Bulletin sur les attaques hybrides : Découvrir Salt Typhoon - La tempête silencieuse dans les cyberattaques des opérateurs télécoms >

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
cybercriminels
>
Acteurs de menaces d’États-nations

Volt Typhoon

Volt Typhoon est un groupe APT furtif parrainé par l'État et associé à la République populaire de Chine, qui cible des organisations d'infrastructures critiques principalement aux États-Unis.

Détecter les TTPs de Volt Typhoon
Votre organisation est-elle à l'abri des attaques de Volt Typhoon?
Contexte
Cibles
TTPs
Détection
Foire aux questions
Regarder notre Threat Briefing

L'origine de Volt Typhoon

Volt Typhoon est un groupe de menaces persistantes avancées (APT) parrainé par l'État et lié à la République populaire de Chine (RPC). Active depuis au moins la mi-2021, cette APT est connue pour avoir ciblé des organisations d'infrastructures critiques à travers les États-Unis. Ses opérations se caractérisent par des tactiques furtives de manipulation du clavier visant à l'espionnage et au maintien de l'accès en vue de l'exfiltration de données à long terme. Volt Typhoon s'inscrit dans le cadre plus large du programme de cyberespionnage de la Chine, qui vise à compromettre des cibles stratégiques et à échapper à la détection en s'appuyant fortement sur des outils Windows intégrés et des techniques de survie sur le terrain.

L'origine de Volt Typhoon
Cibles

Qui cible Volt Typhoon?

Pays ciblés par Volt Typhoon

Bien qu'il se soit principalement concentré sur les États-Unis, les activités de Volt Typhoonne sont probablement pas limitées géographiquement, étant donné les objectifs de la Chine en matière de renseignement à l'échelle mondiale. Les opérations du groupe visent à surveiller et à exploiter potentiellement les adversaires géopolitiques.

Secteurs d'activité ciblés par Volt Typhoon

Volt Typhoon se concentre sur les industries d'importance stratégique, notamment les télécommunications, l'industrie manufacturière, les fournisseurs de services publics et les secteurs d'infrastructures critiques tels que l'énergie et les transports. Ces cibles suggèrent une motivation pour recueillir des renseignements et potentiellement perturber les opérations.

Secteurs d'activité ciblés par Volt Typhoon

Volt Typhoon se concentre sur les industries d'importance stratégique, notamment les télécommunications, l'industrie manufacturière, les fournisseurs de services publics et les secteurs d'infrastructures critiques tels que l'énergie et les transports. Ces cibles suggèrent une motivation pour recueillir des renseignements et potentiellement perturber les opérations.

Les victimes de Volt Typhoon

Bien que les organisations spécifiques ne soient souvent pas divulguées, Volt Typhoon a été observé en train de compromettre des entités d'infrastructures critiques et de tirer parti de systèmes compromis pour collecter des données. Leurs tactiques suggèrent qu'ils se concentrent sur les organisations qui peuvent fournir des renseignements précieux pour les avantages stratégiques nationaux.

Méthode d'attaque

Méthode d'attaque de Volt Typhoon

Accès Initial
Élévation de privilèges
Défense Evasion
Accès aux identifiants
Découverte
Mouvement latéral
Collection
Exécution
Exfiltration
Impact
Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

Volt Typhoon exploite les vulnérabilités des appareils connectés à Internet, en particulier les équipements de réseau des petites entreprises et des bureaux à domicile (SOHO), pour obtenir un accès initial. Les techniques utilisées sont notamment la pulvérisation de mots de passe et l'exploitation de protocoles de gestion à distance mal sécurisés.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

Une fois l'accès établi, le groupe élève ses privilèges afin d'obtenir un contrôle de plus haut niveau sur le réseau compromis. Cela implique souvent l'utilisation abusive d'informations d'identification légitimes.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

Volt Typhoon s'appuie sur des techniques de survie, utilisant exclusivement des outils Windows intégrés tels que PowerShell et Windows Management Instrumentation (WMI) pour éviter d'être détecté. Ils évitent de déployer malware pour rester furtifs.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

Ils collectent des informations d'identification à l'aide d'outils tels que Mimikatz et recherchent des informations sensibles dans les réseaux compromis.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

Le groupe utilise des commandes pour identifier les configurations des systèmes, les comptes d'utilisateurs et la topologie du réseau, ce qui permet des mouvements latéraux et une exploitation plus poussée.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

Volt Typhoon utilise les services à distance et RDP pour naviguer dans les systèmes compromis tout en maintenant la sécurité opérationnelle.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.

Les données d'intérêt, telles que les communications par courrier électronique, les fichiers sensibles et les informations relatives à l'infrastructure, sont identifiées et collectées.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

Leur phase d'exécution comprend l'exécution de scripts et de commandes pour maintenir la persistance et atteindre les objectifs opérationnels.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Ils exfiltrent les données collectées en utilisant des protocoles réseau standard afin de se fondre dans le trafic normal et d'échapper à la détection.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

Volt Typhoon se concentre principalement sur la collecte de renseignements à long terme plutôt que sur des actions perturbatrices immédiates. Toutefois, ses capacités pourraient permettre de futures opérations de sabotage.

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.
Accès Initial

Volt Typhoon exploite les vulnérabilités des appareils connectés à Internet, en particulier les équipements de réseau des petites entreprises et des bureaux à domicile (SOHO), pour obtenir un accès initial. Les techniques utilisées sont notamment la pulvérisation de mots de passe et l'exploitation de protocoles de gestion à distance mal sécurisés.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.
Élévation de privilèges

Une fois l'accès établi, le groupe élève ses privilèges afin d'obtenir un contrôle de plus haut niveau sur le réseau compromis. Cela implique souvent l'utilisation abusive d'informations d'identification légitimes.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Défense Evasion

Volt Typhoon s'appuie sur des techniques de survie, utilisant exclusivement des outils Windows intégrés tels que PowerShell et Windows Management Instrumentation (WMI) pour éviter d'être détecté. Ils évitent de déployer malware pour rester furtifs.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Accès aux identifiants

Ils collectent des informations d'identification à l'aide d'outils tels que Mimikatz et recherchent des informations sensibles dans les réseaux compromis.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Découverte

Le groupe utilise des commandes pour identifier les configurations des systèmes, les comptes d'utilisateurs et la topologie du réseau, ce qui permet des mouvements latéraux et une exploitation plus poussée.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Mouvement latéral

Volt Typhoon utilise les services à distance et RDP pour naviguer dans les systèmes compromis tout en maintenant la sécurité opérationnelle.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Collection

Les données d'intérêt, telles que les communications par courrier électronique, les fichiers sensibles et les informations relatives à l'infrastructure, sont identifiées et collectées.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Exécution

Leur phase d'exécution comprend l'exécution de scripts et de commandes pour maintenir la persistance et atteindre les objectifs opérationnels.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.
Exfiltration

Ils exfiltrent les données collectées en utilisant des protocoles réseau standard afin de se fondre dans le trafic normal et d'échapper à la détection.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.
Impact

Volt Typhoon se concentre principalement sur la collecte de renseignements à long terme plutôt que sur des actions perturbatrices immédiates. Toutefois, ses capacités pourraient permettre de futures opérations de sabotage.

MITRE ATT&CK Mapping

Les TTPs utilisées par Volt Typhoon

TA0001: Initial Access
T1078
Valid Accounts
TA0002: Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Détections de la plate-forme

Comment détecter Volt Typhoon avec Vectra AI

Liste des détections disponibles dans la plateforme Vectra AI qui indiqueraient une cyberattaque.

Hidden DNS Tunnel

Hidden HTTPS Tunnel

M365 DLL Hijacking Activity

Suspicious LDAP Query

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

Voir plus de détections
Évaluez votre exposition aux attaques

Foire aux questions

Votre organisation est-elle à l'abri des attaques de Volt Typhoon?

Évaluez votre exposition aux attaques