2025-10-30

Volt Typhoon (まとめ)

【要点】

◎2023年5月に活動が明らかになった中国のサイバー犯罪組織。IoT機器を乗っ取り C2サーバー(ボットネット)として使用

incidents.hatenablog.com]

【目次】

概要
記事
- 【ニュース】

概要

【Volt Typhoon】

◆KV Botnet (まとめ)
https://malware-log.hatenablog.com/entry/KV_Botnet

【別名】

攻撃組織名	命名組織
Bronze Silhouette	Secureworks
Dev-0391	Microsoft
Insidious Taurus	UNIT42(Paloalto)
Redfly	Symantec
Storm-0391	Microsoft
UNC3236	Mandiant
Vanguard Panda	Crowdstrike
Volt Typhoon	Microsoft
Voltzite	Dragos

【キャンペーン】

◆Operation: Blotless (まとめ)
https://malware-log.hatenablog.com/entry/Blotless

【辞書】

◆Volt Typhoon (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/actor/volt_typhoon

◆Volt Typhoon (ATT&CK)
https://attack.mitre.org/groups/G1017/

◆Volt Typhoon (Wikipedia)
https://en.wikipedia.org/wiki/Volt_Typhoon

【概要】

項目	内容
ATT&CK ID	G1017
活動開始時期	2021年以前
関係国	中国
侵入手口	Fortinet FortiGuard 経由でアクセス Active Directoryアカウントの認証情報を抽出他のデバイスの認証を試みる
侵入後の動き	コマンドラインを通じて実際にキーボードを操作し攻撃 LoL(living-off-the-land) (ほとんどマルウェアを使用しない)
有効な対策	lsass.exeからの資格情報の窃取をブロック PSExecおよびWMIコマンドから生成されたプロセス作成をブロック難読化されたスクリプトの実行をブロック
ボットネット名	KV Botnet
特徴	・長期間システムに潜伏することを優先・認証情報の窃取以外の目立つ活動は原則しない・発見される可能性のあるマルウェアは用いず・環境に元から存在するソフトウェアを活用して認証情報の窃取する・攻撃の痕跡(ログ)をほとんど残さないことから、検出は非常に難しい

■キャンペーン

キャンペーン名	備考
Blotless

■侵害調査方法

項目	内容
ドメインコントローラ(DC)のログ調査	●ADデータベースファイルの持ち出し試行を調査　　・「ntdsutil.exe」、「vssadmin.exe」の実行ログや、イベントID「8222」、「7036」、「216」の存在を確認 ●イベントログの削除試行を調査　　・具体的にはイベントID「104」の存在を確認 ●PowerShellの実行履歴に不審なものがないかを調査
Webサーバおよびネットワーク機器の調査	・Webシェルなどのバックドアが設置されていないか調査
リバースプロキシの調査	・悪用可能なツールが存在しないか調査 *1
SSL-VPN機器のログおよび管理者アカウントの調査	・VPN機器のログに不審な点がないかどうかを調査・管理者アカウントの不正アクセスを調査

【最新情報】

◆McCrary report flags China’s escalating cyber tactics, warns of Typhoon cyber threats to US critical infrastructure (Indistrial Cyber, 2025/10/30)
[マクラリー報告書は中国のエスカレートするサイバー戦術を指摘し、米国の重要インフラに対する台風サイバー脅威を警告]
https://industrialcyber.co/reports/mccrary-report-flags-chinas-escalating-cyber-tactics-warns-of-typhoon-cyber-threats-to-us-critical-infrastructure/
⇒ https://malware-log.hatenablog.com/entry/2025/10/30/000000

記事

【ニュース】

■2023年

◇2023年5月

◆米国の重要インフラを狙う中国の集団「Volt Typhoon」、マイクロソフトが警告 (ZDNet, 2023/05/25 11:23)
https://japan.zdnet.com/article/35204296/
⇒ https://malware-log.hatenablog.com/entry/2023/05/25/000000_1

◆中国政府系ハッカー集団「ボルト・タイフーン」が重要インフラを標的としたスパイ活動をしているとMicrosoftが警告 (Gigazine, 2023/05/25 11:33)
https://gigazine.net/news/20230525-volt-typhoon-target-us-infrastructure/
⇒ https://malware-log.hatenablog.com/entry/2023/05/25/000000_2

◆Factbox: What is Volt Typhoon, the alleged China-backed hacking group? (ロイター, 2023/05/26 03:21)
[Factbox: 中国が支援したハッキング集団とされるVolt Typhoonとは何か？]
https://www.reuters.com/technology/what-is-volt-typhoon-alleged-china-backed-hacking-group-2023-05-25/
⇒ https://malware-log.hatenablog.com/entry/2023/05/26/000000_1

◇2023年6月

◆重要インフラ狙う中国関与の「Volt Typhoon」攻撃 - 中小企業も攻撃の踏み台に (Security NEXT, 2023/06/01)
https://www.security-next.com/146577
⇒ https://malware-log.hatenablog.com/entry/2023/06/01/000000

◆Microsoftが警告　ハッキング集団「Volt Typhoon」の手口と対処法 (@IT, 2023/06/10 08:00)
https://atmarkit.itmedia.co.jp/ait/articles/2306/10/news051.html
⇒ https://malware-log.hatenablog.com/entry/2023/06/10/000000

■2024年

◇2024年2月

◆FBI、シスコとNetGearのルータからマルウェアを削除する措置 (2024/02/05 08:17)
https://news.mynavi.jp/techplus/article/20240205-2877250/
⇒ https://malware-log.hatenablog.com/entry/2024/02/05/000000_4

◆Chinese hackers fail to rebuild botnet after FBI takedown (BleepingComputer, 2024/02/07 10:00)
[中国のハッカー、FBIの摘発後もボットネットの再構築に失敗]
https://www.bleepingcomputer.com/news/security/chinese-hackers-fail-to-rebuild-botnet-after-fbi-takedown/
⇒ https://malware-log.hatenablog.com/entry/2024/02/07/000000_4

◆China-backed Volt Typhoon hackers have lurked inside US critical infrastructure for ‘at least five years’ (TechCrunch, 2024/02/07)
[中国が支援するハッカー集団「Volt Typhoon」は、「少なくとも5年間」、米国の重要インフラに潜んでいた]
https://techcrunch.com/2024/02/07/china-backed-volt-typhoon-hackers-have-lurked-inside-us-critical-infrastructure-for-at-least-five-years/
⇒ https://malware-log.hatenablog.com/entry/2024/02/07/000000_9

*1:https://www.cisa.gov/news-events/analysis-reports/ar24-038a

TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織に関する「個人」の調査・研究のログ