0
0
A Agência de Segurança Nacional (NSA) e as agências parceiras da Five Eyes identificaram indicadores de comprometimento associados a um agente cibernético patrocinado pelo Estado da República Popular da China (RPC) apelidado de Volt Typhoon, que está usando técnicas de vida terrestre para atingir redes em toda a infraestrutura crítica dos EUA.
Volt Typhoon adora viver da terra
O aviso conjunto de cibersegurança fornece uma visão geral das orientações de caça e das melhores práticas associadas. Ele inclui exemplos de comandos do ator e assinaturas de detecção.
As agências de criação também incluem um resumo de indicadores de valores de comprometimento (IOC), como cadeias de caracteres de linha de comando exclusivas, hashes, caminhos de arquivo, exploração de vulnerabilidades CVE-2021-40539 e CVE-2021-27860 e nomes de arquivo comumente usados por esse ator.
Como uma de suas principais táticas, técnicas e procedimentos (TTP) de viver da terra, o ator da RPC usa ferramentas já instaladas ou embutidas no sistema de um alvo. Isso permite que o ator evite a detecção misturando-se com sistemas Windows normais e atividades de rede, evitando produtos EDR (endpoint detection and response) e limitando a quantidade de atividade capturada nas configurações de log padrão.
Detecção e caça a ameaças
A NSA recomenda que os defensores de rede apliquem as orientações de detecção e busca no aviso de segurança cibernética, como registro e monitoramento da execução da linha de comando e eventos WMI, além de garantir a integridade do log usando um servidor de log centralizado protegido, de preferência em uma rede segmentada.
Os defensores também devem monitorar os logs da ID do Evento 1102, que é gerada quando o log de auditoria é limpo.
Os indicadores comportamentais observados no CSA também podem ser comandos legítimos de administração do sistema que aparecem em atividade benigna. Os defensores devem avaliar as partidas para determinar a significância, aplicando seus conhecimentos do sistema e do comportamento da linha de base.
Os pesquisadores da Microsoft e do Secureworks também divulgaram detalhes sobre as campanhas Volt Typhoon (também conhecido como Silhueta de Bronze) que detectaram. Eles compartilharam indicadores de comprometimento e orientações de mitigação e proteção.
FONTE: HELPNET SECURITY