Bollettino dei cyberattacchi: Difesa contro il ransomware Codefinger in AWS S3

Bollettino dei cyberattacchi: Difesa contro il ransomware Codefinger in AWS S3

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Video

Briefing sulle minacce di Vectra AI : Salt Typhoon

Briefing sulle minacce di Vectra AI : Salt Typhoon
Briefing sulle minacce di Vectra AI : Salt Typhoon
Selezionare la lingua da scaricare
Scaricare
Rapporto di accesso
Grazie per il download!
Accedete alla vostra offerta gratuita qui sotto.
Scaricare
Scaricare
Scarica in francese
Scarica in tedesco
Scarica in spagnolo
Scarica in giapponese
Scarica in italiano

Come funziona Salt Typhoon ?

Salt Typhoon segue una sequenza di attacco strutturata utilizzando gli strumenti integrati di Windows per evitare il rilevamento. Ecco una descrizione delle tattiche e dei comandi utilizzati.

1. Accesso iniziale

Salt Typhoon sfrutta principalmente i server rivolti al pubblico con vulnerabilità note. Invece di affidarsi al phishing, preferisce gli exploit N-day e zero-day per ottenere l'esecuzione di codice remoto (RCE).

2. Esecuzione e persistenza

Una volta ottenuto l'accesso, eseguono payload dannosi e assicurano la persistenza utilizzando gli strumenti di Windows.

Esecuzione di PowerShell:

Utilizzano PowerShell per eseguire script senza restrizioni:

powershell -ex bypass -c "<password>"
  • -ex bypass: Sovrascrive il criterio di esecuzione per consentire l'esecuzione dello script.
  • <password>: Chiave utilizzata per decifrare lo script, che di solito è criptato.

Persistenza del registro:

Per assicurarsi che malware venga eseguito ogni volta che un utente si collega, aggiungono una chiave di registro:

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "<malware_name>" /t REG_SZ /d "<malware_path>" /f
  • "HKCU\Software\Microsoft\Windows\CurrentVersion\Run": Posizione del registro per i programmi ad avvio automatico.
  • REG_SZ: Specifica un valore stringa (il percorso malware ).
  • /f: Forza l'esecuzione senza conferma.

3. Ricognizione

Salt Typhoon raccoglie informazioni sull'ambiente prima di eseguire l'escalation dei privilegi.

Utilizzo di WMIC (Windows Management Instrumentation Command-line)

wmic process get name,processid,commandline
  • Elenca tutti i processi in esecuzione e gli argomenti della riga di comando.

Utilizzo gruppo netto per identificare gli amministratori di dominio

cmd /c "gruppo net 'amministratori di dominio' /dominio"
  • Interroga Active Directory per trovare gli account di amministrazione del dominio.
  • /dominio: Assicura che la query si applichi al dominio Active Directory invece che al solo computer locale.

4. Furto di credenziali ed escalation di privilegi

Dopo la ricognizione, aumentano i privilegi e rubano le credenziali.

Distribuzione di strumenti per il furto di credenziali

Installano strumenti come:

  • Mimikatz (estrae le credenziali a memoria).
  • Keylogger (registra i tasti premuti).
  • Utilità per il dumping delle credenziali.

Escalation dei privilegi tramite Cobalt Strike

Schierano Cobalt Strike, uno strumento legittimo di red teaming, per ottenere i privilegi di SISTEMA e penetrare più a fondo nella rete.

5. Movimento laterale

Salt Typhoon si diffonde attraverso la rete utilizzando varie utility di Windows.

Copia di un file batch su un'altra macchina

copy \\<target_ip>\C$\Windows\Temp\malware.bat
  • Utilizzi \\<target_ip> per specificare una cartella condivisa su un altro computer.
  • Posiziona uno script batch (.bat) da eseguire in remoto.

Esecuzione dello script copiato tramite WMIC

wmic /node:<target_ip> process call create "cmd /c C:\Windows\Temp\malware.bat"
  • /node:<target_ip>: Specifica l'opzione macchina target.
  • processo di chiamata creare: Esegue un processo in remoto.
  • cmd /c: Esegue il file batch copiato.

Creare una backdoor utilizzando i servizi di Windows (sc creare)

sc \\<target_ip> create VGAuthtools binpath= "C:\Windows\System32\installutil.exe C:\Windows\Temp\malware.exe" start= auto type= own
  • sc: Utilità di controllo dei servizi di Windows.
  • \\<target_ip>: Crea il servizio a distanza su un'altra macchina.
  • Strumenti VGA: Traveste il malware da strumento legittimo.
  • percorso binario: Usi installutil.exe (a strumento legittimo di Windows) per eseguire il programma carico utile dannoso.
  • inizio= auto: Assicura la persistenza riavviando il malware a ogni riavvio della macchina.

6. Command & Control (C2) + esfiltrazione dei dati

Salt Typhoon stabilisce una comunicazione persistente con i loro server C2.

Cobalt Strike e Demodex Malware

  • Invia "battiti cardiaci" per segnalare le macchine compromesse.
  • Riceve nuove istruzioni e aggiornamenti.
  • Esfiltra le credenziali rubate e i dati sensibili.

Abuso dei servizi Cloud pubblici per l'esfiltrazione

Salt Typhoon evita il rilevamento utilizzando piattaforme affidabili per caricare i dati rubati:

  • AnonFiles
  • File.io
  • GitHub
  • Gmail

7. Spionaggio e impatto in corso

Salt Typhoon monitora continuamente le reti compromesse e ruba i dati sensibili per un periodo prolungato.

    ----

    Come può Vectra AI rilevare questi attacchi?

    La piattaforma di Vectra AIsi concentra sui comportamenti reali di attacco, non solo sulle minacce note. Ciò consente di rilevare attivitàSalt Typhoon anche quando gli aggressori utilizzano strumenti Windows integrati.

    • ‍Accesso remoto ed esecuzione insoliti
    • Attività Kerberos sospette
    • Anomalie dei privilegi e tentativi di brute-force SMB
    • Tunnel nascosti e attività PowerShell sospette

    Scoprite di più sui nostri rilevamenti guidati dall'intelligenza artificiale o provate la nostra demo autoguidata.

    Fiducia da parte di esperti e aziende di tutto il mondo

    DOMANDE FREQUENTI