隐形黑客潜入美国和关岛关键基础设施而未被发现

微软和“五眼联盟”国家周三表示，一个隐秘的组织成功地在美国和关岛的关键基础设施组织中建立了一个持久的立足点，而没有被发现。

这家科技巨头的威胁情报团队正在以伏特台风(Volt Typhoon)的名义跟踪这些活动，包括入侵后的凭证访问和网络系统发现。

这个由国家支持的攻击者致力于间谍活动和信息收集，该集群自2021年6月以来一直活跃，并利用已安装或内置于受感染机器中的工具来掩盖其入侵足迹。

一些突出的目标行业包括通信、制造、公用事业、交通、建筑、海事、政府、信息技术和教育。

该公司以适度的信心进一步评估称，该行动是“寻求发展可能在未来危机期间破坏美国和亚洲地区之间关键通信基础设施的能力”。

这些攻击的一个显著特征是“非常强调”不受监视，完全依赖于“离线”(LotL)技术从本地web浏览器应用程序中窃取数据，并利用窃取的凭据进行后门访问。

主要目标是通过与常规的Windows系统和网络活动协调来避开检测，表明威胁行为者故意保持低调以获取敏感信息。

​

微软表示:“此外，伏特台风试图通过受感染的小型办公室和家庭办公室(SOHO)网络设备(包括路由器、防火墙和VPN硬件)路由流量，融入正常的网络活动。”

另一种不寻常的间谍手法是使用自定义版本的开源工具，通过代理以及其他组织在其C2代理网络中的受感染服务器建立命令与控制(C2)通道，以隐藏攻击源。

在《纽约时报》报道的一起事件中，敌对的集体入侵了关岛的电信网络，并安装了一个恶意的网络外壳。关岛是美国在太平洋上的一个敏感的军事前哨。

最初的入侵媒介包括利用一个未知的零日漏洞，利用面向互联网的Fortinet FortiGuard设备，尽管伏特台风也被观察到在Zoho ManageEngine服务器上使用了武器漏洞。然后滥用访问权限来窃取凭证并闯入网络上的其他设备。

Windows制造商还指出，它直接通知了目标客户或受到攻击的客户，并向他们提供了必要的信息，以保护他们的环境。

然而，它警告说，当威胁行为者利用有效账户和离线二进制文件(lolbin)来实施攻击时，降低此类风险可能“特别具有挑战性”。

Secureworks以“青铜剪影”(Bronze Silhouette)的名义监控这个威胁组织，该公司表示，该公司“对运营安全进行了仔细考虑……并依赖受损的基础设施来防止其入侵活动的检测和归属。”

与此同时，路透社披露，黑客对肯尼亚政府主要部委和国家机构进行了为期三年的一系列影响深远的攻击，据称是为了获取有关“这个东非国家欠北京的债务”的信息。

这次数字攻击被怀疑是由后门外交(又名APT15、俏皮金牛座或雌狐熊猫)发起的，至少从2010年开始，它就以北美、南美、非洲和中东的政府和外交实体为目标。

声明：本文相关资讯来自Thehackernews，版权归作者所有，转载目的在于传递更多信息。如有侵权，请联系本站删除。