Hibrit Saldırı Bülteni: Salt Typhoon - Telco Siber Saldırılarında Sessiz Fırtına >

Vectra AI Japonya、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger simgesi üst satır
Hamburger simgesi orta çizgi
Hamburger simgesi alt satırı
cybercriminels
>
Ulus-Devlet Aktörü

Volt Typhoon

Volt Typhoon Çin Halk Cumhuriyeti ile ilişkili, öncelikle Amerika Birleşik Devletleri'ndeki kritik altyapı kuruluşlarını hedef alan, devlet destekli gizli bir APT grubudur.

Volt Typhoon'un TTP'lerini tespit edin
Kuruluşunuz Volt Typhoon'un Saldırılarına Karşı Güvende mi?
Arka plan
Hedefler
TTP'ler
Algılama
Sıkça Sorulan Sorular
Tehdit Brifingini izleyin

Kökeni Volt Typhoon

Volt Typhoon Çin Halk Cumhuriyeti (ÇHC) ile bağlantılı devlet destekli bir gelişmiş kalıcı tehdit (APT) grubudur. En azından 2021'in ortalarından beri aktif olan bu APT, Amerika Birleşik Devletleri'ndeki kritik altyapı kuruluşlarını hedef almasıyla bilinmektedir. Operasyonları, casusluk ve uzun vadeli veri sızıntısı için erişimi sürdürmeyi amaçlayan gizli, uygulamalı klavye taktikleri ile karakterize edilir. Volt Typhoon , Çin'in daha geniş siber casusluk gündeminin bir parçasıdır ve stratejik hedefleri tehlikeye atmaya ve yerleşik Windows araçlarına ve arazide yaşama tekniklerine büyük ölçüde güvenerek tespit edilmekten kaçınmaya odaklanır.

Kökeni Volt Typhoon
Hedefler

Volt Typhoon'nin Hedefleri

Tarafından hedeflenen ülkeler Volt Typhoon

Öncelikli odak noktası Amerika Birleşik Devletleri olsa da, Çin'in küresel istihbarat hedefleri göz önüne alındığında Volt Typhoon'un faaliyetleri muhtemelen coğrafi olarak sınırlı değildir. Grubun operasyonları jeopolitik rakipleri izlemeyi ve potansiyel olarak istismar etmeyi amaçlamaktadır.

Tarafından hedeflenen sektörler Volt Typhoon

Volt Typhoon telekomünikasyon, imalat, kamu hizmeti sağlayıcıları ve enerji ve ulaşım gibi kritik altyapı sektörleri de dahil olmak üzere stratejik öneme sahip sektörlere odaklanmaktadır. Bu hedefler istihbarat toplama ve potansiyel olarak operasyonları sekteye uğratma motivasyonuna işaret etmektedir.

Tarafından hedeflenen sektörler Volt Typhoon

Volt Typhoon telekomünikasyon, imalat, kamu hizmeti sağlayıcıları ve enerji ve ulaşım gibi kritik altyapı sektörleri de dahil olmak üzere stratejik öneme sahip sektörlere odaklanmaktadır. Bu hedefler istihbarat toplama ve potansiyel olarak operasyonları sekteye uğratma motivasyonuna işaret etmektedir.

Volt Typhoon'in kurbanları

Belirli kuruluşlar genellikle açıklanmasa da, Volt Typhoon 'un kritik altyapı kuruluşlarını tehlikeye attığı ve veri toplamak için tehlikeye atılmış sistemlerden yararlandığı gözlemlenmiştir. Taktikleri, ulusal stratejik avantajlar için değerli istihbarat sağlayabilecek kuruluşlara odaklandıklarını göstermektedir.

Saldırı Yöntemi

Volt Typhoon'in Attach Yöntemi

İlk Erişim
Ayrıcalık Yükseltme
Savunma Kaçırma
Kimlik Bilgileri Erişimi
Keşif
Yanal Hareket
Koleksiyon
Yürütme
Sızma
Etki
Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

Volt Typhoon ilk erişimi elde etmek için internete bakan cihazlardaki, özellikle de küçük ofis/ev-ofis (SOHO) ağ ekipmanlarındaki güvenlik açıklarından yararlanır. Teknikler arasında parola püskürtme ve zayıf güvenlikli uzaktan yönetim protokollerinden yararlanma yer alır.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

Erişim sağlandıktan sonra grup, ele geçirilen ağ üzerinde daha üst düzey kontrol elde etmek için ayrıcalıkları yükseltir. Bu genellikle meşru kimlik bilgilerinin kötüye kullanılmasını içerir.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

Volt Typhoon tespit edilmekten kaçınmak için yalnızca PowerShell ve Windows Yönetim Araçları (WMI) gibi yerleşik Windows araçlarını kullanarak arazide yaşama tekniklerine dayanır. Gizliliği korumak için malware adresini dağıtmaktan kaçınırlar.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

Mimikatz gibi araçları kullanarak kimlik bilgilerini toplar ve güvenliği ihlal edilmiş ağlarda hassas bilgiler ararlar.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

Grup, sistem yapılandırmalarını, kullanıcı hesaplarını ve ağ topolojisini tanımlamak için komutları kullanarak yanal harekete ve daha fazla istismara olanak tanır.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

Volt Typhoon operasyonel güvenliği korurken tehlikeye atılmış sistemlerde gezinmek için uzak hizmetleri ve RDP'yi kullanır.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

E-posta iletişimleri, hassas dosyalar ve altyapı ile ilgili bilgiler gibi ilgilenilen veriler belirlenir ve toplanır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

Yürütme aşaması, kalıcılığı korumak ve operasyonel hedeflere ulaşmak için komut dosyalarının ve komutların yürütülmesini içerir.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

Normal trafiğe karışmak ve tespit edilmekten kaçınmak için standart ağ protokollerini kullanarak toplanan verileri dışarı sızdırırlar.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

Volt Typhoon öncelikle ani yıkıcı eylemlerden ziyade uzun vadeli istihbarat toplamaya odaklanmaktadır. Bununla birlikte, yetenekleri gelecekteki sabotaj operasyonlarını mümkün kılabilir.

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim

Volt Typhoon ilk erişimi elde etmek için internete bakan cihazlardaki, özellikle de küçük ofis/ev-ofis (SOHO) ağ ekipmanlarındaki güvenlik açıklarından yararlanır. Teknikler arasında parola püskürtme ve zayıf güvenlikli uzaktan yönetim protokollerinden yararlanma yer alır.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme

Erişim sağlandıktan sonra grup, ele geçirilen ağ üzerinde daha üst düzey kontrol elde etmek için ayrıcalıkları yükseltir. Bu genellikle meşru kimlik bilgilerinin kötüye kullanılmasını içerir.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma

Volt Typhoon tespit edilmekten kaçınmak için yalnızca PowerShell ve Windows Yönetim Araçları (WMI) gibi yerleşik Windows araçlarını kullanarak arazide yaşama tekniklerine dayanır. Gizliliği korumak için malware adresini dağıtmaktan kaçınırlar.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi

Mimikatz gibi araçları kullanarak kimlik bilgilerini toplar ve güvenliği ihlal edilmiş ağlarda hassas bilgiler ararlar.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif

Grup, sistem yapılandırmalarını, kullanıcı hesaplarını ve ağ topolojisini tanımlamak için komutları kullanarak yanal harekete ve daha fazla istismara olanak tanır.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket

Volt Typhoon operasyonel güvenliği korurken tehlikeye atılmış sistemlerde gezinmek için uzak hizmetleri ve RDP'yi kullanır.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon

E-posta iletişimleri, hassas dosyalar ve altyapı ile ilgili bilgiler gibi ilgilenilen veriler belirlenir ve toplanır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme

Yürütme aşaması, kalıcılığı korumak ve operasyonel hedeflere ulaşmak için komut dosyalarının ve komutların yürütülmesini içerir.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma

Normal trafiğe karışmak ve tespit edilmekten kaçınmak için standart ağ protokollerini kullanarak toplanan verileri dışarı sızdırırlar.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki

Volt Typhoon öncelikle ani yıkıcı eylemlerden ziyade uzun vadeli istihbarat toplamaya odaklanmaktadır. Bununla birlikte, yetenekleri gelecekteki sabotaj operasyonlarını mümkün kılabilir.

MITRE ATT&CK Haritalama

Tarafından kullanılan TTP'ler Volt Typhoon

TA0001: Initial Access
T1078
Valid Accounts
TA0002: Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Platform Tespitleri

Volt Typhoon ile Nasıl Tespit Edilir? Vectra AI

Vectra AI Platformunda bulunan ve bir siber saldırıya işaret edebilecek Tespitlerin listesi.

Hidden DNS Tunnel

Hidden HTTPS Tunnel

M365 DLL Hijacking Activity

Suspicious LDAP Query

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

Daha fazla algılama görüntüleyin
Saldırıya maruz kalma durumunuzu değerlendirin

Sıkça Sorulan Sorular

Kuruluşunuz Volt Typhoon'un Saldırılarına Karşı Güvende mi?

Saldırıya maruz kalma durumunuzu değerlendirin