Salt Typhoon
Salt Typhoon, noto anche con pseudonimi quali Earth Estries, FamousSparrow, GhostEmperor e UNC2286, è un gruppo di minacce persistenti avanzate (APT) specializzato in attività di cyber-spionaggio.

L'origine di Salt Typhoon
Almeno dal 2020, questo gruppo ha eseguito campagne di cyber-spionaggio altamente sofisticate a livello globale. Noto per il suo arsenale avanzato di malware e per lo sfruttamento delle vulnerabilità di zero-day , Salt Typhoon ha ampliato la sua portata per includere nuovi settori, aree geografiche più estese e tattiche più aggressive nel 2023. L'arsenale e le operazioni di questo gruppo APT dimostrano un impegno verso la furtività, la persistenza e la compromissione diffusa.
Paesi destinatari di Salt Typhoon
Dal 2023, Salt Typhoon ha colpito oltre 20 organizzazioni in tutto il mondo. I paesi colpiti includono:
- Asia-Pacifico: Afghanistan, India, Indonesia, Malesia, Pakistan, Filippine, Taiwan, Thailandia e Vietnam.
- Africa: Eswatini, Sudafrica.
- Americhe: Brasile, Stati Uniti.
Fonte dell'immagine: Trend Micro
Industrie interessate da Salt Typhoon
Salt Typhoon si rivolge ora a una gamma più ampia di settori, tra cui tecnologia, consulenza, chimica, trasporti, agenzie governative e organizzazioni no-profit, riflettendo un approccio altamente opportunistico e strategico.
Vittime prese di mira da Salt Typhoon
Le vittime sono in genere agenzie governative e aziende tecnologiche coinvolte nell'innovazione, nella difesa e nelle infrastrutture critiche nazionali. Una volta compromesse, le organizzazioni prese di mira devono spesso affrontare tattiche avanzate di movimento laterale.
Salt TyphoonMetodo di attacco

Compromette gli account amministrativi tramite furto di credenziali o infezione dimalware , spesso sfruttando SMB o Windows Management Instrumentation (WMI).
Sfrutta le vulnerabilità dei sistemi più diffusi, tra cui:
- Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
- Fortinet FortiClient EMS (CVE-2023-48788)
- Firewall Sophos (CVE-2022-3236)
- Microsoft Exchange (vulnerabilità ProxyLogon: CVE-2021-26855, ecc.)

Utilizza strumenti come il sideloading di DLL e la manipolazione del registro di sistema per ottenere l'accesso a livello di sistema.

Impiega tecniche di offuscamento, tra cui la backdoor GhostSpider e tattiche di "vita fuori dalla terraferma" con strumenti come WMIC.exe e PsExec, attacchi di downgrade di PowerShell e tecniche di mascheramento per eludere il rilevamento.

Distribuisce stealers come SnappyBee (Deed RAT) o stealers personalizzati come TrillClient per raccogliere credenziali e dati del browser.

Esegue il rilevamento della fiducia del dominio e la ricognizione della rete per mappare l'ambiente della vittima.

Propaga malware utilizzando i comandi SMB e WMI, distribuendo le backdoor su più macchine.

Si concentra su file sensibili (ad esempio, PDF) e utilizza tecniche avanzate come SnappyBee per rubare credenziali e token di sessione.

Distribuisce payload dannosi tramite Cobalt Strike, backdoor personalizzate (ad esempio, Zingdoor o GhostSpider) e HemiGate.

Trasferisce i dati raccolti su server o servizi esterni come AnonFiles, File.io e archivi pubblici.

Assicura la persistenza e rimuove le prove di infezione pulendo il sito malware dopo ogni ciclo operativo.

Compromette gli account amministrativi tramite furto di credenziali o infezione dimalware , spesso sfruttando SMB o Windows Management Instrumentation (WMI).
Sfrutta le vulnerabilità dei sistemi più diffusi, tra cui:
- Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
- Fortinet FortiClient EMS (CVE-2023-48788)
- Firewall Sophos (CVE-2022-3236)
- Microsoft Exchange (vulnerabilità ProxyLogon: CVE-2021-26855, ecc.)

Utilizza strumenti come il sideloading di DLL e la manipolazione del registro di sistema per ottenere l'accesso a livello di sistema.

Impiega tecniche di offuscamento, tra cui la backdoor GhostSpider e tattiche di "vita fuori dalla terraferma" con strumenti come WMIC.exe e PsExec, attacchi di downgrade di PowerShell e tecniche di mascheramento per eludere il rilevamento.

Distribuisce stealers come SnappyBee (Deed RAT) o stealers personalizzati come TrillClient per raccogliere credenziali e dati del browser.

Esegue il rilevamento della fiducia del dominio e la ricognizione della rete per mappare l'ambiente della vittima.

Propaga malware utilizzando i comandi SMB e WMI, distribuendo le backdoor su più macchine.

Si concentra su file sensibili (ad esempio, PDF) e utilizza tecniche avanzate come SnappyBee per rubare credenziali e token di sessione.

Distribuisce payload dannosi tramite Cobalt Strike, backdoor personalizzate (ad esempio, Zingdoor o GhostSpider) e HemiGate.

Trasferisce i dati raccolti su server o servizi esterni come AnonFiles, File.io e archivi pubblici.

Assicura la persistenza e rimuove le prove di infezione pulendo il sito malware dopo ogni ciclo operativo.
I TTP utilizzati da Salt Typhoon
Come rilevare Salt Typhoon con Vectra AI
Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che potrebbero indicare un attacco informatico.
DOMANDE FREQUENTI
Quali sono le industrie più colpite da Salt Typhoon?
Salt Typhoon si rivolge ai settori della tecnologia, della consulenza, della chimica, dei trasporti, della pubblica amministrazione e delle organizzazioni non profit.
Quali sono gli strumenti più recenti utilizzati da Salt Typhoon?
Le nuove aggiunte includono la backdoor GhostSpider, lo stealer SnappyBee e il Rootkit Demodex.
Come fa Salt Typhoon a mantenere la segretezza?
Utilizzano tecniche di vita fuori dalla terra e rootkit avanzati come Demodex.
Quali vulnerabilità sfruttano?
Gli exploit più recenti includono vulnerabilità in Ivanti Connect Secure, Sophos Firewall e Microsoft Exchange.
Come fa Salt Typhoon a esfiltrare i dati?
I dati rubati vengono caricati su AnonFiles, File.io o inviati tramite e-mail criptate.
Sono collegati ad altri gruppi?
Ci sono sovrapposizioni con le APT cinesi come FamousSparrow e altre entità legate al governo.
Come possono le organizzazioni rilevare la loro attività?
Monitoraggio di comandi PowerShell insoliti, sideloading di DLL e beacon diCobalt Strike .
Qual è la minaccia per la catena di approvvigionamento?
Salt Typhoon sfrutta le macchine degli appaltatori per infiltrarsi in più organizzazioni attraverso relazioni di fiducia nella catena di fornitura.
Quali misure mitigano gli attacchi?
Implementare gli strumenti di rilevamento diendpoint , applicare la gestione delle patch e monitorare il traffico alla ricerca di modelli C&C noti.
Qual è la risposta internazionale?
La condivisione collaborativa delle informazioni e le strategie unificate sono essenziali per mitigare la crescente minaccia.