Alerte sécurité Volt Typhoon : la réponse des produits Stormshield

Publié le : 25 05 2023 | Modifié le : 27 06 2023

Auteur : Edouard Simpere

3 minutes

Une attaque persistante (APT) de grande envergure réalisée par le groupe de cyber-criminels chinois nommé Volt Typhoon vient d’être signalée par le gouvernement américain, conjointement avec plusieurs entités privées dans la cybersécurité. Cette cyberattaque a ciblé des infrastructures américaines critiques et semble être infiltrée depuis 2021.

 

Le contexte de l'attaque Volt Typhoon

La NSA a publié le 24 mai 2023 l'analyse d’une APT chinoise ciblant les infrastructures américaines critiques dans les secteurs de la communication, le transport, la construction, la marine ou encore l’éducation. Une attaque attribuée au groupe Volt Typhoon. Un groupe qui n’en serait pas à son premier coup, puisqu’il serait connu aussi sous le nom de Bronze Silhouette (une analyse de l'entreprise SecureWork).

Ce document relate une cyberattaque dont l’objectif principal est l’espionnage et l’exfiltration de données par des moyens les plus discrets possibles.

La collecte d’informations exploite massivement l’usage de LOLBin dans le but de contourner les restrictions d’exécutions potentiellement effectives sur les postes de travail et limiter au maximum de déclencher des alertes de sécurité.

Pour exfiltrer les données vers son C&C, le groupe Volt Typhoon a utilisé des relais créés suite à compromission préalable d’équipements SoHo (Small Office / Home Office), notamment des routeurs, firewall ou VPN de différentes marques et gammes (ASUS, Cisco RV, Draytek Vigor, D-Link, FatPipe IPVPN / MPVPN / WARP, Netgear Prosafe, ou encore Zyxel USG). Ce principe permet de masquer au maximum ces communications.

 

Le vecteur initial de l'attaque Volt Typhoon

L’accès initial de cette cyberattaque a été conduit sur des équipements Fortigate de Fortinet qui auraient permis ensuite aux cyber-criminels de collecter des données d’authentification auprès de l’AD auquel ils seraient rattachés. Ils auraient ensuite tenté d’utiliser ces informations de connexion sur d’autres équipements du réseau.

Aucune information n’est donnée concernant les vulnérabilités exploitées sur les équipements Fortigate ou sur les équipements réseaux utilisés comme relais de communication vers le serveur de contrôle.

 

Les détails techniques de l'attaque Volt Typhoon

Une fois les accès au réseau obtenus, le groupe Volt Typhoon / Bronze Silhouette a ensuite lourdement exploité les fameux LOLBins afin de contourner les politiques de restriction d’exécution des postes de travail ainsi que pour maximiser la discrétion.

On retrouve notamment l’usage des binaires / commandes suivants (liste non exhaustive) :

  • wmic process call create […]
  • netsh interface portproxy […]
  • netsh interface firewall […]
  • net group […]
  • net localgroup […]
  • dnscmd /enumrecords
  • ipconfig
  • Get-EventLog security -instanceid 4624
  • reg query
  • reg save
  • certutil
  • makecab
  • etc.

 

Attaque Volt Typhoon et moyens de protection Stormshield

Stormshield Network Security

La signature IPS suivante permet de détecter l’usage d’exploitation de la vulnérabilité CVE-2021-40539 impactant ManageEngine utilisée par le groupe Volt Typhoon :

  • http:79 -> Directory self reference contre la vulnérabilité CVE-2021-40539

Indice de confiance de la protection proposée par Stormshield

Indice de confiance de l’absence de faux positif

Une autre signature permet de bloquer une tentative de reconnaissance effectuée par le groupe. Le déchiffrement SSL au préalable est nécessaire.

  • http:client:header:useragent.110 -> Threat actor recon activity

Indice de confiance de la protection proposée par Stormshield

Indice de confiance de l’absence de faux positif

Les IPs utilisées par les serveurs de contrôle de Bronze Silhouette, qui est très probablement Volt Typhoon, ont été ajoutées au moteur de réputation dans la catégorie « malware ».

Enfin, les échantillons des binaires impliqués dans l’attaque sont détectés par la solution de détonation Breach Fighter.

 

Stormshield Endpoint Security Evolution

Les jeux de règles suivants de la politique par défaut en version 2304a ou 2211b sont déjà capables de détecter de nombreuses exécutions de processus employées durant l’attaque par l’acteur malveillant :

  • Stormshield - Socle de protections
  • Stormshield - Prévention des fuites d'informations
  • Stormshield - Protection contre l'utilisation malveillante des LOLBIN
  • Stormshield - Blocage des applications malveillantes connues
  • Stormshield - Protections avancées

Il est donc important de confirmer que ces jeux de règles sont bien actifs et dans leur version la plus récente dans les politiques appliquées par les agents du parc.

Indice de confiance de la protection proposée par Stormshield

Indice de confiance de l’absence de faux positif

Une unité d’analyse YARA, nommée « APT – Volt Typhoon », est aussi disponible dès à présent sur le serveur de mise à jour de SES et permet de rechercher des traces de l’attaque.

Indice de confiance de la protection proposée par Stormshield

Indice de confiance de l’absence de faux positif

 

Recommandations

Il est fortement recommandé de surveiller l’exécution des commandes utilisées dans l’attaque ainsi que de limiter l’usage de proxy de port au maximum.

 

Attaque Volt Typhoon & IOC

IOCs Volt Typhoon : retrouvez ici les indicateurs de compromission relatifs à l’attaque.

Hashes

SHA256 : f4dd44bc19c19056794d29151a5b1bb76afd502388622e24c863a8494af147dd

SHA256 : ef09b8ff86c276e9b475a6ae6b54f08ed77e09e169f7fc0872eb1d427ee27d31

SHA256 : d6ebde42457fe4b2a927ce53fc36f465f0000da931cfab9b79a36083e914ceca

SHA256 : 472ccfb865c81704562ea95870f60c08ef00bcd2ca1d7f09352398c05be5d05d

SHA256 : 66a19f7d2547a8a85cee7a62d0b6114fd31afdee090bd43f36b89470238393d7

SHA256 : 3c2fe308c0a563e06263bbacf793bbe9b2259d795fcc36b953793a7e499e7f71

SHA256 : 41e5181b9553bbe33d91ee204fe1d2ca321ac123f9147bb475c0ed32f9488597

SHA256 : c7fee7a3ffaf0732f42d89c4399cbff219459ae04a81fc6eff7050d53bd69b99

SHA256 : 3a9d8bb85fbcfe92bae79d5ab18e4bca9eaf36cea70086e8d1ab85336c83945f

SHA256 : fe95a382b4f879830e2666473d662a24b34fccf34b6b3505ee1b62b32adafa15

SHA256 : ee8df354503a56c62719656fae71b3502acf9f87951c55ffd955feec90a11484

IPs

104.161.54.203 : C&C Volt Typhoon / Bronze Silhouette

23.227.198.247 : C&C Volt Typhoon / Bronze Silhouette

109.166.39.139 : C&C Volt Typhoon / Bronze Silhouette

User agent

Mozilla/5.0 (Windows NT 6.1; WOW64; rv:68.0)               Gecko/20100101 Firefox/68.0

Tags :

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Un besoin de précision sur les protections Stormshield ? Les équipes du Support Technique sont à votre disposition pour vous accompagner au mieux. Contactez-les par le biais du gestionnaire d’incidents situé dans l’espace privé MyStormshield. Pour y accéder, sélectionnez le menu « Support technique / Rapporter un incident / Suivre un incident ».
L’équipe de Threat Intelligence de Stormshield remplit deux missions principales : étudier les menaces cyber pour les comprendre et améliorer en continu les protections des produits de Stormshield. Le tout, dans l’optique de contribuer à l’effort de la communauté de la cybersécurité pour faire face aux menaces cyber.
À propos de l'auteur
Edouard Simpere Responsable Cyber Threat Intelligence, Stormshield

Doté d'une forte appétence pour l'humour noir, les pâtisseries de chefs étoilés et l'environnement Windows, Edouard est un mordu de cybersécurité, un vrai. Étendard vivant de la mobilité interne chez Stormshield, il a fait ses premières, deuxièmes et troisièmes armes autour du produit Stormshield Endpoint Security Evolution, comme développeur, architecte et Technical Leader. Puis, il a pris la tête de l'équipe de Threat Intelligence de l'entreprise, en charge de la recherche et du maintien du niveau de protection de l'ensemble des produits de l'entreprise. Un sacré programme pour un sacré couteau suisse, parisien de naissance et lyonnais d'adoption.

Derniers articles

Voir tous les articles de Alertes

En savoir plus