Bollettino dei cyberattacchi: In che modo gli attori delle minacce utilizzano i certificati EV

Bollettino dei cyberattacchi: In che modo gli attori delle minacce utilizzano i certificati EV

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
  1. cybercriminels
    >
  2. Stato-Nazione Attore

Salt Typhoon

Salt Typhoon, noto anche con pseudonimi quali Earth Estries, FamousSparrow, GhostEmperor e UNC2286, è un gruppo di minacce persistenti avanzate (APT) specializzato in attività di cyber-spionaggio.

Rilevare i TTP di Salt Typhoon
La vostra organizzazione è al sicuro dagli attacchi di Salt Typhoon?
Contesto e obiettivi
TTP
Mappatura MITRE
Rilevamento
DOMANDE FREQUENTI
Guarda il Briefing sulle minacce
CONTESTO
PAESI
INDUSTRIE
VITTIME

L'origine di Salt Typhoon

Almeno dal 2020, questo gruppo ha eseguito campagne di cyber-spionaggio altamente sofisticate a livello globale. Noto per il suo arsenale avanzato di malware e per lo sfruttamento delle vulnerabilità di zero-day , Salt Typhoon ha ampliato la sua portata per includere nuovi settori, aree geografiche più estese e tattiche più aggressive nel 2023. L'arsenale e le operazioni di questo gruppo APT dimostrano un impegno verso la furtività, la persistenza e la compromissione diffusa.

Paesi destinatari di Salt Typhoon

Dal 2023, Salt Typhoon ha colpito oltre 20 organizzazioni in tutto il mondo. I paesi colpiti includono:

  • Asia-Pacifico: Afghanistan, India, Indonesia, Malesia, Pakistan, Filippine, Taiwan, Thailandia e Vietnam.
  • Africa: Eswatini, Sudafrica.
  • Americhe: Brasile, Stati Uniti.

Fonte dell'immagine: Trend Micro

Industrie interessate da Salt Typhoon

Salt Typhoon si rivolge ora a una gamma più ampia di settori, tra cui tecnologia, consulenza, chimica, trasporti, agenzie governative e organizzazioni no-profit, riflettendo un approccio altamente opportunistico e strategico.

Vittime prese di mira da Salt Typhoon

Le vittime sono in genere agenzie governative e aziende tecnologiche coinvolte nell'innovazione, nella difesa e nelle infrastrutture critiche nazionali. Una volta compromesse, le organizzazioni prese di mira devono spesso affrontare tattiche avanzate di movimento laterale.

Metodo di attacco

Salt TyphoonMetodo di attacco

Accesso iniziale
Escalation dei privilegi
Difesa Evasione
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

Compromette gli account amministrativi tramite furto di credenziali o infezione dimalware , spesso sfruttando SMB o Windows Management Instrumentation (WMI).

Sfrutta le vulnerabilità dei sistemi più diffusi, tra cui:

  • Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Firewall Sophos (CVE-2022-3236)
  • Microsoft Exchange (vulnerabilità ProxyLogon: CVE-2021-26855, ecc.)
Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Utilizza strumenti come il sideloading di DLL e la manipolazione del registro di sistema per ottenere l'accesso a livello di sistema.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Impiega tecniche di offuscamento, tra cui la backdoor GhostSpider e tattiche di "vita fuori dalla terraferma" con strumenti come WMIC.exe e PsExec, attacchi di downgrade di PowerShell e tecniche di mascheramento per eludere il rilevamento.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

Distribuisce stealers come SnappyBee (Deed RAT) o stealers personalizzati come TrillClient per raccogliere credenziali e dati del browser.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Esegue il rilevamento della fiducia del dominio e la ricognizione della rete per mappare l'ambiente della vittima.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Propaga malware utilizzando i comandi SMB e WMI, distribuendo le backdoor su più macchine.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Si concentra su file sensibili (ad esempio, PDF) e utilizza tecniche avanzate come SnappyBee per rubare credenziali e token di sessione.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Distribuisce payload dannosi tramite Cobalt Strike, backdoor personalizzate (ad esempio, Zingdoor o GhostSpider) e HemiGate.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

Trasferisce i dati raccolti su server o servizi esterni come AnonFiles, File.io e archivi pubblici.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

Assicura la persistenza e rimuove le prove di infezione pulendo il sito malware dopo ogni ciclo operativo.

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.
Accesso iniziale

Compromette gli account amministrativi tramite furto di credenziali o infezione dimalware , spesso sfruttando SMB o Windows Management Instrumentation (WMI).

Sfrutta le vulnerabilità dei sistemi più diffusi, tra cui:

  • Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Firewall Sophos (CVE-2022-3236)
  • Microsoft Exchange (vulnerabilità ProxyLogon: CVE-2021-26855, ecc.)
Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.
Escalation dei privilegi

Utilizza strumenti come il sideloading di DLL e la manipolazione del registro di sistema per ottenere l'accesso a livello di sistema.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Difesa Evasione

Impiega tecniche di offuscamento, tra cui la backdoor GhostSpider e tattiche di "vita fuori dalla terraferma" con strumenti come WMIC.exe e PsExec, attacchi di downgrade di PowerShell e tecniche di mascheramento per eludere il rilevamento.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.
Accesso alle credenziali

Distribuisce stealers come SnappyBee (Deed RAT) o stealers personalizzati come TrillClient per raccogliere credenziali e dati del browser.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.
Scoperta

Esegue il rilevamento della fiducia del dominio e la ricognizione della rete per mappare l'ambiente della vittima.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Movimento laterale

Propaga malware utilizzando i comandi SMB e WMI, distribuendo le backdoor su più macchine.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

Si concentra su file sensibili (ad esempio, PDF) e utilizza tecniche avanzate come SnappyBee per rubare credenziali e token di sessione.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

Distribuisce payload dannosi tramite Cobalt Strike, backdoor personalizzate (ad esempio, Zingdoor o GhostSpider) e HemiGate.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.
Esfiltrazione

Trasferisce i dati raccolti su server o servizi esterni come AnonFiles, File.io e archivi pubblici.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.
Impatto

Assicura la persistenza e rimuove le prove di infezione pulendo il sito malware dopo ogni ciclo operativo.

MITRE ATT&CK Mappatura

I TTP utilizzati da Salt Typhoon

TA0001: Initial Access
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1574
Hijack Execution Flow
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1574
Hijack Execution Flow
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1036
Masquerading
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1574
Hijack Execution Flow
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1056
Input Capture
TA0007: Discovery
T1482
Domain Trust Discovery
T1087
Account Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1113
Screen Capture
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
No items found.
Rilevamenti della piattaforma

Come rilevare Salt Typhoon con Vectra AI

Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che potrebbero indicare un attacco informatico.

Hidden DNS Tunnel

Hidden HTTPS Tunnel

M365 DLL Hijacking Activity

Suspicious LDAP Query

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

Visualizza altri rilevamenti
Valutare l'esposizione agli attacchi

DOMANDE FREQUENTI

Quali sono le industrie più colpite da Salt Typhoon?

Salt Typhoon si rivolge ai settori della tecnologia, della consulenza, della chimica, dei trasporti, della pubblica amministrazione e delle organizzazioni non profit.

Quali sono gli strumenti più recenti utilizzati da Salt Typhoon?

Le nuove aggiunte includono la backdoor GhostSpider, lo stealer SnappyBee e il Rootkit Demodex.

Come fa Salt Typhoon a mantenere la segretezza?

Utilizzano tecniche di vita fuori dalla terra e rootkit avanzati come Demodex.

Quali vulnerabilità sfruttano?

Gli exploit più recenti includono vulnerabilità in Ivanti Connect Secure, Sophos Firewall e Microsoft Exchange.

Come fa Salt Typhoon a esfiltrare i dati?

I dati rubati vengono caricati su AnonFiles, File.io o inviati tramite e-mail criptate.

Sono collegati ad altri gruppi?

Ci sono sovrapposizioni con le APT cinesi come FamousSparrow e altre entità legate al governo.

Come possono le organizzazioni rilevare la loro attività?

Monitoraggio di comandi PowerShell insoliti, sideloading di DLL e beacon diCobalt Strike .

Qual è la minaccia per la catena di approvvigionamento?

Salt Typhoon sfrutta le macchine degli appaltatori per infiltrarsi in più organizzazioni attraverso relazioni di fiducia nella catena di fornitura.

Quali misure mitigano gli attacchi?

Implementare gli strumenti di rilevamento diendpoint , applicare la gestione delle patch e monitorare il traffico alla ricerca di modelli C&C noti.

Qual è la risposta internazionale?

La condivisione collaborativa delle informazioni e le strategie unificate sono essenziali per mitigare la crescente minaccia.

La vostra organizzazione è al sicuro dagli attacchi di Salt Typhoon?

Valutare l'esposizione agli attacchi