サイバー攻撃速報:AWS S3におけるコードフィンガー型ランサムウェアの防御 > コードフィンガー型ランサムウェアの防御

サイバー攻撃速報: AWS S3におけるコードフィンガー型ランサムウェアの防御 > コードフィンガー型ランサムウェアの防御

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
cybercriminels
>
国家アクター

Volt Typhoon

Volt Typhoon は、中華人民共和国に関連するステルス型の国家支援APTグループで、主に米国の重要インフラ組織を標的としている。

Volt TyphoonのTTPを検知
貴社はVolt Typhoon の攻撃に対して安全ですか?
背景
ターゲット
TTP
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る

Volt Typhoonの起源

Volt Typhoon は、中華人民共和国(PRC)に関連する国家支援の高度持続的脅威(APT)グループである。少なくとも2021年半ばから活動しているこのAPTは、米国内の重要インフラ組織を標的としていることで知られています。Volt Typhoon は、中国の広範なサイバースパイ活動の一環であり、Windows 組み込みのツールや living-off-the-land テクニックを多用することで、戦略的標的を侵害し、検知を回避することに重点を置いています。

Volt Typhoonの起源
ターゲット

Volt Typhoonのターゲット

Volt Typhoonの対象国

Volt Typhoonの主目的は米国だが、中国の世界的な諜報活動の目的を考えると、その活動は地理的に制限されない可能性が高い。同グループの活動は、地政学的な敵対国を監視し、潜在的に利用することを目的としている。

Volt Typhoonの対象産業

Volt Typhoon は、通信、製造、公共事業会社、エネルギーや輸送などの重要なインフラ部門など、戦略的に重要な業界をターゲットにしています。これらのターゲットは、情報を収集し、潜在的に業務を妨害する動機を示唆しています。

Volt Typhoonの対象産業

Volt Typhoon は、通信、製造、公共事業会社、エネルギーや輸送などの重要なインフラ部門など、戦略的に重要な業界をターゲットにしています。これらのターゲットは、情報を収集し、潜在的に業務を妨害する動機を示唆しています。

Volt Typhoonの犠牲者

具体的な組織は公表されていないことが多いが、Volt Typhoon 、重要なインフラ組織を侵害し、データ収集のために侵害されたシステムを活用していることが確認されている。彼らの手口は、国家戦略上の優位性のために貴重な情報を得ることができる組織に焦点を当てていることを示唆している。

攻撃方法

Volt Typhoonアタッチ・メソッド

初期アクセス
特権エスカレーション
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

Volt Typhoon は、インターネットに接続された機器、特に小規模オフィス/ホームオフィス(SOHO)ネットワーク機器の脆弱性を悪用し、初期アクセスを試みる。その手口には、パスワードの吹き込みや、安全性の低いリモート管理プロトコルの悪用などがあります。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

アクセスが確立されると、グループは特権を昇格させ、侵害されたネットワークに対するより高いレベルの制御を取得します。これには多くの場合、正規の認証情報を悪用します。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

Volt Typhoon は、検出を回避するために PowerShell や Windows Management Instrumentation (WMI) などの組み込み Windows ツールのみを使用する Living-Off-The-Land 技術に依存しています。ステルス性を維持するためにマルウェアの展開を避けています。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

彼らはMimikatzのようなツールを使って認証情報を採取し、侵害されたネットワーク内で機密情報を探します。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

このグループは、コマンドを使用してシステム設定、ユーザーアカウント、ネットワークトポロジーを特定し、横の動きとさらなる悪用を可能にする。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

Volt Typhoon は、リモートサービスとRDPを使用して、運用上のセキュリティを維持しながら、侵害されたシステムをナビゲートします。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

電子メール通信、機密ファイル、インフラ関連情報など、関心のあるデータが特定され、収集されます。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

実行フェーズでは、スクリプトやコマンドを実行して永続性を維持し、運用目標を達成する。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

標準的なネットワークプロトコルを使用して収集したデータを流出させ、通常のトラフィックに紛れ込ませて検知を逃れます。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

Volt Typhoon は、即座の破壊活動よりも長期的な情報収集に主眼を置いている。しかし、その能力は将来の破壊工作を可能にするかもしれません。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

Volt Typhoon は、インターネットに接続された機器、特に小規模オフィス/ホームオフィス(SOHO)ネットワーク機器の脆弱性を悪用し、初期アクセスを試みる。その手口には、パスワードの吹き込みや、安全性の低いリモート管理プロトコルの悪用などがあります。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

アクセスが確立されると、グループは特権を昇格させ、侵害されたネットワークに対するより高いレベルの制御を取得します。これには多くの場合、正規の認証情報を悪用します。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

Volt Typhoon は、検出を回避するために PowerShell や Windows Management Instrumentation (WMI) などの組み込み Windows ツールのみを使用する Living-Off-The-Land 技術に依存しています。ステルス性を維持するためにマルウェアの展開を避けています。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

彼らはMimikatzのようなツールを使って認証情報を採取し、侵害されたネットワーク内で機密情報を探します。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

このグループは、コマンドを使用してシステム設定、ユーザーアカウント、ネットワークトポロジーを特定し、横の動きとさらなる悪用を可能にする。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き

Volt Typhoon は、リモートサービスとRDPを使用して、運用上のセキュリティを維持しながら、侵害されたシステムをナビゲートします。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

電子メール通信、機密ファイル、インフラ関連情報など、関心のあるデータが特定され、収集されます。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

実行フェーズでは、スクリプトやコマンドを実行して永続性を維持し、運用目標を達成する。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

標準的なネットワークプロトコルを使用して収集したデータを流出させ、通常のトラフィックに紛れ込ませて検知を逃れます。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

Volt Typhoon は、即座の破壊活動よりも長期的な情報収集に主眼を置いている。しかし、その能力は将来の破壊工作を可能にするかもしれません。

MITRE ATT&CK マッピング

が使用するTTPVolt Typhoon

TA0001: Initial Access
T1078
Valid Accounts
TA0002: Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
プラットフォーム検出

検知 Volt Typhoon Vectra AIを使う方法

Vectra AIプラットフォームで利用可能な、サイバー攻撃を示す検出のリスト。

Hidden DNS Tunnel

Hidden HTTPS Tunnel

M365 DLL Hijacking Activity

Suspicious LDAP Query

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

もっと見る
攻撃の危険性を評価する

よくあるご質問(FAQ)

貴社はVolt Typhoon の攻撃に対して安全ですか?

攻撃の危険性を評価する