Volt Typhoon (まとめ) - TT Malware Log

【要点】

◎2023年5月に活動が明らかになった中国のサイバー犯罪組織。IoT機器を乗っ取り C2サーバー(ボットネット)として使用

【目次】

概要
記事
関連情報
- 【関連まとめ記事】

概要

【別名】

攻撃組織名	命名組織
Volt Typhoon	Microsoft
Bronze Silhouette	Dell Secureworks

【キャンペーン】

◆Operation: Blotless (まとめ)
https://malware-log.hatenablog.com/entry/Blotless

【辞書】

◆Volt Typhoon (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/actor/volt_typhoon

【概要】

項目	内容
侵入手口	Fortinet FortiGuard 経由でアクセス Active Directoryアカウントの認証情報を抽出他のデバイスの認証を試みる
侵入後の動き	コマンドラインを通じて実際にキーボードを操作し攻撃 LoL(living-off-the-land) (ほとんどマルウェアを使用しない)
有効な対策	lsass.exeからの資格情報の窃取をブロック PSExecおよびWMIコマンドから生成されたプロセス作成をブロック難読化されたスクリプトの実行をブロック
ボットネット名	KV Botnet
特徴	・長期間システムに潜伏することを優先・認証情報の窃取以外の目立つ活動は原則しない・発見される可能性のあるマルウェアは用いず・環境に元から存在するソフトウェアを活用して認証情報の窃取する・攻撃の痕跡(ログ)をほとんど残さないことから、検出は非常に難しい

■キャンペーン

キャンペーン名	備考
Blotless

■侵害調査方法

項目	内容
ドメインコントローラ(DC)のログ調査	●ADデータベースファイルの持ち出し試行を調査　　・「ntdsutil.exe」、「vssadmin.exe」の実行ログや、イベントID「8222」、「7036」、「216」の存在を確認 ●イベントログの削除試行を調査　　・具体的にはイベントID「104」の存在を確認 ●PowerShellの実行履歴に不審なものがないかを調査
Webサーバおよびネットワーク機器の調査	・Webシェルなどのバックドアが設置されていないか調査
リバースプロキシの調査	・悪用可能なツールが存在しないか調査 *1
SSL-VPN機器のログおよび管理者アカウントの調査	・VPN機器のログに不審な点がないかどうかを調査・管理者アカウントの不正アクセスを調査

【最新情報】

◆ハッカー集団「ボルト・タイフーン」の背後に中国政府がいるというアメリカ政府とMicrosoftの主張を中国側が「自作自演の茶番」だと否定 (Gigazine, 2024/10/16 20:00)
https://gigazine.net/news/20241016-chinese-agency-rejects-us-hacking-claims/
⇒ https://malware-log.hatenablog.com/entry/2024/10/16/000000_2

◆Volt Typhoon rebuilds malware botnet following FBI disruption (BleepingComputer, 2024/11/12 10:49)
[FBIの撲滅作戦を受け、ボルトタイフーンがマルウェアボットネットを再構築]
https://www.bleepingcomputer.com/news/security/volt-typhoon-rebuilds-malware-botnet-following-fbi-disruption/
⇒ https://malware-log.hatenablog.com/entry/2024/11/12/000000

記事

【ニュース】

■2023年

◇2023年5月

◆米国の重要インフラを狙う中国の集団「Volt Typhoon」、マイクロソフトが警告 (ZDNet, 2023/05/25 11:23)
https://japan.zdnet.com/article/35204296/
⇒ https://malware-log.hatenablog.com/entry/2023/05/25/000000_1

◆中国政府系ハッカー集団「ボルト・タイフーン」が重要インフラを標的としたスパイ活動をしているとMicrosoftが警告 (Gigazine, 2023/05/25 11:33)
https://gigazine.net/news/20230525-volt-typhoon-target-us-infrastructure/
⇒ https://malware-log.hatenablog.com/entry/2023/05/25/000000_2

◆Factbox: What is Volt Typhoon, the alleged China-backed hacking group? (ロイター, 2023/05/26 03:21)
[Factbox: 中国が支援したハッキング集団とされるVolt Typhoonとは何か？]
https://www.reuters.com/technology/what-is-volt-typhoon-alleged-china-backed-hacking-group-2023-05-25/
⇒ https://malware-log.hatenablog.com/entry/2023/05/26/000000_1

◇2023年6月

◆重要インフラ狙う中国関与の「Volt Typhoon」攻撃 - 中小企業も攻撃の踏み台に (Security NEXT, 2023/06/01)
https://www.security-next.com/146577
⇒ https://malware-log.hatenablog.com/entry/2023/06/01/000000

◆Microsoftが警告　ハッキング集団「Volt Typhoon」の手口と対処法 (@IT, 2023/06/10 08:00)
https://atmarkit.itmedia.co.jp/ait/articles/2306/10/news051.html
⇒ https://malware-log.hatenablog.com/entry/2023/06/10/000000

■2024年

◇2024年2月

◆FBI、シスコとNetGearのルータからマルウェアを削除する措置 (2024/02/05 08:17)
https://news.mynavi.jp/techplus/article/20240205-2877250/
⇒ https://malware-log.hatenablog.com/entry/2024/02/05/000000_4

◆Chinese hackers fail to rebuild botnet after FBI takedown (BleepingComputer, 2024/02/07 10:00)
[中国のハッカー、FBIの摘発後もボットネットの再構築に失敗]
https://www.bleepingcomputer.com/news/security/chinese-hackers-fail-to-rebuild-botnet-after-fbi-takedown/
⇒ https://malware-log.hatenablog.com/entry/2024/02/07/000000_4

◇2024年3月

◆CISA shares critical infrastructure defense tips against Chinese hackers (BleepingComputer, 2024/03/19 16:18)
[CISA、中国のハッカーに対する重要インフラ防衛のヒントを共有]
https://www.bleepingcomputer.com/news/security/cisa-shares-critical-infrastructure-defense-tips-against-chinese-hackers/
⇒ https://malware-log.hatenablog.com/entry/2024/03/19/000000_1

◆White House and EPA warn of hackers breaching water systems (BleepingComputer, 2024/03/19 18:04)
[ホワイトハウスと環境保護局、ハッカーによる水道システム侵入を警告]
https://www.bleepingcomputer.com/news/security/white-house-and-epa-warn-of-hackers-breaching-water-systems/
⇒ https://malware-log.hatenablog.com/entry/2024/03/19/000000_2

◆なぜ中国系の攻撃者は重要インフラを狙うのか (キーマンズネット, 2024/03/29 10:45)
https://kn.itmedia.co.jp/kn/articles/2403/29/news114.html
⇒ https://malware-log.hatenablog.com/entry/2024/03/29/000000_4

◇2024年6月

◆国内狙う攻撃キャンペーン「Blotless」 - 再侵入防ぐ対策を (Security NEXT, 2024/06/26)
https://www.security-next.com/158929
⇒ https://malware-log.hatenablog.com/entry/2024/06/26/000000_1

◆日本の組織狙う環境寄生型サイバー攻撃、JPCERT/CCが警戒呼びかけ (マイナビニュース, 2024/06/27)
https://news.mynavi.jp/techplus/article/20240627-2973726/
⇒ https://malware-log.hatenablog.com/entry/2024/06/27/000000_3

◇2024年7月

◆Operation Blotless攻撃キャンペーンに注意喚起 (NetSecurity, 2024/07/01 08:00)
https://scan.netsecurity.ne.jp/article/2024/07/01/51216.html
⇒ https://malware-log.hatenablog.com/entry/2024/07/01/000000_1

◆シグネチャ効かないサイバー攻撃に「脅威ハンティング」で対抗を - JPCERT/CC (マイナビニュース, 2024/07/02 14:51)
https://news.mynavi.jp/techplus/article/20240702-2974616/
⇒ https://malware-log.hatenablog.com/entry/2024/07/02/000000_1

◇2024年8月

◆Chinese Volt Typhoon hackers exploited Versa zero-day to breach ISPs, MSPs (BleepingComputer, 2024/08/27 10:00)
[中国のハッカー集団「Volt Typhoon」がVersaのゼロデイ脆弱性を悪用し、ISPやMSPに侵入]
https://www.bleepingcomputer.com/news/security/chinese-volt-typhoon-hackers-exploited-versa-zero-day-to-breach-isps-msps/
⇒ https://malware-log.hatenablog.com/entry/2024/08/27/000000_2

◆China’s Volt Typhoon reportedly targets US internet providers using Versa zero-day (The Record, 2024/08/28)
[中国のVolt Typhoonは、米国のインターネットプロバイダーを標的に、Versaのゼロデイ脆弱性を利用していると報じられている]
https://therecord.media/versa-zero-day-volt-typhoon-china
⇒ https://malware-log.hatenablog.com/entry/2024/08/28/000000_4

◇2024年10月

◆ハッカー集団「ボルト・タイフーン」の背後に中国政府がいるというアメリカ政府とMicrosoftの主張を中国側が「自作自演の茶番」だと否定 (Gigazine, 2024/10/16 20:00)
https://gigazine.net/news/20241016-chinese-agency-rejects-us-hacking-claims/
⇒ https://malware-log.hatenablog.com/entry/2024/10/16/000000_2

◇2024年11月

◆Volt Typhoon rebuilds malware botnet following FBI disruption (BleepingComputer, 2024/11/12 10:49)
[FBIの撲滅作戦を受け、ボルトタイフーンがマルウェアボットネットを再構築]
https://www.bleepingcomputer.com/news/security/volt-typhoon-rebuilds-malware-botnet-following-fbi-disruption/
⇒ https://malware-log.hatenablog.com/entry/2024/11/12/000000

【ブログ】

■2023年

◇2023年5月

◆Volt Typhoon targets US critical infrastructure with living-off-the-land techniques (Microsoft, 2023/05/24)
[Volt Typhoon、環境寄生型の手法で米国の重要インフラを狙う]
https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/
⇒ https://malware-log.hatenablog.com/entry/2023/05/24/000000_2

◆Volt Typhoon: LOLBins get serious (Vectra, 2023/05/26)
[Volt Typhoon: LOLBINSが本気を出す]
https://www.vectra.ai/blogpost/volt-typhoon-lolbins-get-serious
⇒ https://malware-log.hatenablog.com/entry/2023/05/26/000000_3

◇2023年7月

◆ステルス性増す中国のサイバースパイ：検知回避の戦術がさらに進化 (Mandiant, 2023/07/18)
https://www.mandiant.jp/resources/blog/chinese-espionage-tactics
⇒ https://malware-log.hatenablog.com/entry/2023/07/18/000000_9

■2024年

◇2024年2月

◆米国司法省重要インフラのハッキングを隠蔽するために使用された中華人民共和国のボットネットを破壊（だから、IoT認証が重要...） (まるちゃんの情報セキュリティ気まぐれ日記, 2024/02/03)
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2024/02/post-519d07.html
⇒ https://malware-log.hatenablog.com/entry/2024/02/03/000000_1

◇2024年8月

◆Taking the Crossroads: The Versa Director Zero-Day Exploitation (LUMEN, 2024/08/27)
[分岐点に立つ:ゼロデイ脆弱性を狙うVersa Director]
https://blog.lumen.com/taking-the-crossroads-the-versa-director-zero-day-exploitation/
⇒ https://malware-log.hatenablog.com/entry/2024/08/27/000000_5

【公開情報】

■2024年

◇2024年6月

◆Operation Blotless攻撃キャンペーンに関する注意喚起 (JPCERT/CC, 2024/06/25)
https://www.jpcert.or.jp/at/2024/at240013.html
⇒ https://malware-log.hatenablog.com/entry/2024/06/25/000000