24 мая 2023 года Агентство национальной безопасности США (АНБ) выпустило совместный совет по кибербезопасности, в котором говорится о кластере активности, приписываемой группе угроз, спонсируемой государством Китайская Народная Республика (КНР). Исследователи Secureworks® Counter Threat Unit™ (CTU) приписывают эту активность BRONZE SILHOUETTE (упоминаемой в рекомендации как Volt Typhoon) и наблюдают, как группа угроз проводит операции по вторжению в сеть против правительственных и оборонных организаций США с 2021 года.
Тактика, методы и процедуры (TTPs) и виктимология, наблюдаемые во время операций Secureworks по реагированию на инциденты (IR), указывают на то, что BRONZE SILHOUETTE нацелена на организации для сбора разведданных, что соответствует требованиям КНР. Угрожающая группа продемонстрировала тщательное внимание к операционной безопасности, например, использование предустановленных двоичных файлов для "жизни за счет земли", включение методов уклонения от защиты и использование взломанной инфраструктуры для предотвращения обнаружения и атрибуции вторжений, а также для смешивания с легитимной сетевой активностью.
Во время работы в июне 2021 года специалисты Secureworks обнаружили, что BRONZE SILHOUETTE получил первоначальный доступ к однофакторной среде Citrix взломанной организации через учетную запись администратора домена. Неясно, как субъекты угрозы получили эти учетные данные. BRONZE SILHOUETTE переместился на другой веб-сервер и запустил простую веб-оболочку на базе Java (AuditReport.jspx). Специалисты по реагированию на инциденты компании Secureworks наблюдали, как участники угрозы выполнили ряд разведывательных команд через веб-оболочку.
Indicators of Compromise
IPv4
- 104.161.54.203
- 109.166.39.139
- 23.227.198.247
MD5
- 006c4a5950f75c2c9049cda1a62c09a0
- 670545a24a2ce2ac7a0e863790bfe2e1
- af3a81605aa8e29c8be9e91d2ce19fc1
SHA1
- 3a9d8bb85fbcfe92bae79d5ab18e4bca9eaf36ce
- 4ba6b043313c8d163f2ab7c4505c8b9b8cd68061
- 4d3572cfc8460fe0299377f6bc05d865a987529f
- a9e32e2bd499c1070f4e0b5a6d85119f1aa0a778
- ee8df354503a56c62719656fae71b3502acf9f87
- fe95a382b4f879830e2666473d662a24b34fccf3