ハイブリッド攻撃速報: Salt Typhoon - 通信事業者のサイバー攻撃における静かな嵐 > ハイブリッド攻撃速報

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
cybercriminels
>
国家アクター

Volt Typhoon

Volt Typhoon は、中華人民共和国に関連するステルス型の国家支援APTグループで、主に米国の重要インフラ組織を標的としている。

検知 Volt TyphoonTTP
あなたの組織はVolt Typhoon の攻撃から安全ですか?
背景
ターゲット
TTP
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る

その起源Volt Typhoon

Volt Typhoon は、中華人民共和国(PRC)に関連する国家支援の高度持続的脅威(APT)グループである。少なくとも2021年半ばから活動しているこのAPTは、米国内の重要インフラ組織を標的としていることで知られています。Volt Typhoon は、中国の広範なサイバースパイ活動の一環であり、Windows 組み込みのツールや living-off-the-land テクニックを多用することで、戦略的標的を侵害し、検知を回避することに重点を置いています。

その起源Volt Typhoon
ターゲット

Volt Typhoonターゲット

対象国Volt Typhoon

その主な焦点は米国に置かれているが、Volt Typhoonの活動は、中国のグローバルな諜報活動の目的からすれば、地理的に限定されたものではないだろう。同グループの活動は、地政学的な敵対勢力を監視し、潜在的に利用することを目的としている。

対象産業Volt Typhoon

Volt Typhoon は、テレコミュニケーション、製造業、公益事業者、エネルギーや輸送のような重要なインフラ部門など、戦略的に重要な産業に焦点を当てている。これらの標的は、情報収集と潜在的な作戦妨害の動機を示唆している。

対象産業Volt Typhoon

Volt Typhoon は、テレコミュニケーション、製造業、公益事業者、エネルギーや輸送のような重要なインフラ部門など、戦略的に重要な産業に焦点を当てている。これらの標的は、情報収集と潜在的な作戦妨害の動機を示唆している。

Volt Typhoon犠牲者

具体的な組織は公表されていないことが多いが、Volt Typhoon 、重要なインフラ組織を侵害し、データ収集のために侵害されたシステムを活用していることが確認されている。彼らの手口は、国家戦略上の優位性のために貴重な情報を得ることができる組織に焦点を当てていることを示唆している。

攻撃方法

Volt Typhoonアタッチ・メソッド

初期アクセス
特権エスカレーション
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

Volt Typhoon は、インターネットに接続された機器、特に小規模オフィス/ホームオフィス(SOHO)ネットワーク機器の脆弱性を悪用し、初期アクセスを試みる。その手口には、パスワードの吹き込みや、安全性の低いリモート管理プロトコルの悪用などがあります。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

アクセスが確立されると、グループは特権を昇格させ、侵害されたネットワークに対するより高いレベルの制御を取得します。これには多くの場合、正規の認証情報を悪用します。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

Volt Typhoon PowerShellやWindows Management Instrumentation (WMI)といったWindowsに内蔵されたツールを使用し、検知を回避する。ステルス性を維持するために、malware 。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

彼らはMimikatzのようなツールを使って認証情報を採取し、侵害されたネットワーク内で機密情報を探す。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

このグループは、コマンドを使用してシステム設定、ユーザーアカウント、ネットワークトポロジーを特定し、横の動きとさらなる悪用を可能にする。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

Volt Typhoon は、リモートサービスとRDPを使用して、運用上のセキュリティを維持しながら、侵害されたシステムをナビゲートする。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

電子メール通信、機密ファイル、インフラ関連情報など、関心のあるデータが特定され、収集される。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

実行フェーズでは、スクリプトやコマンドを実行して永続性を維持し、運用目標を達成する。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

標準的なネットワークプロトコルを使用して収集したデータを流出させ、通常のトラフィックに紛れ込ませて検知を逃れる。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

Volt Typhoon は、即座の破壊活動よりも長期的な情報収集に主眼を置いている。しかし、その能力は将来の破壊工作を可能にするかもしれない。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

Volt Typhoon は、インターネットに接続された機器、特に小規模オフィス/ホームオフィス(SOHO)ネットワーク機器の脆弱性を悪用し、初期アクセスを試みる。その手口には、パスワードの吹き込みや、安全性の低いリモート管理プロトコルの悪用などがあります。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

アクセスが確立されると、グループは特権を昇格させ、侵害されたネットワークに対するより高いレベルの制御を取得します。これには多くの場合、正規の認証情報を悪用します。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

Volt Typhoon PowerShellやWindows Management Instrumentation (WMI)といったWindowsに内蔵されたツールを使用し、検知を回避する。ステルス性を維持するために、malware 。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

彼らはMimikatzのようなツールを使って認証情報を採取し、侵害されたネットワーク内で機密情報を探す。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

このグループは、コマンドを使用してシステム設定、ユーザーアカウント、ネットワークトポロジーを特定し、横の動きとさらなる悪用を可能にする。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き

Volt Typhoon は、リモートサービスとRDPを使用して、運用上のセキュリティを維持しながら、侵害されたシステムをナビゲートする。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

電子メール通信、機密ファイル、インフラ関連情報など、関心のあるデータが特定され、収集される。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

実行フェーズでは、スクリプトやコマンドを実行して永続性を維持し、運用目標を達成する。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

標準的なネットワークプロトコルを使用して収集したデータを流出させ、通常のトラフィックに紛れ込ませて検知を逃れる。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

Volt Typhoon は、即座の破壊活動よりも長期的な情報収集に主眼を置いている。しかし、その能力は将来の破壊工作を可能にするかもしれない。

MITRE ATT&CK マッピング

が使用するTTPVolt Typhoon

TA0001: Initial Access
T1078
Valid Accounts
TA0002: Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
プラットフォーム検出

検知 Volt Typhoon Vectra AIを使う方法

Vectra AIプラットフォームで利用可能な、サイバー攻撃を示す検出のリスト。

Hidden DNS Tunnel

Hidden HTTPS Tunnel

M365 DLL Hijacking Activity

Suspicious LDAP Query

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

もっと見る
攻撃の危険性を評価する

よくあるご質問(FAQ)

あなたの組織はVolt Typhoon の攻撃から安全ですか?

攻撃の危険性を評価する