Volt Typhoon APT Group

SecurityScorecard的STRIKE团队揭露了Volt Typhoon的卷土重来,这是一个由国家支持的高级持续威胁(APT)行动者,利用被入侵的传统设备瞄准关键基础设施。

SecurityScorecard的STRIKE团队在一份新报告中详细描述了Volt Typhoon这个来自亚太地区的复杂网络间谍组织令人震惊的卷土重来。这个 APT 行动者以其隐蔽性和持久性著称,正利用过时网络设备中的漏洞,积极瞄准关键基础设施领域。

STRIKE 小组断言:“这不是普通的攻击。伏特台,利用目标关键基础设施中未受保护的过时边缘设备。该组织专门针对政府和关键基础设施组织中普遍使用的传统思科和 Netgear 路由器,将这些设备重新用作僵尸网络基础设施中的操作节点。”

隐蔽对手不断演变的战术

伏特台风 “的操作弹性和自适应战术对网络防御者构成了巨大挑战。STRIKE 小组调查的主要发现包括

利用传统漏洞: APT 组织有计划地将目标锁定在已知存在关键漏洞的报废设备上,如思科 RV320/325 路由器。“报告指出:”在短短 37 天内,Volt Typhoon 入侵了 30% 的可见思科 RV320/325 路由器。

混淆和规避: 被入侵的路由器被整合到一个隐蔽的传输网络中,在模仿合法网络流量的同时实现数据外泄。这种策略能有效伪装恶意活动,阻碍检测工作。

具有战略枢纽的全球分布式基础设施: 伏特台风 “在欧洲各地设有指挥和控制服务器,并利用新喀里多尼亚的一个被入侵的 VPN 设备作为战略支点,在亚太地区和美洲之间路由流量。

快速基础设施再生: 伏特台风 “展示了非凡的恢复能力,在执法部门中断后迅速重建基础设施。“报告显示:”伏特台风迅速在 Digital Ocean、Quadranet 和 Vultr 上建立了新的指挥服务器,注册了新的 SSL 证书,以躲避当局的追查。

勒索软件与人工智能威胁的相互作用

虽然 Volt Typhoon 目前的行动并不涉及直接部署勒索软件,但该组织在勒索软件即服务(RaaS)模式显著影响的威胁环境中开展行动。STRIKE 小组强调,“由赎金资助的黑客攻击技术的进步助长了新一轮的攻击浪潮”,这有可能为伏特台风公司这样的 APT 行动者提供更先进的工具和技术。此外,人工智能与攻击方法的潜在结合也引发了人们对未来针对关键基础设施的网络威胁的复杂性和规避性的担忧。

行动呼吁: 加强关键基础设施防御

SecurityScorecard 的报告为在关键基础设施领域运营的组织敲响了警钟。“报告总结说:”伏特台风既是一个有弹性的僵尸网络,也是一个警示。为了降低这一持续性威胁带来的风险,各组织必须优先考虑以下几点:

遗留系统现代化: 加快更换过时和易受攻击的网络设备,尤其是报废的路由器和其他边缘设备。

加强供应链安全: 对第三方供应商实施强大的安全评估和持续监控,最大限度地减少供应链漏洞。

前瞻性威胁捕猎和检测: 投资先进的威胁检测解决方案和主动威胁猎杀功能,以识别和应对复杂的 APT 活动。

文章原文链接:https://www.anquanke.com/post/id/301893