Laut Microsoft zielt ein staatlich geförderter chinesischer Akteur auf kritische Infrastruktur in den USA ab

Microsoft hat bekannt gegeben , dass Volt Typhoon, ein staatlich geförderter chinesischer Akteur, kritische Infrastrukturorganisationen in den Vereinigten Staaten ins Visier nimmt. Das Unternehmen sagte, dass Volt Typhoon Fähigkeiten entwickelt, um kritische Kommunikationsinfrastrukturen zwischen den USA und Asien zu stören – eine Fähigkeit, die sich während einer Krise in China als nützlich erweisen könnte.

Die bösartige Kampagne läuft seit Mitte 2021 und zielt auf Organisationen in Guam und den übrigen Vereinigten Staaten ab. Betroffen sind Unternehmen aus mehreren Sektoren, darunter Kommunikation, Fertigung, Versorgung, Transport, Bauwesen, Schifffahrt, Regierung, Informationstechnologie und Bildung.

Microsoft Defender Antivirus und Microsoft Defender for Endpoint informieren Benutzer, wenn sie durch Volt Typhoon kompromittiert wurden. Auf Microsoft Defender Antivirus steht Folgendes im Zusammenhang mit Volt Typhoon:

• Verhalten:Win32/SuspNtdsUtilUsage.A
• Verhalten:Win32/SuspPowershellExec.E
• Verhalten:Win32/SuspRemoteCmdCommandParent.A
• Verhalten:Win32/UNCFilePathOperation
• Verhalten:Win32/VSSAmsiCaller.A
• Verhalten:Win32/WinrsCommand.A
• Verhalten:Win32/WmiSuspProcExec.J!se
• Verhalten:Win32/WmicRemote.A
• Verhalten:Win32/WmiprvseRemoteProc.B

Wenn Sie Microsoft Defender für Endpoint verwenden, wird die folgende Warnung angezeigt:

• Volt Typhoon-Bedrohungsakteur erkannt

Volt Typhoon kann auch die folgenden Eingabeaufforderungen in Microsoft Defender für Endpoint verursachen, aber das ist nicht unbedingt die Ursache:

• Eine Maschine wurde so konfiguriert, dass sie Datenverkehr an eine nicht lokale Adresse weiterleitet
• Ntdsutil sammelt Active Directory-Informationen
• Passwort-Hashes werden aus dem LSASS-Speicher ausgegeben
• Verdächtige Verwendung von wmic.exe zum Ausführen von Code
• Impacket-Toolkit

Wenn Sie von Volt Typhoon betroffen sind, sollten Sie alle kompromittierten Konten schließen oder die Anmeldeinformationen ändern. Es wird außerdem empfohlen, dass Benutzer die Aktivitäten kompromittierter Konten untersuchen, um herauszufinden, was Hacker möglicherweise getan haben.

Wenn Sie nicht über die entsprechenden Sicherheitsmaßnahmen verfügen, erfahren Sie möglicherweise nie, dass die Hacker jemals in Ihrem System waren. Microsoft sagte, dass die Kampagne heimlich durchgeführt wird, unter anderem durch Einmischung in die normale Netzwerkaktivität, indem der Datenverkehr über Netzwerkgeräte wie Router, Firewalls und VPN-Hardware geleitet wird.

Microsoft hat die Volt-Typhoon-Aktivitäten ausführlich beschrieben. Wenn Sie sich mit den technischeren Details befassen möchten, lesen Sie unbedingt den Blogbeitrag von Microsoft.