【要点】
◎2023年5月に活動が明らかになった中国のサイバー犯罪組織。IoT機器を乗っ取り C2サーバー(ボットネット)として使用
【目次】
概要
【Volt Typhoon】
◆KV Botnet (まとめ)
https://malware-log.hatenablog.com/entry/KV_Botnet
【別名】
| 攻撃組織名 |
命名組織 |
|---|---|
| Bronze Silhouette | Secureworks |
| Dev-0391 | Microsoft |
| Insidious Taurus | UNIT42(Paloalto) |
| Redfly | Symantec |
| Storm-0391 | Microsoft |
| UNC3236 | Mandiant |
| Vanguard Panda | Crowdstrike |
| Volt Typhoon | Microsoft |
| Voltzite | Dragos |
【キャンペーン】
◆Operation: Blotless (まとめ)
https://malware-log.hatenablog.com/entry/Blotless
【辞書】
◆Volt Typhoon (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/actor/volt_typhoon
◆Volt Typhoon (ATT&CK)
https://attack.mitre.org/groups/G1017/
◆Volt Typhoon (Wikipedia)
https://en.wikipedia.org/wiki/Volt_Typhoon
【概要】
| 項目 |
内容 |
|---|---|
| ATT&CK ID | G1017 |
| 活動開始時期 | 2021年以前 |
| 関係国 | 中国 |
| 侵入手口 | Fortinet FortiGuard 経由でアクセス Active Directoryアカウントの認証情報を抽出 他のデバイスの認証を試みる |
| 侵入後の動き | コマンドラインを通じて実際にキーボードを操作し攻撃 LoL(living-off-the-land) (ほとんどマルウェアを使用しない) |
| 有効な対策 | lsass.exeからの資格情報の窃取をブロック PSExecおよびWMIコマンドから生成されたプロセス作成をブロック 難読化されたスクリプトの実行をブロック |
| ボットネット名 | KV Botnet |
| 特徴 | ・長期間システムに潜伏することを優先 ・認証情報の窃取以外の目立つ活動は原則しない ・発見される可能性のあるマルウェアは用いず ・環境に元から存在するソフトウェアを活用して認証情報の窃取する ・攻撃の痕跡(ログ)をほとんど残さないことから、検出は非常に難しい |
■キャンペーン
| キャンペーン名 |
備考 |
|---|---|
| Blotless |
■侵害調査方法
| 項目 |
内容 |
|---|---|
| ドメインコントローラ(DC)のログ調査 | ●ADデータベースファイルの持ち出し試行を調査 ・「ntdsutil.exe」、「vssadmin.exe」の実行ログや、イベントID「8222」、「7036」、「216」の存在を確認 ●イベントログの削除試行を調査 ・具体的にはイベントID「104」の存在を確認 ●PowerShellの実行履歴に不審なものがないかを調査 |
| Webサーバおよびネットワーク機器の調査 | ・Webシェルなどのバックドアが設置されていないか調査 |
| リバースプロキシの調査 | ・悪用可能なツールが存在しないか調査 *1 |
| SSL-VPN機器のログおよび管理者アカウントの調査 | ・VPN機器のログに不審な点がないかどうかを調査 ・管理者アカウントの不正アクセスを調査 |
【最新情報】
◆China’s Volt Typhoon Hackers Dwelled in US Electric Grid for 300 Days (Security Week, 2025/03/12)
[中国のボルト台風ハッカーは300日間アメリカの電力網に潜伏していた]
https://www.securityweek.com/chinas-volt-typhoon-hackers-dwelled-in-us-electric-grid-for-300-days/
⇒ https://malware-log.hatenablog.com/entry/2025/03/12/000000_1
⇒ https://incidents.hatenablog.com/entry/2025/03/12/000000_1 [TT Incident Log]
◆中国のハッキンググループ『Volt Typhoon』、米国小規模電力会社を攻撃:古いファイアウォールの脆弱性が原因 (InnovaTopia, 2025/03/13 08:01)
https://innovatopia.jp/cyber-security/cyber-security-news/49234/
⇒ https://malware-log.hatenablog.com/entry/2025/03/13/000000
◆中国脅威グループ、300日にわたり電力水道局に潜伏 (マイナビニュース, 2025/03/19 07:46)
https://news.mynavi.jp/techplus/article/20250319-3152998/
⇒ https://malware-log.hatenablog.com/entry/2025/03/19/000000
⇒ https://incidents.hatenablog.com/entry/2025/03/19/000000 [TT Incident Log]
◆中国政府高官が非公式に脅威アクター「ボルト・タイフーン」への関与を認めていたとの報道に中国大使館は「事実無根の中傷に断固抗議」と反応 (Gigazine, 2025/04/11 11:25)
https://gigazine.net/news/20250411-china-us-infrastructure-attacks/
⇒ https://malware-log.hatenablog.com/entry/2025/04/11/000000_1
◆中国政府、米重要インフラ狙いハッキングか 高官が関与を示唆、台湾問題で警告か (産経新聞, 2025/04/12 07:17)
https://www.sankei.com/article/20250412-AKVL3R4KKJJMJAGEZTG2T2S6VU/
⇒ https://malware-log.hatenablog.com/entry/2025/04/12/000000
記事
【ニュース】
■2023年
◇2023年5月
◆米国の重要インフラを狙う中国の集団「Volt Typhoon」、マイクロソフトが警告 (ZDNet, 2023/05/25 11:23)
https://japan.zdnet.com/article/35204296/
⇒ https://malware-log.hatenablog.com/entry/2023/05/25/000000_1
◆中国政府系ハッカー集団「ボルト・タイフーン」が重要インフラを標的としたスパイ活動をしているとMicrosoftが警告 (Gigazine, 2023/05/25 11:33)
https://gigazine.net/news/20230525-volt-typhoon-target-us-infrastructure/
⇒ https://malware-log.hatenablog.com/entry/2023/05/25/000000_2
◆Factbox: What is Volt Typhoon, the alleged China-backed hacking group? (ロイター, 2023/05/26 03:21)
[Factbox: 中国が支援したハッキング集団とされるVolt Typhoonとは何か?]
https://www.reuters.com/technology/what-is-volt-typhoon-alleged-china-backed-hacking-group-2023-05-25/
⇒ https://malware-log.hatenablog.com/entry/2023/05/26/000000_1
◆Factbox: What is Volt Typhoon, the alleged China-backed hacking group? (ロイター, 2023/05/26 03:21)
[Factbox: 中国が支援したハッキング集団とされるVolt Typhoonとは何か?]
https://www.reuters.com/technology/what-is-volt-typhoon-alleged-china-backed-hacking-group-2023-05-25/
⇒ https://malware-log.hatenablog.com/entry/2023/05/26/000000_1
◇2023年6月
◆重要インフラ狙う中国関与の「Volt Typhoon」攻撃 - 中小企業も攻撃の踏み台に (Security NEXT, 2023/06/01)
https://www.security-next.com/146577
⇒ https://malware-log.hatenablog.com/entry/2023/06/01/000000
◆Microsoftが警告 ハッキング集団「Volt Typhoon」の手口と対処法 (@IT, 2023/06/10 08:00)
https://atmarkit.itmedia.co.jp/ait/articles/2306/10/news051.html
⇒ https://malware-log.hatenablog.com/entry/2023/06/10/000000
■2024年
◇2024年2月
◆FBI、シスコとNetGearのルータからマルウェアを削除する措置 (2024/02/05 08:17)
https://news.mynavi.jp/techplus/article/20240205-2877250/
⇒ https://malware-log.hatenablog.com/entry/2024/02/05/000000_4
◆Chinese hackers fail to rebuild botnet after FBI takedown (BleepingComputer, 2024/02/07 10:00)
[中国のハッカー、FBIの摘発後もボットネットの再構築に失敗]
https://www.bleepingcomputer.com/news/security/chinese-hackers-fail-to-rebuild-botnet-after-fbi-takedown/
⇒ https://malware-log.hatenablog.com/entry/2024/02/07/000000_4
◆China-backed Volt Typhoon hackers have lurked inside US critical infrastructure for ‘at least five years’ (TechCrunch, 2024/02/07)
[中国が支援するハッカー集団「Volt Typhoon」は、「少なくとも5年間」、米国の重要インフラに潜んでいた]
https://techcrunch.com/2024/02/07/china-backed-volt-typhoon-hackers-have-lurked-inside-us-critical-infrastructure-for-at-least-five-years/
⇒ https://malware-log.hatenablog.com/entry/2024/02/07/000000_9
