Grupo de Ciberatacantes Volt Typhoon apunta a USA aprovechando vulnerabilidades en Fortinet

Las autoridades de seguridad cibernética internacionales y de los Estados Unidos están emitiendo este Aviso de Seguridad Cibernética (CSA) en conjunto para resaltar un grupo de actividad de interés recientemente descubierto asociado con un actor cibernético patrocinado por el estado de la República Popular China (RPC), también conocido como Volt Typhoon.
Una de las principales tácticas, técnicas y procedimientos (TTP) utiliza herramientas de administración de red integradas para realizar sus objetivos. Este TTP permite al actor evadir la detección mezclándose con las actividades normales del sistema Windows y de la red, evitar los productos de detección y respuesta de end point (EDR) que alertarían sobre la introducción de aplicaciones de terceros en el host y limitar la cantidad de actividad que se captura en las configuraciones de registro predeterminadas.
Algunas de las herramientas integradas que utiliza este actor son: wmic, ntdsutil, netsh y PowerShell. El aviso proporciona ejemplos de los comandos del actor junto con firmas de detección para ayudar a los defensores de la red a buscar esta actividad. Muchos de los indicadores de comportamiento incluidos también pueden ser comandos legítimos de administración del sistema que aparecen en actividad benigna. Se debe tener cuidado de no asumir que los hallazgos son maliciosos sin más investigación u otras indicaciones de compromiso.
Algunos archivos que el actor ha usado anteriormente para explotar malware, scripts y herramientas incluyen:

backup.bat	cl64.exe	update.bat	Win.exe
billagent.exe	nc.exe	update.exe	WmiPrvSE.exe
billaudit.exe	rar.exe	vm3dservice.exe	WmiPreSV.exe
cisco_up.exe	SMSvcService.exe	watchdogd.exe

Para lograr el acceso inicial, Volt Typhoon compromete los dispositivos Fortinet FortiGuard expuestos a Internet, un objetivo popular para los atacantes cibernéticos de todo tipo (aun se esta examinando cómo se violan en este caso). Una vez dentro de la caja, el APT utiliza los privilegios del dispositivo para extraer las credenciales de la cuenta de Active Directory y autenticarse en otros dispositivos de la red.
Una vez dentro, el actor utiliza la línea de comandos y los archivos binarios de living-off-the-land "para encontrar información en el sistema, descubrir dispositivos adicionales en la red y filtrar datos", según el análisis.
Para cubrir sus huellas, Volt Typhoon envía su tráfico de red a través de enrutadores SOHO (pequeñas oficinas/oficinas domésticas) comprometidos y otros dispositivos periféricos de ASUS, Cisco, D-Link, NETGEAR y Zyxel, lo que le permite integrarse en la actividad normal de la red.
Las rutas más comunes donde se han encontrado archivos y ejecutables utilizados por el actor incluyen:

• C:\Users\Public\Appfile (including subdirectories)
• C:\Perflogs (including subdirectories)
• C:\Windows\Temp (including subdirectories)

Mitigaciones
• Actualizar los equipos Fortinet a versiones no vulnerables ya que estos son el primer punto de ataque para obtener acceso a la infraestructura. CVE-2022-41328 CVE-2023-25610
• Los defensores deben fortalecer los controladores de dominio y monitorear los registros de eventos para ntdsutil.exe y creaciones de procesos similares. Además, cualquier uso de privilegios de administrador debe auditarse y validarse para confirmar la legitimidad de los comandos ejecutados.
• Los administradores deben limitar el uso de proxy de puerto dentro de los entornos y habilitarlos solo durante el período de tiempo en el que sean necesarios.
• Los defensores deben investigar las direcciones IP y los puertos inusuales en las líneas de comando, las entradas del registro y los registros del firewall para identificar otros hosts que puedan estar involucrados en las acciones de los actores.
• Además de los cambios a nivel de host, los defensores deben revisar las configuraciones del firewall perimetral en busca de cambios y/o entradas no autorizados que puedan permitir conexiones externas a hosts internos.
• Los defensores también deben buscar actividad anormal en la cuenta, como inicios de sesión fuera del horario laboral normal e inicios de sesión imposibles de tiempo y distancia (por ejemplo, un usuario que inicia sesión desde dos ubicaciones separadas geográficamente al mismo tiempo).
• Los defensores deben reenviar los archivos de registro a un servidor de registro centralizado reforzado, preferiblemente en una red segmentada.
 

Versiones Afectadas

N/A

Recomendaciones

• Para poder detectar la actividad descrita en este CSA, los defensores deben configurar la política de auditoría para los registros de seguridad de Windows para incluir "creación de procesos de auditoría" e "incluir línea de comando en eventos de creación de procesos", además de acceder a los registros. De lo contrario, es posible que las configuraciones de registro predeterminadas no contengan la información necesaria.
• Habilitar estas opciones creará entradas de ID de evento 4688 en el registro de seguridad de Windows para ver los procesos de la línea de comandos. Dado el costo y la dificultad de registrar y analizar este tipo de actividad, si una organización debe limitar los requisitos, debe centrarse en habilitar este tipo de inicio de sesión en sistemas externos o realizar autenticación o autorización, especialmente incluidos los controladores de dominio.
• Para buscar la actividad maliciosa de WMI y PowerShell, los defensores también deben registrar eventos de WMI y PowerShell. De forma predeterminada, WMI Tracing y el registro profundo de PowerShell no están habilitados, pero se pueden habilitar siguiendo las instrucciones de configuración vinculadas en la sección Referencias.
• Monitorear los registros para el ID de evento 1102, que se genera cuando se borra el registro de auditoría. Todas las entradas de Event ID 1102 deben investigarse ya que los registros generalmente no se borran y esta es una táctica conocida de los actores para cubrir sus huellas. Incluso si se borra un registro de eventos en un host, si los registros también se almacenan en un servidor de registro, se conservará la copia del registro.
• Esta actividad a menudo está vinculada a la explotación maliciosa de dispositivos de borde y dispositivos de administración de red. Los defensores deben habilitar el inicio de sesión en sus dispositivos de borde, para incluir registros del sistema, para poder identificar la explotación potencial y el movimiento lateral. También deben habilitar el registro a nivel de red, como registros de sysmon, servidor web, middleware y dispositivos de red.

Indicadores de compromiso
SHA-256 file hashes
• f4dd44bc19c19056794d29151a5b1bb76afd502388622e24c863a8494af147dd
• ef09b8ff86c276e9b475a6ae6b54f08ed77e09e169f7fc0872eb1d427ee27d31
• d6ebde42457fe4b2a927ce53fc36f465f0000da931cfab9b79a36083e914ceca
• 472ccfb865c81704562ea95870f60c08ef00bcd2ca1d7f09352398c05be5d05d
• 66a19f7d2547a8a85cee7a62d0b6114fd31afdee090bd43f36b89470238393d7
• 3c2fe308c0a563e06263bbacf793bbe9b2259d795fcc36b953793a7e499e7f71
• 41e5181b9553bbe33d91ee204fe1d2ca321ac123f9147bb475c0ed32f9488597
• c7fee7a3ffaf0732f42d89c4399cbff219459ae04a81fc6eff7050d53bd69b99
• 3a9d8bb85fbcfe92bae79d5ab18e4bca9eaf36cea70086e8d1ab85336c83945f
• fe95a382b4f879830e2666473d662a24b34fccf34b6b3505ee1b62b32adafa15
• ee8df354503a56c62719656fae71b3502acf9f87951c55ffd955feec90a11484
 

Referencias

https://www.darkreading.com/endpoint/-volt-typhoon-china-backed-apt-infiltrates-us-critical-infrastructure
https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructurewith-living-off-the-land-techniques/
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a
https://www.cisa.gov/news-events/alerts/2023/05/24/cisa-and-partners-release-cybersecurity-advisoryguidance-detailing-prc-state-sponsored-actor

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios