Salt Typhoon
Salt Typhoon, noto anche con pseudonimi quali Earth Estries, FamousSparrow, GhostEmperor e UNC2286, è un gruppo APT (Advanced Persistent Threat) specializzato in attività di spionaggio informatico.
L'origine del Salt Typhoon
Almeno dal 2020, questo gruppo ha condotto campagne di spionaggio informatico altamente sofisticate a livello globale. Noto per malware suo malware avanzato e lo sfruttamento delle zero-day , Salt Typhoon ampliato il proprio raggio d'azione includendo nuovi settori industriali, aree geografiche più estese e tattiche più aggressive nel 2023. L'arsenale e le operazioni di questo gruppo APT dimostrano un impegno verso la furtività, la persistenza e la compromissione su larga scala.
Paesi colpiti dal Salt Typhoon
Dal 2023, Salt Typhoon colpito oltre 20 organizzazioni in tutto il mondo. Tra i paesi colpiti figurano:
- Asia-Pacifico: Afghanistan, India, Indonesia, Malesia, Pakistan, Filippine, Taiwan, Thailandia e Vietnam.
- Africa: Eswatini, Sudafrica.
- Americhe: Brasile, Stati Uniti.
Settori interessati da Salt Typhoon
Salt Typhoon punta Salt Typhoon a un ventaglio più ampio di settori, tra cui tecnologia, consulenza, chimica, trasporti, agenzie governative e organizzazioni no profit, riflettendo un approccio altamente opportunistico e strategico.
Vittime prese di mira dal Salt Typhoon
Le vittime sono in genere agenzie governative e aziende tecnologiche coinvolte nell'innovazione, nella difesa e nelle infrastrutture nazionali critiche. Una volta compromesse, le organizzazioni prese di mira spesso devono affrontare tattiche avanzate di movimento laterale.
Metodo di attacco Salt Typhoon
Compromette gli account amministrativi tramite furto di credenziali o malware , spesso sfruttando SMB o Windows Management Instrumentation (WMI).
Sfrutta le vulnerabilità dei sistemi più diffusi, tra cui:
- Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
- Fortinet FortiClient EMS (CVE-2023-48788)
- Sophos Firewall (CVE-2022-3236)
- Microsoft Exchange (vulnerabilità ProxyLogon: CVE-2021-26855, ecc.)
Utilizza strumenti quali il sideloading di DLL e la manipolazione del registro di sistema per ottenere l'accesso a livello di sistema.
Utilizza tecniche di offuscamento tra cui il backdoor GhostSpider e tattiche "living-off-the-land" con strumenti come WMIC.exe e PsExec, attacchi di downgrade PowerShell e tecniche di mascheramento per eludere il rilevamento.
Distribuisce programmi di furto come SnappyBee (Deed RAT) o programmi personalizzati come TrillClient per raccogliere credenziali e dati del browser.
Esegue il rilevamento della fiducia del dominio e la ricognizione della rete per mappare l'ambiente della vittima.
Propaga malware comandi SMB e WMI, distribuendo backdoor su più macchine.
Si concentra su file sensibili (ad esempio PDF) e utilizza tecniche avanzate come SnappyBee per rubare credenziali e token di sessione.
Distribuisce payload dannosi tramite Cobalt Strike, backdoor personalizzate (ad esempio Zingdoor o GhostSpider) e HemiGate.
I trasferimenti raccoglievano dati su server esterni o servizi come AnonFiles, File.io e archivi pubblici.
Garantisce la persistenza e rimuove le tracce dell'infezione ripulendo malware esistente malware ogni ciclo operativo.
Compromette gli account amministrativi tramite furto di credenziali o malware , spesso sfruttando SMB o Windows Management Instrumentation (WMI).
Sfrutta le vulnerabilità dei sistemi più diffusi, tra cui:
- Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
- Fortinet FortiClient EMS (CVE-2023-48788)
- Sophos Firewall (CVE-2022-3236)
- Microsoft Exchange (vulnerabilità ProxyLogon: CVE-2021-26855, ecc.)
Utilizza strumenti quali il sideloading di DLL e la manipolazione del registro di sistema per ottenere l'accesso a livello di sistema.
Utilizza tecniche di offuscamento tra cui il backdoor GhostSpider e tattiche "living-off-the-land" con strumenti come WMIC.exe e PsExec, attacchi di downgrade PowerShell e tecniche di mascheramento per eludere il rilevamento.
Distribuisce programmi di furto come SnappyBee (Deed RAT) o programmi personalizzati come TrillClient per raccogliere credenziali e dati del browser.
Esegue il rilevamento della fiducia del dominio e la ricognizione della rete per mappare l'ambiente della vittima.
Propaga malware comandi SMB e WMI, distribuendo backdoor su più macchine.
Si concentra su file sensibili (ad esempio PDF) e utilizza tecniche avanzate come SnappyBee per rubare credenziali e token di sessione.
Distribuisce payload dannosi tramite Cobalt Strike, backdoor personalizzate (ad esempio Zingdoor o GhostSpider) e HemiGate.
I trasferimenti raccoglievano dati su server esterni o servizi come AnonFiles, File.io e archivi pubblici.
Garantisce la persistenza e rimuove le tracce dell'infezione ripulendo malware esistente malware ogni ciclo operativo.
TTP utilizzati da Salt Typhoon
Come rilevare Salt Typhoon Vectra AI
Elenco delle rilevazioni disponibili nella Vectra AI che potrebbero indicare un attacco informatico.
Domande frequenti
Quali sono i settori più colpiti dal Salt Typhoon?
Salt Typhoon della tecnologia, della consulenza, chimico, dei trasporti, governativo e no profit.
Quali sono gli strumenti più recenti utilizzati da Salt Typhoon?
Le nuove aggiunte includono la backdoor GhostSpider, lo stealer SnappyBee e il rootkit Demodex.
Come fa Salt Typhoon a Salt Typhoon la sua invisibilità?
Utilizzano tecniche di sopravvivenza basate sui prodotti della terra e rootkit avanzati come Demodex.
Quali vulnerabilità sfruttano?
Tra le recenti vulnerabilità sfruttate figurano quelle presenti in Ivanti Connect Secure, Sophos Firewall e Microsoft Exchange.
In che modo Salt Typhoon i dati?
I dati rubati vengono caricati su AnonFiles, File.io o inviati tramite e-mail crittografate.
Sono collegati ad altri gruppi?
Esistono sovrapposizioni con APT cinesi quali FamousSparrow e altre entità collegate al governo.
Come possono le organizzazioni rilevare la loro attività?
Monitorare comandi PowerShell insoliti, sideloading di DLL e Cobalt Strike .
Qual è la minaccia alla catena di approvvigionamento?
Salt Typhoon i computer degli appaltatori per infiltrarsi in diverse organizzazioni attraverso relazioni di fiducia nella catena di fornitura.
Quali misure mitigano gli attacchi?
Implementare strumentiendpoint , applicare la gestione delle patch e monitorare il traffico alla ricerca di modelli C&C noti.
Qual è la risposta internazionale?
La condivisione collaborativa delle informazioni e strategie unificate sono essenziali per mitigare la crescente minaccia.