Flux RSS des mises à jour de s... Note

Flux RSS des mises à jour de sécurité du CISA

L'Agence de la sécurité des infrastructures et de la cybersécurité (CISA) publie régulièrement des conseils de cybersécurité pour informer les organisations et les individus sur les menaces et les vulnérabilités potentielles. Ces conseils comprennent des rapports détaillés sur des questions de cybersécurité spécifiques, les tactiques, techniques et procédures des acteurs de la menace, ainsi que des indicateurs de compromission et des recommandations pour atténuer ces menaces. La CISA fournit également des alertes, qui sont des résumés concis couvrant les questions de sécurité actuelles, les vulnérabilités et les exploits. En outre, la CISA offre des conseils sur les systèmes de contrôle industriel (SCI) qui se concentrent sur les vulnérabilités des produits SCI et leurs mesures d'atténuation.

Fil de notes

La CISA a réagi à un incident de cybersécurité dans une agence fédérale américaine après que son outil de détection et de réponse des points d'extrémité a signalé une activité suspecte. L'agence a été compromise en exploitant la CVE-2024-36401 dans deux GeoServers. Cette vulnérabilité, divulguée peu avant son exploitation, a permis aux attaquants d'obtenir l'exécution de code à distance.Les attaquants sont restés indétectés pendant trois semaines, période pendant laquelle ils se sont déplacés latéralement vers d'autres serveurs. Les principales leçons tirées de cet engagement mettent en évidence des défaillances critiques en matière de sécurité. La remédiation rapide des vulnérabilités, en particulier dans les systèmes exposés au public, est essentielle.Les organisations doivent tester et mettre à jour régulièrement leurs plans de réponse aux incidents, en veillant à ce qu'ils facilitent l'assistance de tiers. L'examen continu des alertes de détection et de réponse des points d'extrémité est crucial pour la détection rapide des menaces. La mise en œuvre d'une journalisation complète et centralisée est également essentielle pour une analyse efficace des incidents.Les attaquants ont utilisé des outils disponibles publiquement pour la reconnaissance, le développement de ressources et diverses étapes de leur attaque. Ils ont utilisé des web shells, des cron jobs et des comptes valides pour la persistance. Des tentatives d'escalade de privilèges ont été effectuées à l'aide d'exploits Linux connus.Les tactiques d'évasion de la défense comprenaient l'exécution indirecte de commandes et l'utilisation d'outils tels que RingQ. L'accès aux identifiants a été obtenu par des techniques de force brute et l'exploitation de comptes de service. Les efforts de découverte comprenaient la numérisation du réseau et des outils d'évaluation des vulnérabilités. La CISA fournit des indicateurs de compromission et des détails techniques pour aider les organisations à prévenir des attaques similaires.
CdXz5zHNQW_HWczZ8ypOU.jpeg
"Cette mise en garde, émise par plusieurs agences internationales de cybersécurité, détaille les cyberattaques parrainées par l'État chinois ciblant les réseaux mondiaux. Ces attaques, souvent liées à des entités chinoises spécifiques, se concentrent sur les réseaux de télécommunications, de gouvernement et d'infrastructure. Les attaquants compromettent des appareils, y compris des routeurs, pour obtenir un accès initial, puis basculent vers d'autres réseaux en utilisant des connexions de confiance. Ils exploitent des vulnérabilités connues, en particulier sur les appareils de périphérie, et exploitent activement de nouvelles vulnérabilités découvertes. Les techniques incluent la modification des contrôles d'accès, l'ouverture de ports et l'utilisation de tunnels pour maintenir un accès persistant, souvent en dissimulant leur véritable origine. L'objectif est de voler des données pour l'espionnage, y compris le suivi des communications et des déplacements. La mise en garde fournit des détails sur les tactiques, les techniques et les procédures (TTP) et encourage les défenseurs de réseaux à mettre en œuvre des mesures d'atténuation. Plusieurs groupes de menaces connus sont liés à cette activité, bien que la mise en garde utilise un terme générique "acteurs APT". Les attaquants exploitent plusieurs vulnérabilités CVE, notamment celles ciblant les produits Cisco, Palo Alto et Ivanti. Les organisations sont invitées à signaler les détails de la compromission pour améliorer la défense collective."
L'Agence de cybersécurité et de sécurité des infrastructures (CISA) et la Garde côtière américaine (USCG) ont mené une chasse à la cybersécurité au sein d'une organisation d'infrastructure critique. Cet avis partage leurs conclusions afin d'aider d'autres organisations à améliorer leur posture de sécurité. Bien qu'aucune activité malveillante n'ait été découverte, plusieurs risques en matière de cybersécurité ont été identifiés. Il s'agissait notamment d'une journalisation insuffisante, d'identifiants stockés de manière non sécurisée et d'identifiants d'administrateur local partagés. L'organisation disposait également d'un accès à distance sans restriction pour les comptes d'administrateur local. De plus, il y avait une segmentation réseau insuffisante entre les actifs informatiques et les technologies opérationnelles (OT), ainsi que plusieurs mauvaises configurations d'appareils. Des recommandations de mitigation ont été fournies, conformément aux objectifs de performance en matière de cybersécurité de la CISA et du NIST. Les mesures d'atténuation clés impliquent la gestion sécurisée des identifiants, l'évitement du stockage en texte brut et l'application du principe du moindre privilège. Il est instamment demandé aux organisations de mettre en œuvre ces mesures pour prévenir les compromissions potentielles. Des mots de passe administrateur uniques et une authentification multifacteur pour tout accès administratif sont cruciaux. Des politiques strictes devraient être appliquées pour l'accès aux réseaux OT, en utilisant des hôtes bastion durcis. Une journalisation complète et détaillée sur tous les systèmes est également recommandée.
Le ransomware Interlock, apparu pour la première fois à la fin septembre 2024, cible les entreprises et les infrastructures critiques en Amérique du Nord et en Europe. Ce ransomware motivé par des gains financiers utilise un modèle d'extorsion double, chiffrant les données après exfiltration. L'accès initial est obtenu par des méthodes inhabituelles telles que des téléchargements par drive-by à partir de sites web compromis et de l'ingénierie sociale, en particulier la technique ClickFix. Après l'infection, Interlock utilise divers outils pour la reconnaissance, le vol d'informations d'identification et le mouvement latéral dans le réseau. Le ransomware cible principalement les machines virtuelles, chiffrant les fichiers avec des extensions .interlock ou .1nt3rlock. Les demandes de rançon ne sont pas initialement affichées, mais sont communiquées via un code unique et une URL .onion après contact avec les victimes. Le FBI, CISA, HHS et MS-ISAC publient cet avis pour partager des indicateurs de compromission et des tactiques, techniques et procédures pour aider aux efforts de mitigation. L'avis met en avant l'importance de mettre en œuvre des outils de détection et de réponse robustes pour les points de terminaison (EDR) pour se protéger contre Interlock. Des similarités entre Interlock et le ransomware Rhysida sont notées. Les organisations sont encouragées à suivre les recommandations de mitigation fournies pour réduire les risques. L'avis se conclut avec un tableau listant les outils utilisés par les acteurs.
L'Agence de la cybersécurité et de la sécurité des infrastructures (CISA) publie un avis en réponse aux acteurs de ransomware qui utilisent des instances non corrigées d'une vulnérabilité dans SimpleHelp Remote Monitoring and Management (RMM) pour compromettre les clients d'un fournisseur de logiciel de facturation d'utilité. Les acteurs de ransomware ciblent les organisations depuis janvier 2025 à travers des versions non corrigées de SimpleHelp RMM. Les versions 5.5.7 de SimpleHelp et antérieures contiennent plusieurs vulnérabilités, notamment CVE-2024-57727, qui est une vulnérabilité de traversal de chemin. La CISA a ajouté CVE-2024-57727 à son catalogue des vulnérabilités exploitées connues (KEV) le 13 février 2025. La CISA exhorte les vendeurs de logiciels, les clients en aval et les utilisateurs finaux à mettre en œuvre immédiatement les mesures d'atténuation recommandées en cas de compromission confirmée ou de risque de compromission. Les mesures d'atténuation incluent l'isolement de l'instance du serveur SimpleHelp de l'internet ou l'arrêt du processus du serveur, la mise à jour vers la dernière version de SimpleHelp et la réalisation d'actions de chasse aux menaces pour détecter des signes de compromission. La CISA recommande également la mise en œuvre de mesures d'atténuation proactives pour réduire les risques, comme la tenue d'un inventaire des actifs robuste, la réalisation de sauvegardes système quotidiennes et l'établissement de canaux de communication ouverts avec les fournisseurs tiers. Si un système a été chiffré par du ransomware, la CISA recommande de déconnecter le système affecté de l'internet, de réinstaller le système d'exploitation, de nettoyer le système et de restaurer les données à partir d'une sauvegarde propre.
Le FBI et la CISA ont publié un avis conjoint sur le malware LummaC2, qui peut infiltrer les réseaux informatiques et exfiltrer des informations sensibles d'individus et d'organisations dans plusieurs secteurs d'infrastructure critique des États-Unis. Le malware a été observé récemment en mai 2025, avec des indicateurs de compromis remontant à novembre 2023. LummaC2 est généralement déployé à travers des liens et des pièces jointes de phishing ciblés, et peut contourner les mesures de sécurité informatique standard. Une fois infecté, le malware peut exfiltrer des informations sensibles d'utilisateur, notamment des informations personnelles, des informations d'identification personnelle, des coordonnées bancaires et des détails d'authentification multifactorielle. Le malware utilise un serveur de commande et de contrôle pour recevoir des instructions, et peut voler des données, prendre des captures d'écran et se supprimer lui-même. L'avis comprend des indicateurs de compromis, et recommande que les organisations enquêtent et vérifient ces indicateurs avant de prendre des mesures. Le FBI et la CISA encouragent les organisations à mettre en œuvre les recommandations du chapitre Mitigations de l'avis pour réduire la probabilité et l'impact du malware LummaC2. L'avis utilise le framework MITRE ATT&CK Matrix for Enterprise pour mapper l'activité des acteurs de menace à des tactiques et des techniques. Le malware LummaC2 a été observé à la vente sur des forums de cybercriminels russophones depuis 2022, et a été utilisé pour voler des informations sensibles à plus de 21 000 victimes.
CdXz5zHNQW_Da7Y5uJ2dv.png
Le flux rapide est une technique malveillante où les attaquants modifient rapidement les enregistrements DNS pour cacher l'emplacement de leurs serveurs et éviter la détection. Cela pose une menace significative pour la sécurité nationale, permettant aux cybercriminels et aux acteurs étatiques de maintenir une infrastructure de commandement et de contrôle (C2) résiliente. L'avis, publié conjointement par plusieurs agences, met en garde les organisations et les fournisseurs de services contre les activités malveillantes activées par le flux rapide. Il exhorte les fournisseurs, en particulier les fournisseurs de DNS publics, à développer des capacités de détection et de blocage du flux rapide. Le document fournit des conseils sur la détection et la mitigation du flux rapide en utilisant l'analyse DNS, la surveillance du réseau et l'intelligence menaçante. Le flux rapide utilise des techniques telles que le flux simple et double, en utilisant des hôtes compromis et des botnets pour le proxying. Cela facilite la résilience, l'anonymat et la circumvention efficace du blocage d'adresses IP, permettant ainsi le phishing et les marchés malveillants. L'avis recommande une approche en couches pour la détection, incluant les flux d'intelligence menaçante, la détection d'anomalies et l'analyse TTL. Les stratégies de mitigation impliquent le blocage des domaines et des adresses IP malveillants, la filtration de réputation et la surveillance renforcée. La collaboration et le partage d'informations sont essentiels pour défendre contre le flux rapide.
Le FBI, CISA et NSA ont identifié l'unité GRU 29155 de la Russie comme responsable des opérations cyber contre des entités mondiales depuis 2020, visant l'espionnage, le sabotage et la réputation. Cette unité, distincte d'autres groupes cyber GRU, a déployé le malware destructeur WhisperGate contre des organisations ukrainiennes en janvier 2022. Pour atténuer cette menace, les organisations doivent privilégier les mises à jour système, la segmentation du réseau et l'authentification à plusieurs facteurs. Ce guide pratique expose les tactiques, techniques et procédures employées par l'unité 29155, y compris leur utilisation d'outils et de vulnérabilités publics.Le FBI estime que les acteurs cyber de l'unité 29155 sont de jeunes officiers GRU qui gagnent de l'expérience à travers des opérations cyber et comptent sur des individus non-GRU pour leur soutien. L'industrie de la cybersécurité suit ce groupe sous divers noms, tels que Cadet Blizzard, Ember Bear et Frozenvista.En plus de l'Ukraine, l'unité 29155 a ciblé des membres de l'OTAN et d'autres pays en Europe, en Amérique latine et en Asie centrale. Leurs activités comprennent des défacements de sites web, des scans d'infrastructure, des exfiltrations de données et des fuites de données publiques. Depuis le début de 2022, leur focus s'est déplacé vers la perturbation de l'aide à l'Ukraine.Le FBI a observé plus de 14 000 instances de scan de domaine dans 26 pays membres de l'OTAN et plusieurs pays de l'UE. L'unité 29155 cible les secteurs d'infrastructure critique, y compris les services gouvernementaux, la finance, les transports, l'énergie et la santé. Leurs techniques de reconnaissance comprennent l'utilisation d'outils comme Acunetix, Amass, MASSCAN et Shodan pour scanner les vulnérabilités et collecter des informations. Ils ont été observés en train d'obtenir des scripts d'exploitation pour divers CVE et de les utiliser pour accéder initialement. Le groupe utilise fréquemment des techniques de red teaming courantes et des outils publics, comptant sur les forums sombres pour obtenir des malwares et des chargeurs. Ils ont exploité des vulnérabilités dans les caméras IP Dahua pour contourner l'authentification et ont exfiltré des données. L'unité 29155 a employé diverses méthodes pour le mouvement latéral, y compris l'utilisation de Shodan pour identifier les appareils IoT et l'exploitation de vulnérabilités dans les caméras IP pour accéder et vider les paramètres de configuration. Le guide pratique fournit une liste d'indicateurs de compromission (IOCs) pour aider à identifier et à atténuer les menaces potentielles associées à ce groupe.
Meilleures pratiques en matière de journalisation des événements pour la mitigation des menaces cyberCe guide définit les meilleures pratiques en matière de journalisation des événements afin d'améliorer la sécurité cyber et la visibilité du réseau, en abordant les défis tels que les techniques de "vivre sur le terrain" utilisées par les acteurs malveillants.Quatre facteurs clés pour une journalisation efficace- Politique de journalisation des événements approuvée par l'entreprise : Établit une approche cohérente à la journalisation dans tous les environnements. - Accès centralisé aux journaux d'événements et corrélation : Permet une surveillance et une analyse efficaces des journaux d'événements. - Stockage sécurisé et intégrité des journaux d'événements : Préserve l'intégrité et l'accessibilité des journaux d'événements. - Stratégie de détection pour les menaces pertinentes : Cible la journalisation sur l'identification des activités malveillantes et des indicateurs de compromission.Qualité des journaux d'événements- Les journaux d'événements de haute qualité fournissent des informations détaillées sur les événements de sécurité, aidant à l'identification des incidents et à la détection des menaces. - Les considérations pertinentes pour la détection LOTL incluent la capture de journaux sur des commandes et des outils spécifiques utilisés par les acteurs malveillants.Détails des journaux d'événements capturés- Les journaux d'événements doivent contenir suffisamment d'informations pour que les défenseurs du réseau puissent enquêter et répondre aux incidents, y compris les timestamps, les types d'événements et les identifiants de système. - L'utilisation de paires clé-valeur pour la mise en forme des données simplifie l'analyse des journaux.Considérations sur la technologie opérationnelle- Les appareils OT ont souvent des capacités de journalisation limitées, nécessitant des solutions supplémentaires ou des communications de journalisation hors bande.Consistance et synchronisation- Les formats de journalisation cohérents et les timestamps synchronisés entre les systèmes facilitent la recherche et la corrélation des journaux. - Les sources de temps précises aident à identifier les liens entre les événements.Ressources supplémentaires- Le manuel de sécurité de l'information de l'ASD : Fournit des lignes directrices pour l'enregistrement des journaux d'événements. - La directive M-21-31 du CISA : Décrit les priorités pour la collecte des journaux. - Le guide de sécurité OT du NIST : Aborde les considérations spécifiques à la journalisation des événements OT.
Cette note d'orientation détaille les activités et les menaces posées par un groupe de cyber-attaquants parrainé par l'État chinois connu sous le nom d'APT40, ciblant les réseaux australiens et internationaux.Aperçu des activités :- APT40 utilise des techniques sophistiquées pour exploiter les vulnérabilités dans des logiciels populaires (par exemple, Log4J, Atlassian Confluence, Microsoft Exchange) et pénétrer dans les réseaux. - Le groupe compromet souvent des infrastructures vulnérables accessibles au public et utilise des appareils compromis comme infrastructure opérationnelle. - APT40 met l'accent sur l'établissement de la persistance et l'obtention de crédentials valides pour maintenir l'accès.Techniques notables :- APT40 a tendance à utiliser des appareils SOHO (Small Office/Home Office) compromis comme infrastructure C2. - L'utilisation par le groupe d'infrastructures acquises ou louées comme infrastructure C2 a diminué.Outils :- L'ACSC d'ASD a fourni des échantillons de fichiers malveillants pour l'analyse et la détection.Études de cas :- Deux rapports d'enquête anonymisés mettent en évidence les techniques et les pratiques d'APT40. - Dans l'un des cas, l'organisation a été ciblée intentionnellement et des données sensibles ont été exfiltrées. - L'enquête a révélé la capacité du groupe à se déplacer latéralement dans le réseau et à obtenir des crédentials privilégiés.Conclusion :APT40 demeure une menace significative pour les organisations dans le monde entier. Comprendre leurs tactiques, techniques et procédures est crucial pour mettre en œuvre des mesures d'atténuation efficaces.
Cette Cybersecurity Advisory (CSA) vise à fournir des informations sur Black Basta, une variante de ransomware-as-a-service, pour aider les organisations à se protéger. D'abord identifié en avril 2022, Black Basta a touché de nombreuses organisations dans les secteurs d'infrastructure critique à l'échelle mondiale. Les affiliés de Black Basta exploitent des vulnérabilités courantes, telles que des e-mails de phishing et des défauts logiciels, pour accéder aux systèmes des victimes. Ils emploient une tactique de double-extorsion en chiffrant les données et en les volant pour une utilisation future. Les victimes ont un délai pour répondre aux demandes de rançon, généralement communiquées via une URL .onion, ou risquent de voir leurs données publiées sur le site Tor "Basta News". Les acteurs de Black Basta ciblent les organisations de santé en raison de leur nature critique et de leur accès potentiel à des données personnelles sensibles. Les organisations sont fortement encouragées à examiner et à mettre en œuvre les recommandations de mitigation fournies pour renforcer leurs défenses contre Black Basta et d'autres menaces de ransomware similaires. L'avis détaille les tactiques et les techniques de Black Basta, en les cartographiant sur le cadre MITRE ATT&CK pour une compréhension exhaustive. Il expose leurs méthodes d'accès initial, d'élévation de privilèges, d'évasion de défense, d'exécution et des outils utilisés à chaque étape. De plus, le CSA fournit une liste d'indicateurs de compromission (IOCs), y compris des hachages de fichiers associés à Black Basta, aidant les organisations à détecter d'éventuelles infections. Les victimes d'attaques de ransomware Black Basta sont invitées à signaler l'incident au FBI ou à la CISA pour obtenir de l'aide et du soutien.
Cette Cybersecurity Advisory traite du ransomware Akira, en exposant ses tactiques, techniques et procédures, ainsi que les indicateurs de compromis, pour aider les organisations à renforcer leurs défenses. Depuis son apparition en 2023, Akira a ciblé divers secteurs dans le monde entier, affectant plus de 250 organisations et accumulant une somme estimée à 42 millions de dollars en paiements de rançon. Le ransomware exploite les vulnérabilités dans les services VPN, RDP, la phishing ciblée et les informations d'identification compromises pour accéder initialement au système. Après l'infiltration, les acteurs d'Akira établissent une persistance, augmentent leurs privilèges et mènent des recherches au sein du réseau compromis. Ils emploient des techniques d'évasion de défense, y compris la désactivation des logiciels de sécurité, et utilisent un modèle d'extorsion double, exfiltrant des données avant de crypter les systèmes. L'exfiltration des données est réalisée à l'aide d'outils tels que FileZilla, WinRAR et RClone, avec des canaux de commande et de contrôle établis via AnyDesk, MobaXterm et des outils similaires. La cryptographie est réalisée en utilisant une méthode hybride robuste qui combine les algorithmes ChaCha20 et RSA, rendant difficile la récupération du système. Les victimes reçoivent des notes de rançon avec des instructions pour contacter les acteurs menaçants, avec des paiements demandés en Bitcoin. L'avis détaille également les outils utilisés, les indicateurs de compromis et deux variants distincts d'Akira, y compris la nouvelle variante Akira_v2, mettant en évidence ses fonctionnalités améliorées et son évolution.
Cybercriminels exploitent activement des vulnérabilités dans les passerelles Ivanti Connect Secure et Policy Secure, ce qui leur permet d'exécuter des commandes arbitraires avec des privilèges élevés. Ces vulnérabilités affectent toutes les versions prises en charge et sont utilisées dans une chaîne d'exploits pour contourner l'authentification et élaborer des requêtes malveillantes.Malgré l'outil de vérification d'intégrité d'Ivanti (ICT), la CISA a conclu qu'il est insuffisant pour détecter la compromission, car les cybercriminels ont réussi à le tromper et à maintenir une persistance de niveau racine même après les réinitialisations d'usine.Les défenseurs du réseau devraient supposer que les informations d'identification des utilisateurs et des comptes de service sont compromises, chasser l'activité malveillante, exécuter la dernière version de l'ICT et appliquer les correctifs dès qu'ils sont disponibles.En cas de compromission, les organisations devraient mettre en quarantaine les hôtes affectés, les réinitialiser, réinitialiser les mots de passe, identifier et supprimer les comptes administrateurs malveillants, et collecter et analyser les artefacts.La CISA recommande aux organisations de considérer le risque significatif d'accès et de persistance de l'adversaire sur les passerelles Ivanti et d'évaluer si elles doivent continuer à les exploiter.La directive d'urgence fédérale (DE) 24-01 exige que les agences du gouvernement fédéral des États-Unis (FCEB) prennent des mesures spécifiques sur les produits affectés.Le Centre canadien pour la cybersécurité a émis une alerte avec des mises à jour périodiques pour les professionnels de la technologie de l'information affectés.Des indicateurs de compromission (IC) et des règles YARA sont fournis pour aider à détecter l'activité cybercriminelle.Les défenseurs du réseau devraient cartographier l'activité cybercriminelle malveillante au framework MITRE ATT&CK pour améliorer la détection et la réponse.
Un acteur de menace non identifié a compromis les informations d'identification d'un administrateur réseau d'un ancien employé pour accéder à l'environnement local d'une organisation gouvernementale d'État via un réseau privé virtuel (VPN). L'acteur a utilisé des comptes compromis et exécuté des requêtes LDAP pour collecter des informations sur les utilisateurs et les hôtes, qui ont ensuite été publiées sur un site de courtage sombre.Points clés: - Les acteurs de menace exploitent fréquemment les comptes d'anciens employés pour accéder aux organisations. - L'acteur de menace a compromis un compte d'administrateur de domaine global, lui accordant des privilèges administratifs sur les environnements à la fois locaux et Azure. - L'acteur a exécuté des requêtes LDAP pour collecter des informations détaillées sur les utilisateurs, les hôtes et les relations de confiance. - L'acteur s'est authentifié auprès de divers services, y compris CIFS, pour la découverte du réseau et l'exploration des fichiers. - L'organisation victime n'avait pas désactivé le compte de l'employé compromis immédiatement après son départ. - L'organisation victime a pris des mesures rapides pour désactiver les comptes compromis et supprimer les privilèges d'administrateur après avoir découvert la publication sur le web sombre.Mitigations:- Désactivez les comptes des anciens employés immédiatement après leur départ. - Mettez en œuvre l'authentification à plusieurs facteurs (AMF) pour tous les comptes administratifs. - Effectuez régulièrement des audits et des surveillances des comptes du répertoire actif pour détecter les activités suspectes. - Mettez en place des outils de surveillance et de détection du réseau pour détecter l'accès non autorisé. - Réalisez des évaluations de sécurité régulières pour identifier et résoudre les vulnérabilités.
Les agences américaines, y compris la CISA, la NSA et le FBI, ont identifié que les acteurs cyber étatiques chinois connus sous le nom de Volt Typhoon ciblent les organisations d'infrastructure critique aux États-Unis.Volt Typhoon a compromis les réseaux IT dans des secteurs tels que les communications, l'énergie, les transports et les systèmes d'eau, principalement via des vulnérabilités connues ou des exploits zero-day.Le comportement du groupe suggère qu'ils se positionnent pour des attaques disruptives ou destructrices sur les actifs OT pendant les tensions géopolitiques ou les conflits militaires.Volt Typhoon mène une reconnaissance pré-exploitation extensive pour adapter leurs tactiques à l'environnement ciblé et maintenir un accès persistant grâce à des techniques LOTL et une sécurité opérationnelle solide.Ils élèvent souvent les privilèges pour obtenir des informations d'administrateur, ce qui leur permet de se déplacer latéralement vers les contrôleurs de domaine et d'autres appareils, y compris les systèmes OT.Volt Typhoon utilise des binaires LOTL et PowerShell pour extraire des informations sensibles des journaux d'événements et du fichier NTDS.dit, contournant les mécanismes de verrouillage de fichiers.Ils emploient le cracking de mots de passe hors ligne pour obtenir des mots de passe en clair et un accès élevé pour une infiltration et une découverte ultérieures.Volt Typhoon a démontré la capacité d'accéder et de manipuler les actifs OT, tels que les systèmes de climatisation et les contrôles énergétiques, ce qui pose une menace potentielle pour l'infrastructure critique.Les partenaires internationaux estiment que la menace pour l'infrastructure dans leurs pays respectifs est plus faible, mais pourrait être affectée par les perturbations de l'infrastructure américaine.Les organisations d'infrastructure critique sont instamment priées de mettre en œuvre des mesures d'atténuation et de chasser l'activité malveillante pour prévenir ou répondre aux incidents.