Nouvelle couverture de la plateforme Vectra AI pour Copilot et Microsoft Azure

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
cybercriminels
>
Acteurs de menaces d’États-nations

Salt Typhoon

Salt Typhoonégalement connu sous des pseudonymes tels que Earth Estries, FamousSparrow, GhostEmperor et UNC2286, est un groupe de menace persistante avancée (APT) spécialisé dans les activités de cyberespionnage.

Détecter les TTP de Salt Typhoon
Votre organisation est-elle à l'abri des attaques de Salt Typhoon?
Contexte
Cibles
TTPs
Détection
Foire aux questions
Regarder le briefing sur les menaces

L'origine de Salt Typhoon

Depuis au moins 2020, ce groupe a mené des campagnes de cyberespionnage très sophistiquées à l'échelle mondiale. Connu pour son arsenal malware avancé et son exploitation des vulnérabilités de type "zero-day", Salt Typhoon a élargi sa portée pour inclure de nouvelles industries, des zones géographiques plus étendues et des tactiques plus agressives en 2023. L'arsenal et les opérations de ce groupe APT témoignent d'un engagement en faveur de la furtivité, de la persistance et de la compromission à grande échelle.

L'origine de Salt Typhoon
Cibles

Salt TyphoonLes objectifs de l'UE

Pays visés par Salt Typhoon

Depuis 2023, Salt Typhoon a touché plus de 20 organisations à travers le monde. Les pays touchés sont les suivants

  • Asie-Pacifique : Afghanistan, Inde, Indonésie, Malaisie, Pakistan, Philippines, Taïwan, Thaïlande et Viêt Nam.
  • Afrique : Eswatini, Afrique du Sud.
  • Amériques : Brésil, États-Unis.

Source de l'image : Trend Micro

Industries visées par Salt Typhoon

Salt Typhoon vise désormais un éventail plus large de secteurs, notamment la technologie, le conseil, la chimie, les transports, les agences gouvernementales et les organisations à but non lucratif, ce qui témoigne d'une approche hautement opportuniste et stratégique.

Industries visées par Salt Typhoon

Salt Typhoon vise désormais un éventail plus large de secteurs, notamment la technologie, le conseil, la chimie, les transports, les agences gouvernementales et les organisations à but non lucratif, ce qui témoigne d'une approche hautement opportuniste et stratégique.

Victimes ciblées par Salt Typhoon

Les victimes sont généralement des agences gouvernementales et des entreprises technologiques impliquées dans l'innovation, la défense et les infrastructures nationales critiques. Les organisations ciblées sont souvent confrontées à des tactiques avancées de déplacement latéral une fois qu'elles sont compromises.

Méthode d'attaque

Méthode d'attaque de Salt Typhoon

Accès Initial
Élévation de privilèges
Défense Evasion
Accès aux identifiants
Découverte
Mouvement latéral
Collection
Exécution
Exfiltration
Impact
Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

Compromet les comptes administratifs par le biais d'un vol d'informations d'identification ou d'une infection parmalware , souvent en exploitant SMB ou Windows Management Instrumentation (WMI).

Exploite les vulnérabilités de systèmes largement utilisés, notamment

  • Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Pare-feu Sophos (CVE-2022-3236)
  • Microsoft Exchange (vulnérabilités ProxyLogon : CVE-2021-26855, etc.)
Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

Déploie des outils tels que le chargement latéral de DLL et la manipulation du registre pour obtenir un accès au niveau du système.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

Emploie des techniques d'obscurcissement, notamment la porte dérobée GhostSpider et des tactiques de "survie sur le terrain" avec des outils tels que WMIC.exe et PsExec, des attaques de rétrogradation PowerShell et des techniques de masquage afin de contourner la détection.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

Déploie des voleurs tels que SnappyBee (Deed RAT ) ou des voleurs personnalisés comme TrillClient pour récolter des informations d'identification et des données de navigation.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

Effectue la découverte de la confiance dans le domaine et la reconnaissance du réseau pour cartographier l'environnement de la victime.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

Propage malware à l'aide de commandes SMB et WMI, déployant des portes dérobées sur plusieurs machines.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.

Se concentre sur les fichiers sensibles (par exemple, les PDF) et utilise des techniques avancées comme SnappyBee pour voler des informations d'identification et des jetons de session.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

Déploie des charges utiles malveillantes via Cobalt Strike, des portes dérobées personnalisées (par exemple, Zingdoor ou GhostSpider) et HemiGate.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Transfère les données collectées vers des serveurs ou des services externes tels que AnonFiles, File.io et des référentiels publics.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

Veille à la persistance et à l'élimination des preuves d'infection en nettoyant le site malware après chaque cycle opérationnel.

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.
Accès Initial

Compromet les comptes administratifs par le biais d'un vol d'informations d'identification ou d'une infection parmalware , souvent en exploitant SMB ou Windows Management Instrumentation (WMI).

Exploite les vulnérabilités de systèmes largement utilisés, notamment

  • Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Pare-feu Sophos (CVE-2022-3236)
  • Microsoft Exchange (vulnérabilités ProxyLogon : CVE-2021-26855, etc.)
Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.
Élévation de privilèges

Déploie des outils tels que le chargement latéral de DLL et la manipulation du registre pour obtenir un accès au niveau du système.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Défense Evasion

Emploie des techniques d'obscurcissement, notamment la porte dérobée GhostSpider et des tactiques de "survie sur le terrain" avec des outils tels que WMIC.exe et PsExec, des attaques de rétrogradation PowerShell et des techniques de masquage afin de contourner la détection.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Accès aux identifiants

Déploie des voleurs tels que SnappyBee (Deed RAT ) ou des voleurs personnalisés comme TrillClient pour récolter des informations d'identification et des données de navigation.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Découverte

Effectue la découverte de la confiance dans le domaine et la reconnaissance du réseau pour cartographier l'environnement de la victime.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Mouvement latéral

Propage malware à l'aide de commandes SMB et WMI, déployant des portes dérobées sur plusieurs machines.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Collection

Se concentre sur les fichiers sensibles (par exemple, les PDF) et utilise des techniques avancées comme SnappyBee pour voler des informations d'identification et des jetons de session.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Exécution

Déploie des charges utiles malveillantes via Cobalt Strike, des portes dérobées personnalisées (par exemple, Zingdoor ou GhostSpider) et HemiGate.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.
Exfiltration

Transfère les données collectées vers des serveurs ou des services externes tels que AnonFiles, File.io et des référentiels publics.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.
Impact

Veille à la persistance et à l'élimination des preuves d'infection en nettoyant le site malware après chaque cycle opérationnel.

MITRE ATT&CK Mapping

Les TTP utilisées par les Salt Typhoon

TA0001: Initial Access
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1574
Hijack Execution Flow
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1574
Hijack Execution Flow
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1036
Masquerading
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1574
Hijack Execution Flow
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1056
Input Capture
TA0007: Discovery
T1482
Domain Trust Discovery
T1087
Account Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1113
Screen Capture
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
No items found.
Détections de la plate-forme

Comment détecter Salt Typhoon avec Vectra AI

Liste des détections disponibles dans la plateforme Vectra AI qui indiqueraient une cyberattaque.

Hidden DNS Tunnel

Hidden HTTPS Tunnel

M365 DLL Hijacking Activity

Suspicious LDAP Query

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

Voir plus de détections
Évaluez votre exposition aux attaques

Foire aux questions

Quels sont les secteurs les plus touchés par Salt Typhoon?

Salt Typhoon vise les secteurs de la technologie, du conseil, de la chimie, des transports, du gouvernement et des organisations à but non lucratif.

Quels sont les nouveaux outils utilisés par Salt Typhoon?

Les nouveaux ajouts comprennent la porte dérobée GhostSpider, le voleur SnappyBee et le Rootkit Demodex.

Comment Salt Typhoon maintient-il la discrétion ?

Ils utilisent des techniques de survie et des rootkits avancés comme Demodex.

Quelles vulnérabilités exploitent-ils ?

Les exploits récents comprennent des vulnérabilités dans Ivanti Connect Secure, Sophos Firewall et Microsoft Exchange.

Comment Salt Typhoon exfiltre-t-il les données ?

Les données volées sont téléchargées sur AnonFiles, File.io ou envoyées par courrier électronique crypté.

Sont-ils liés à d'autres groupes ?

Il existe des recoupements avec des APT chinoises telles que FamousSparrow et d'autres entités liées au gouvernement.

Comment les organisations peuvent-elles détecter leur activité ?

Surveillez les commandes PowerShell inhabituelles, le chargement latéral de DLL et les balisesCobalt Strike .

Quelle est la menace pour la chaîne d'approvisionnement ?

Salt Typhoon exploite les machines des entrepreneurs pour infiltrer plusieurs organisations par le biais de relations de confiance dans la chaîne d'approvisionnement.

Quelles mesures permettent d'atténuer les attaques ?

Déployer des outils de détectionendpoint , appliquer la gestion des correctifs et surveiller le trafic pour détecter les modèles de C&C connus.

Quelle est la réponse internationale ?

L'échange de renseignements en collaboration et les stratégies unifiées sont essentiels pour atténuer la menace croissante.

Votre organisation est-elle à l'abri des attaques de Salt Typhoon?

Évaluez votre exposition aux attaques