SecurityScorecard的STRIKE团队揭露了Volt Typhoon的卷土重来,这是一个由国家支持的高级持续威胁(APT)行动者,利用被入侵的传统设备瞄准关键基础设施。
SecurityScorecard的STRIKE团队在一份新报告中详细描述了Volt Typhoon这个来自亚太地区的复杂网络间谍组织令人震惊的卷土重来。这个 APT 行动者以其隐蔽性和持久性著称,正利用过时网络设备中的漏洞,积极瞄准关键基础设施领域。
STRIKE 小组断言:“这不是普通的攻击。伏特台,利用目标关键基础设施中未受保护的过时边缘设备。该组织专门针对政府和关键基础设施组织中普遍使用的传统思科和 Netgear 路由器,将这些设备重新用作僵尸网络基础设施中的操作节点。”
隐蔽对手不断演变的战术
伏特台风 “的操作弹性和自适应战术对网络防御者构成了巨大挑战。STRIKE 小组调查的主要发现包括
- 利用传统漏洞: APT 组织有计划地将目标锁定在已知存在关键漏洞的报废设备上,如思科 RV320/325 路由器。“报告指出:”在短短 37 天内,Volt Typhoon 入侵了 30% 的可见思科 RV320/325 路由器。
- 混淆和规避: 被入侵的路由器被整合到一个隐蔽的传输网络中,在模仿合法网络流量的同时实现数据外泄。这种策略能有效伪装恶意活动,阻碍检测工作。
- 具有战略枢纽的全球分布式基础设施: 伏特台风 “在欧洲各地设有指挥和控制服务器,并利用新喀里多尼亚的一个被入侵的 VPN 设备作为战略支点,在亚太地区和美洲之间路由流量。
- 快速基础设施再生: 伏特台风 “展示了非凡的恢复能力,在执法部门中断后迅速重建基础设施。“报告显示:”伏特台风迅速在 Digital Ocean、Quadranet 和 Vultr 上建立了新的指挥服务器,注册了新的 SSL 证书,以躲避当局的追查。
勒索软件与人工智能威胁的相互作用
虽然 Volt Typhoon 目前的行动并不涉及直接部署勒索软件,但该组织在勒索软件即服务(RaaS)模式显著影响的威胁环境中开展行动。STRIKE 小组强调,“由赎金资助的黑客攻击技术的进步助长了新一轮的攻击浪潮”,这有可能为伏特台风公司这样的 APT 行动者提供更先进的工具和技术。此外,人工智能与攻击方法的潜在结合也引发了人们对未来针对关键基础设施的网络威胁的复杂性和规避性的担忧。
行动呼吁: 加强关键基础设施防御
SecurityScorecard 的报告为在关键基础设施领域运营的组织敲响了警钟。“报告总结说:”伏特台风既是一个有弹性的僵尸网络,也是一个警示。为了降低这一持续性威胁带来的风险,各组织必须优先考虑以下几点:
- 遗留系统现代化: 加快更换过时和易受攻击的网络设备,尤其是报废的路由器和其他边缘设备。
- 加强供应链安全: 对第三方供应商实施强大的安全评估和持续监控,最大限度地减少供应链漏洞。
- 前瞻性威胁捕猎和检测: 投资先进的威胁检测解决方案和主动威胁猎杀功能,以识别和应对复杂的 APT 活动。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容