistem düzeyinde erişim elde etmek için DLL yan yükleme ve kayıt defteri manipülasyonları gibi araçlar kullanır.

Algılamayı atlatmak için GhostSpider arka kapısı ve WMIC.exe ve PsExec gibi araçlarla "arazide yaşama" taktikleri, PowerShell sürüm düşürme saldırıları ve maskeleme teknikleri dahil olmak üzere gizleme teknikleri kullanır.

Kimlik bilgilerini ve tarayıcı verilerini toplamak için SnappyBee (Deed RAT) gibi hırsızları veya TrillClient gibi özel hırsızları dağıtır.

Kurban ortamının haritasını çıkarmak için etki alanı güven keşfi ve ağ keşfi gerçekleştirir.

SMB ve WMI komutlarını kullanarak malware adresini yayar ve arka kapıları birden fazla makineye dağıtır.

Hassas dosyalara (örn. PDF'ler) odaklanır ve kimlik bilgilerini ve oturum belirteçlerini çalmak için SnappyBee gibi gelişmiş teknikler kullanır.

Cobalt Strike, özel arka kapılar (örneğin, Zingdoor veya GhostSpider) ve HemiGate aracılığıyla kötü amaçlı yükleri dağıtır.

Toplanan verileri AnonFiles, File.io ve genel depolar gibi harici sunuculara veya hizmetlere aktarır.

Her operasyonel turdan sonra mevcut malware adresini temizleyerek kalıcılığı sağlar ve enfeksiyon kanıtlarını ortadan kaldırır.
Tarafından kullanılan TTP'ler Salt Typhoon
Salt Typhoon ile nasıl tespit edilir? Vectra AI
Vectra AI Platformunda bulunan ve bir siber saldırıya işaret edebilecek Tespitlerin listesi.
Sıkça Sorulan Sorular
Salt Typhoon adresinden en çok etkilenen sektörler hangileridir?
Salt Typhoon teknoloji, danışmanlık, kimya, ulaştırma, kamu ve kâr amacı gütmeyen kuruluşları hedeflemektedir.
Salt Typhoon tarafından kullanılan en yeni araçlar nelerdir?
Yeni eklenenler arasında GhostSpider arka kapısı, SnappyBee hırsızı ve Demodex Rootkit bulunmaktadır.
Salt Typhoon gizliliğini nasıl koruyor?
Arazide yaşama tekniklerini ve Demodex gibi gelişmiş rootkit'leri kullanırlar.
Hangi güvenlik açıklarından faydalanıyorlar?
Son istismarlar arasında Ivanti Connect Secure, Sophos Firewall ve Microsoft Exchange'deki güvenlik açıkları yer alıyor.
Salt Typhoon verileri nasıl dışarı sızdırır?
Çalınan veriler AnonFiles, File.io'ya yüklenir veya şifrelenmiş e-postalar aracılığıyla gönderilir.
Başka gruplarla bağlantıları var mı?
FamousSparrow gibi Çinli APT'ler ve hükümetle bağlantılı diğer kuruluşlarla örtüşmeler var.
Kuruluşlar bunların faaliyetlerini nasıl tespit edebilir?
Olağandışı PowerShell komutlarını, DLL yan yüklemelerini ve Cobalt Strike işaretlerini izleyin.
Tedarik zincirine yönelik tehdit nedir?
Salt Typhoon güvenilir tedarik zinciri ilişkileri aracılığıyla birden fazla kuruluşa sızmak için yüklenici makinelerini kullanır.
Hangi önlemler saldırıları hafifletir?
uç nokta algılama araçlarını dağıtın, yama yönetimini uygulayın ve bilinen C&C kalıpları için trafiği izleyin.
Uluslararası tepki nedir?
İşbirliğine dayalı istihbarat paylaşımı ve birleşik stratejiler, büyüyen tehdidin azaltılması için elzemdir.