Salt Typhoon
Salt Typhoonégalement connu sous des pseudonymes tels que Earth Estries, FamousSparrow, GhostEmperor et UNC2286, est un groupe de menace persistante avancée (APT) spécialisé dans les activités de cyberespionnage.
L'origine de Salt Typhoon
Depuis au moins 2020, ce groupe mène des campagnes de cyberespionnage très sophistiquées à l'échelle mondiale. Connu pour son arsenal malware avancé et l'exploitation des vulnérabilités de zero-day , Salt Typhoon a élargi sa portée pour inclure de nouvelles industries, des zones géographiques étendues et des tactiques plus agressives en 2023. L'arsenal et les opérations de ce groupe APT témoignent d'un engagement en faveur de la furtivité, de la persistance et de la compromission à grande échelle.
Pays visés par Salt Typhoon
Depuis 2023, Salt Typhoon a touché plus de 20 organisations à travers le monde. Les pays touchés sont les suivants
- Asie-Pacifique : Afghanistan, Inde, Indonésie, Malaisie, Pakistan, Philippines, Taïwan, Thaïlande et Viêt Nam.
- Afrique : Eswatini, Afrique du Sud.
- Amériques : Brésil, États-Unis.
Source de l'image : Trend Micro
Industries visées par Salt Typhoon
Salt Typhoon vise désormais un éventail plus large de secteurs, notamment la technologie, le conseil, la chimie, les transports, les agences gouvernementales et les organisations à but non lucratif, ce qui témoigne d'une approche hautement opportuniste et stratégique.
Victimes ciblées par Salt Typhoon
Les victimes sont généralement des agences gouvernementales et des entreprises technologiques impliquées dans l'innovation, la défense et les infrastructures nationales critiques. Les organisations ciblées sont souvent confrontées à des tactiques avancées de déplacement latéral une fois qu'elles sont compromises.
Méthode d'attaque de Salt Typhoon
Compromet les comptes administratifs par le biais d'un vol d'informations d'identification ou d'une infection parmalware , souvent en exploitant SMB ou Windows Management Instrumentation (WMI).
Exploite les vulnérabilités de systèmes largement utilisés, notamment
- Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
- Fortinet FortiClient EMS (CVE-2023-48788)
- Pare-feu Sophos (CVE-2022-3236)
- Microsoft Exchange (vulnérabilités ProxyLogon : CVE-2021-26855, etc.)
Déploie des outils tels que le chargement latéral de DLL et la manipulation du registre pour obtenir un accès au niveau du système.
Emploie des techniques d'obscurcissement, notamment la porte dérobée GhostSpider et des tactiques de "survie sur le terrain" avec des outils tels que WMIC.exe et PsExec, des attaques de rétrogradation PowerShell et des techniques de masquage afin de contourner la détection.
Déploie des voleurs tels que SnappyBee (Deed RAT ) ou des voleurs personnalisés comme TrillClient pour récolter des informations d'identification et des données de navigation.
Effectue la découverte de la confiance dans le domaine et la reconnaissance du réseau pour cartographier l'environnement de la victime.
Propage malware à l'aide de commandes SMB et WMI, déployant des portes dérobées sur plusieurs machines.
Se concentre sur les fichiers sensibles (par exemple, les PDF) et utilise des techniques avancées comme SnappyBee pour voler des informations d'identification et des jetons de session.
Déploie des charges utiles malveillantes via Cobalt Strike, des portes dérobées personnalisées (par exemple, Zingdoor ou GhostSpider) et HemiGate.
Transfère les données collectées vers des serveurs ou des services externes tels que AnonFiles, File.io et des référentiels publics.
Veille à la persistance et à l'élimination des preuves d'infection en nettoyant le site malware après chaque cycle opérationnel.
Compromet les comptes administratifs par le biais d'un vol d'informations d'identification ou d'une infection parmalware , souvent en exploitant SMB ou Windows Management Instrumentation (WMI).
Exploite les vulnérabilités de systèmes largement utilisés, notamment
- Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
- Fortinet FortiClient EMS (CVE-2023-48788)
- Pare-feu Sophos (CVE-2022-3236)
- Microsoft Exchange (vulnérabilités ProxyLogon : CVE-2021-26855, etc.)
Déploie des outils tels que le chargement latéral de DLL et la manipulation du registre pour obtenir un accès au niveau du système.
Emploie des techniques d'obscurcissement, notamment la porte dérobée GhostSpider et des tactiques de "survie sur le terrain" avec des outils tels que WMIC.exe et PsExec, des attaques de rétrogradation PowerShell et des techniques de masquage afin de contourner la détection.
Déploie des voleurs tels que SnappyBee (Deed RAT ) ou des voleurs personnalisés comme TrillClient pour récolter des informations d'identification et des données de navigation.
Effectue la découverte de la confiance dans le domaine et la reconnaissance du réseau pour cartographier l'environnement de la victime.
Propage malware à l'aide de commandes SMB et WMI, déployant des portes dérobées sur plusieurs machines.
Se concentre sur les fichiers sensibles (par exemple, les PDF) et utilise des techniques avancées comme SnappyBee pour voler des informations d'identification et des jetons de session.
Déploie des charges utiles malveillantes via Cobalt Strike, des portes dérobées personnalisées (par exemple, Zingdoor ou GhostSpider) et HemiGate.
Transfère les données collectées vers des serveurs ou des services externes tels que AnonFiles, File.io et des référentiels publics.
Veille à la persistance et à l'élimination des preuves d'infection en nettoyant le site malware après chaque cycle opérationnel.
Les TTPs utilisées par Salt Typhoon
Comment détecter Salt Typhoon avec Vectra AI
Liste des détections disponibles dans la plateforme Vectra AI qui indiqueraient une cyberattaque.
Foire aux questions
Quels sont les secteurs les plus touchés par Salt Typhoon?
Salt Typhoon vise les secteurs de la technologie, du conseil, de la chimie, des transports, du gouvernement et des organisations à but non lucratif.
Quels sont les nouveaux outils utilisés par Salt Typhoon?
Les nouveaux ajouts comprennent la porte dérobée GhostSpider, le voleur SnappyBee et le Rootkit Demodex.
Comment Salt Typhoon maintient-il la discrétion ?
Ils utilisent des techniques de survie et des rootkits avancés comme Demodex.
Quelles vulnérabilités exploitent-ils ?
Les exploits récents comprennent des vulnérabilités dans Ivanti Connect Secure, Sophos Firewall et Microsoft Exchange.
Comment Salt Typhoon exfiltre-t-il les données ?
Les données volées sont téléchargées sur AnonFiles, File.io ou envoyées par courrier électronique crypté.
Sont-ils liés à d'autres groupes ?
Il existe des recoupements avec des APT chinoises telles que FamousSparrow et d'autres entités liées au gouvernement.
Comment les organisations peuvent-elles détecter leur activité ?
Surveillez les commandes PowerShell inhabituelles, le chargement latéral de DLL et les balisesCobalt Strike .
Quelle est la menace pour la chaîne d'approvisionnement ?
Salt Typhoon exploite les machines des entrepreneurs pour infiltrer plusieurs organisations par le biais de relations de confiance dans la chaîne d'approvisionnement.
Quelles mesures permettent d'atténuer les attaques ?
Déployer des outils de détectionendpoint , appliquer la gestion des correctifs et surveiller le trafic pour détecter les modèles de C&C connus.
Quelle est la réponse internationale ?
L'échange de renseignements en collaboration et les stratégies unifiées sont essentiels pour atténuer la menace croissante.