Китайские хакеры обновили тактику атаки на объекты КИИ

Китайская группировка под названием Volt Typhoon известна с середины 2020-го года. Интерес для нее в основном представляет получение удаленного доступа к желаемым целям.

CrowdStrike проанализировала тактику их атаки. Для получения первоначального доступа используется программа автоматизации заявок с сайта ManageEngine Self-service Plus. Сохранить постоянный доступ помогают кастомизированные скрипты веб-оболочки, горизонтальное перемещение происходит за счет атак Living off the Land.

Группировка Volt Typhoon известна кибершпионажем в отношении правительственных структур США, а также объектов американской критической информационной инфраструктуры. Она фокусируется на брешах в операционной безопасности и использует ограниченный набор инструментов из открытых источников в отношении ограниченного количества жертв. Хакеры группировки специализируются на долговременных атаках.