Per garantire l'adozione dell'IA occorre innanzitutto garantire la visibilità
Leggi il blog
Vectra AIè stata inserita tra i leader nel Magic Quadrant di Gartner per il Network Detection and Response (NDR) del 2025
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra
Attore statale

Salt Typhoon

  1. Stato:
  1. Stato:

Salt Typhoon, noto anche con gli pseudonimi Earth Estries, FamousSparrow, GhostEmperor e UNC2286, è un gruppo di minacce persistenti avanzate (APT) specializzato in attività di spionaggio informatico.

Individuare le TTP Salt Typhoon
La tua organizzazione è al sicuro dagli attacchi Salt Typhoon?
Contesto e obiettivi
TTP
Mappatura MITRE
Rilevamento
Domande frequenti
Guarda il briefing sulle minacce
CONTESTO
PAESI
SETTORI
VITTIME

L'origine di Salt Typhoon

Almeno dal 2020, questo gruppo ha condotto campagne di spionaggio informatico estremamente sofisticate a livello globale. Noto per malware suo malware avanzato e per lo sfruttamento di zero-day , nel 2023 Salt Typhoon ampliato il proprio raggio d'azione, estendendosi a nuovi settori, nuove aree geografiche e adottando tattiche più aggressive. L'arsenale e le operazioni di questo gruppo APT dimostrano un forte orientamento alla furtività, alla persistenza e alla compromissione su larga scala.

Paesi colpiti dal Salt Typhoon

Dal 2023, Salt Typhoon colpito oltre 20 organizzazioni in tutto il mondo. Tra i paesi colpiti figurano:

  • Asia-Pacifico: Afghanistan, India, Indonesia, Malesia, Pakistan, Filippine, Taiwan, Thailandia e Vietnam.
  • Africa: Eswatini, Sudafrica.
  • Americhe: Brasile, Stati Uniti.
Fonte dell'immagine: Trend Micro

Settori di riferimento di Salt Typhoon

Salt Typhoon punta Salt Typhoon a un ventaglio più ampio di settori, tra cui quello tecnologico, della consulenza, chimico, dei trasporti, delle agenzie governative e delle organizzazioni no profit, riflettendo un approccio altamente opportunistico e strategico.

Vittime prese di mira da Salt Typhoon

Tra le vittime figurano solitamente enti governativi e aziende tecnologiche operanti nei settori dell'innovazione, della difesa e delle infrastrutture nazionali critiche. Una volta compromesse, le organizzazioni prese di mira si trovano spesso a dover affrontare sofisticate tattiche di movimento laterale.

Metodo di attacco

Il metodo di attacco Salt Typhoon

Accesso iniziale
Escalation dei privilegi
Resistenza ed elusione delle difese
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.

Compromette gli account amministrativi tramite il furto di credenziali o malware , spesso sfruttando il protocollo SMB o Windows Management Instrumentation (WMI).

Sfrutta le vulnerabilità presenti in sistemi di largo uso, tra cui:

  • Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Sophos Firewall (CVE-2022-3236)
  • Microsoft Exchange (vulnerabilità di ProxyLogon: CVE-2021-26855, ecc.)
Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.

Utilizza strumenti quali il sideloading delle DLL e la manipolazione del Registro di sistema per ottenere l'accesso a livello di sistema.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Utilizza tecniche di offuscamento, tra cui la backdoor GhostSpider e tattiche "living-off-the-land" con strumenti come WMIC.exe e PsExec, attacchi di downgrade di PowerShell e tecniche di mascheramento per eludere il rilevamento.

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.

Distribuisce programmi di furto come SnappyBee (Deed RAT) o strumenti personalizzati come TrillClient per raccogliere credenziali e dati del browser.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.

Esegue l'individuazione dei rapporti di fiducia tra domini e la ricognizione della rete per mappare l'ambiente della vittima.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.

Diffonde malware comandi SMB e WMI, installando backdoor su più computer.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Si concentra sui file sensibili (ad esempio i PDF) e utilizza tecniche avanzate come SnappyBee per sottrarre credenziali e token di sessione.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Distribuisce payload dannosi tramite Cobalt Strike, backdoor personalizzate (ad esempio Zingdoor o GhostSpider) e HemiGate.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.

Trasferisce i dati raccolti a server o servizi esterni come AnonFiles, File.io e archivi pubblici.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.

Garantisce la persistenza ed elimina ogni traccia dell'infezione, rimuovendo malware presente malware ogni ciclo operativo.

Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.
Accesso iniziale

Compromette gli account amministrativi tramite il furto di credenziali o malware , spesso sfruttando il protocollo SMB o Windows Management Instrumentation (WMI).

Sfrutta le vulnerabilità presenti in sistemi di largo uso, tra cui:

  • Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Sophos Firewall (CVE-2022-3236)
  • Microsoft Exchange (vulnerabilità di ProxyLogon: CVE-2021-26855, ecc.)
Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.
Escalation dei privilegi

Utilizza strumenti quali il sideloading delle DLL e la manipolazione del Registro di sistema per ottenere l'accesso a livello di sistema.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Evasione difensiva

Utilizza tecniche di offuscamento, tra cui la backdoor GhostSpider e tattiche "living-off-the-land" con strumenti come WMIC.exe e PsExec, attacchi di downgrade di PowerShell e tecniche di mascheramento per eludere il rilevamento.

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.
Accesso alle credenziali

Distribuisce programmi di furto come SnappyBee (Deed RAT) o strumenti personalizzati come TrillClient per raccogliere credenziali e dati del browser.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.
Scoperta

Esegue l'individuazione dei rapporti di fiducia tra domini e la ricognizione della rete per mappare l'ambiente della vittima.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.
Movimento laterale

Diffonde malware comandi SMB e WMI, installando backdoor su più computer.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

Si concentra sui file sensibili (ad esempio i PDF) e utilizza tecniche avanzate come SnappyBee per sottrarre credenziali e token di sessione.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

Distribuisce payload dannosi tramite Cobalt Strike, backdoor personalizzate (ad esempio Zingdoor o GhostSpider) e HemiGate.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.
Esfiltrazione

Trasferisce i dati raccolti a server o servizi esterni come AnonFiles, File.io e archivi pubblici.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.
Impatto

Garantisce la persistenza ed elimina ogni traccia dell'infezione, rimuovendo malware presente malware ogni ciclo operativo.

MITRE ATT&CK

TTP utilizzati da Salt Typhoon

TA0001: Initial Access
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1574
Hijack Execution Flow
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1574
Hijack Execution Flow
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1036
Masquerading
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1574
Hijack Execution Flow
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1056
Input Capture
TA0007: Discovery
T1482
Domain Trust Discovery
T1087
Account Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1113
Screen Capture
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
No items found.
Rilevamenti della piattaforma

Come rilevare Salt Typhoon Vectra AI

Elenco dei rilevamenti disponibili nella Vectra AI che potrebbero indicare un attacco informatico.

Hidden DNS Tunnel

Hidden HTTPS Tunnel

M365 DLL Hijacking Activity

Suspicious LDAP Query

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

Visualizza altri rilevamenti
Valuta la tua vulnerabilità agli attacchi

La tua organizzazione è al sicuro dagli attacchi Salt Typhoon?

Valuta la tua vulnerabilità agli attacchi

Domande frequenti

Quali sono i settori più colpiti da Salt Typhoon?

Quali sono gli strumenti più recenti utilizzati da Salt Typhoon?

In che modo Salt Typhoon riesce a Salt Typhoon l'invisibilità?

Quali vulnerabilità sfruttano?

In che modo Salt Typhoon i dati?

Sono collegati ad altri gruppi?

In che modo le organizzazioni possono monitorare la propria attività?

Qual è il rischio per la catena di approvvigionamento?

Quali misure consentono di mitigare gli attacchi?

Qual è la reazione a livello internazionale?