Volt Typhoon

APT / EstatalG1017
OrigemChina
Técnicas (MITRE ATT&CK)81
FonteMITRE ATT&CK
Também conhecido como:BRONZE SILHOUETTEVanguard PandaDEV-0391UNC3236VoltziteInsidious TaurusDazedToad

Análise Vexday

Volt Typhoon é um agente patrocinado pelo Estado da República Popular da China, ativo pelo menos desde 2021, com atuação voltada principalmente a organizações de infraestrutura crítica nos Estados Unidos e em seus territórios, incluindo Guam. O padrão de comportamento do grupo foi avaliado como pré-posicionamento para movimentação lateral em ativos de tecnologia operacional (OT), visando potenciais ataques destrutivos ou disruptivos. Nas suas operações, o grupo enfatiza a furtividade por meio de web shells, binários living-off-the-land (LOTL), atividades manuais no teclado e uso de credenciais roubadas. O grupo possui 81 técnicas documentadas no MITRE ATT&CK e é associado à exploração de 2 CVEs, sendo também referenciado pelos aliases BRONZE SILHOUETTE, Vanguard Panda, DEV-0391, UNC3236, Voltzite e Insidious Taurus.

Técnicas (MITRE ATT&CK) 81

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Reconhecimento
Gather Victim Identity InformationEmail AddressesGather Victim Network InformationNetwork TopologyNetwork Security AppliancesGather Victim Org InformationIdentify RolesGather Victim Host InformationSearch Open Websites/DomainsSearch Victim-Owned WebsitesScan Databases
Preparação de recursos
Virtual Private ServerServerBotnetNetwork DevicesExploitsToolVulnerabilities
Acesso inicial
Exploit Public-Facing Application
Execução
Windows Management InstrumentationPowerShellWindows Command ShellUnix Shell
Persistência
External Remote ServicesWeb Shell
Escalada de privilégio
Exploitation for Privilege Escalation
Acesso a credenciais
LSASS MemoryNTDSUnsecured CredentialsPrivate KeysCredentials from Password StoresCredentials from Web Browsers
Descoberta
System Service DiscoveryApplication Window DiscoveryQuery RegistrySystem Network Configuration DiscoveryInternet Connection DiscoveryRemote System DiscoverySystem Owner/User DiscoveryNetwork Service DiscoverySystem Network Connections DiscoveryProcess DiscoveryPermission Groups DiscoveryLocal GroupsDomain GroupsFile and Directory DiscoveryLocal AccountDomain AccountPeripheral Device DiscoverySystem Time DiscoveryBrowser Information DiscoverySoftware DiscoverySystem Location DiscoveryLog EnumerationLocal Storage Discovery
Movimento lateral
Remote Desktop ProtocolLateral Tool Transfer
Coleta
Data from Local SystemKeyloggingData StagedLocal Data StagingScreen CaptureArchive via Utility
Comando e controle
ProxyInternal ProxyMulti-hop ProxyIngress Tool TransferSymmetric Cryptography
defense-impairment
Modify RegistryClear Windows Event Logs
stealth
Direct Volume AccessSoftware PackingMatch Legitimate Resource Name or LocationMasquerade File TypeFile DeletionClear Network Connection History and ConfigurationsValid AccountsDomain AccountsDeobfuscate/Decode Files or InformationSystem Binary Proxy ExecutionSystem Checks

Vulnerabilidades exploradas 2

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2014-7169CRITICALEPSS 100%KEVCVE-2016-6662EPSS 68%

O grupo Volt Typhoon usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →