Chinesische Hacker der Gruppe „Salt Typhoon“ exploiteren Schwachstellen in Exchange, um gezielt Organisationen anzugreifen

Die chinesische Advanced Persistent Threat (APT)-Gruppe, bekannt als Salt Typhoon, auch unter den Namen FamousSparrow, GhostEmperor, Earth Estries und UNC2286, hat weltweit wichtige Sektoren ins Visier genommen. Seit mindestens 2019 fokussiert sich diese Gruppe insbesondere auf Telekommunikations- und Regierungsbehörden in den Vereinigten Staaten, im asiatisch-pazifischen Raum, im Nahen Osten und in Südafrika.

Salt Typhoon ist bekannt für seine fortschrittlichen Cyberspionagefähigkeiten und seine umfassende Erfahrung in illegalen Aktivitäten. Die Gruppe verwendet verschiedene Hintertüren und Hacking-Tools, um dauerhaften Zugang zu Systemen zu erhalten und gleichzeitig die Wahrscheinlichkeit einer Entdeckung zu minimieren.

Ausnutzungstechniken und Ziele

Salt Typhoon wurde dabei beobachtet, wie sie Schwachstellen wie ProxyLogon in Microsoft Exchange ausnutzte, durch die Angreifer Exchange-Server übernehmen können, ohne gültige Anmeldedaten zu benötigen. Diese vorab authentifizierte RCE-Exploit-Kette (Remote Code Execution) ist besonders gefährlich, da sie es Angreifern ermöglicht, vollständige Kontrolle über jeden erreichbaren Exchange-Server zu übernehmen.

Die Gruppe nutzt auch öffentliche Cloud- und Kommunikationsdienste wie GitHub, Gmail, AnonFiles und File.io, um heimlich Befehle zu übertragen und gestohlene Daten zu exfiltrieren. Zudem setzt Salt Typhoon PowerShell-Downgrade-Angriffe ein, um die Protokollierung durch das Windows Antimalware Scan Interface (AMSI) zu umgehen, was die Erkennung ihrer Aktivitäten zusätzlich erschwert.

Strategien zur Emulation und Abwehr von Gegnern

Um diesen Bedrohungen entgegenzuwirken, hat AttackIQ eine Bewertungsrichtlinie entwickelt, die die Taktiken, Techniken und Verfahren (TTPs) von Salt Typhoon nachahmt. Diese Vorlage ermöglicht es Organisationen, ihre Sicherheitsmaßnahmen zu testen und ihre Fähigkeit zur Abwehr solcher ausgeklügelten Bedrohungen zu beurteilen.

Zu den wichtigsten nachgeahmten Techniken gehören Ausführungsmethoden wie PowerShell und Visual Basic Scripting, Persistenztechniken wie Änderungen an der Registrierung sowie Strategien zur Umgehung der Verteidigung, wie das Deaktivieren von Sicherheitssoftware. Durch die Fokussierung auf diese kritischen TTPs können Organisationen ihre Sicherheitslage verbessern und ihre Erkennungs- und Präventionsfähigkeiten gegenüber den Spionageoperationen von Salt Typhoon stärken.

Die Anwendung dieser Bewertungsrichtlinie ist für Organisationen entscheidend, um die Effektivität ihrer Sicherheitskontrollen im Vergleich zu aktuellen chinesischen APT-Aktivitäten zu bewerten. Sie hilft außerdem dabei, die Sicherheitslage gegenüber Bedrohungen aus den Bereichen Regierung und Telekommunikation zu analysieren. Die kontinuierliche Validierung der Erkennungs- und Präventionsmechanismen ist unerlässlich, um die Risiken im Zusammenhang mit den globalen Spionageoperationen von Salt Typhoon zu verringern. Durch die Priorisierung der Erkennung und Eindämmung spezifischer Techniken, wie etwa DLL-Side-Loading und geplante Aufgaben, können Organisationen ihre Verwundbarkeit gegenüber diesen Angriffen erheblich verringern.

Bild/Quelle: https://depositphotos.com/de/home.html