La National Security Company (NSA) et les agences partenaires de 5 Eyes ont identifié des signes de compromission associés à une cyber-star parrainée par l’État de la République populaire de Chine (RPC) appelée la tempête tropicale Volt, qui vit de la techniques terrestres pour cibler les réseaux à travers les infrastructures vitales des États-Unis.
Volt Hurricane aime vivre de la terre
L’avis conjoint sur la cybersécurité donne un aperçu des conseils de recherche et des meilleures pratiques associées. Il se compose d’exemples de commandes de l’acteur et de signatures de détection.
Les sociétés auteurs incluent également un résumé des indices de compromission (IOC), tels que des chaînes de ligne de commande uniques, des hachages, des chemins de fichiers, l’exploitation des vulnérabilités CVE-2021-40539 et CVE-2021-27860 , et les noms de fichiers couramment utilisés par cet acteur.
Comme l’une de leurs principales méthodes, méthodes et procédures (TTP) pour vivre de la terre, l’acteur PRC utilise des outils actuellement installés ou intégrés dans le système d’une cible . Cela permet à l’acteur d’éviter la détection en se fondant dans les systèmes Windows et les activités réseau typiques, en évitant les produits de détection et de réponse des terminaux (EDR) et en limitant la quantité d’activité capturée dans les configurations de journalisation par défaut.
Détection et la recherche de menaces
La NSA suggère aux défenseurs du réseau d’appliquer les conseils de détection et de recherche de l’avis de cybersécurité, tels que la journalisation et la surveillance de l’exécution de la ligne de commande et des événements WMI, en plus d’assurer la stabilité du journal en utilisant un serveur de journalisation centralisé solidifié, idéalement sur un réseau segmenté.
Les protecteurs doivent également garder un œil sur les journaux pour l’ID d’événement 1102, qui est créé lorsque le journal d’audit est effacé.
Le Les indicateurs de comportement notés dans le CSA peuvent également être des commandes d’administration système légitimes qui apparaissent dans une activité bénigne. Les défenseurs doivent examiner les correspondances pour identifier la signification, en appliquant leur connaissance du système et du comportement de base.
Les scientifiques de Microsoft et de Secureworks ont également publié des détails sur les campagnes du cyclone Volt Tropical (alias Bronze Shape) qu’ils ont découvertes. Ils ont en fait partagé des signes de compromis et des conseils d’atténuation et de sécurité.
Toute l’actualité en temps réel, est sur L’Entrepreneur
