Boletín de ciberataques: Cómo las amenazas utilizan los certificados EV

Boletín de ciberataques: Cómo las amenazas utilizan los certificados EV

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
  1. cybercriminels
    >
  2. Estado-nación Actor

Salt Typhoon

Salt Typhoontambién conocido por alias como Earth Estries, FamousSparrow, GhostEmperor y UNC2286, es un grupo de amenazas persistentes avanzadas (APT) especializado en actividades de ciberespionaje.

Detectar las TTP de Salt Typhoon
¿Está su organización a salvo de los ataques de Salt Typhoon?
Antecedentes y objetivos
TTPs
Cartografía MITRE
Detección
Preguntas frecuentes
Ver sesión informativa sobre amenazas
ANTECEDENTES
PAÍSES
INDUSTRIAS
VÍCTIMAS

El origen de Salt Typhoon

Desde al menos 2020, este grupo ha ejecutado campañas de ciberespionaje muy sofisticadas a escala mundial. Conocido por su avanzado arsenal malware y la explotación de vulnerabilidades zero-day , Salt Typhoon ha ampliado su alcance para incluir nuevas industrias, geografías ampliadas y tácticas más agresivas en 2023. El arsenal y las operaciones de este grupo APT demuestran su compromiso con el sigilo, la persistencia y el compromiso generalizado.

Países destinatarios de Salt Typhoon

Desde 2023, Salt Typhoon ha afectado a más de 20 organizaciones de todo el mundo. Los países afectados incluyen:

  • Asia-Pacífico: Afganistán, Filipinas, India, Indonesia, Malasia, Pakistán, Taiwán, Tailandia y Vietnam.
  • África: Eswatini, Sudáfrica.
  • América: Brasil, Estados Unidos.

Fuente de la imagen: Trend Micro

Industrias a las que se dirige Salt Typhoon

Salt Typhoon se dirige ahora a un abanico más amplio de sectores, como la tecnología, la consultoría, la química, el transporte, los organismos públicos y las organizaciones sin ánimo de lucro, lo que refleja un enfoque muy oportunista y estratégico.

Víctimas objetivo de Salt Typhoon

Las víctimas suelen ser organismos gubernamentales y empresas tecnológicas dedicadas a la innovación, la defensa y las infraestructuras nacionales críticas. Una vez comprometidas, las organizaciones objetivo suelen enfrentarse a tácticas avanzadas de movimiento lateral.

Método de ataque

Salt TyphoonMétodo de ataque

Acceso inicial
Escalada de privilegios
Defensa Evasión
Acceso con credenciales
Descubrimiento
Movimiento lateral
Colección
Ejecución
Exfiltración
Impacto
Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

Compromete cuentas administrativas mediante el robo de credenciales o la infección demalware , a menudo explotando SMB o Windows Management Instrumentation (WMI).

Explota vulnerabilidades en sistemas ampliamente utilizados, incluyendo:

  • Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Cortafuegos de Sophos (CVE-2022-3236)
  • Microsoft Exchange (vulnerabilidades de ProxyLogon: CVE-2021-26855, etc.)
Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

Utiliza herramientas como la carga lateral de DLL y la manipulación del registro para obtener acceso a nivel del sistema.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

Emplea técnicas de ofuscación, como el backdoor GhostSpider y tácticas de "vivir de la vida" con herramientas como WMIC.exe y PsExec, ataques de downgrade de PowerShell y técnicas de enmascaramiento para eludir la detección.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Despliega robos como SnappyBee (Deed RAT) o robos personalizados como TrillClient para obtener credenciales y datos del navegador.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Realiza el descubrimiento de la confianza en el dominio y el reconocimiento de la red para mapear el entorno de la víctima.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Propaga malware utilizando comandos SMB y WMI, desplegando backdoors a través de múltiples máquinas.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

Se centra en archivos confidenciales (por ejemplo, PDF) y utiliza técnicas avanzadas como SnappyBee para robar credenciales y testigos de sesión.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

Despliega cargas maliciosas a través de Cobalt Strike, puertas traseras personalizadas (por ejemplo, Zingdoor o GhostSpider) y HemiGate.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Transfiere los datos recopilados a servidores o servicios externos como AnonFiles, File.io y repositorios públicos.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

Garantiza la persistencia y elimina las pruebas de infección limpiando el sitio malware existente después de cada ronda operativa.

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Acceso inicial

Compromete cuentas administrativas mediante el robo de credenciales o la infección demalware , a menudo explotando SMB o Windows Management Instrumentation (WMI).

Explota vulnerabilidades en sistemas ampliamente utilizados, incluyendo:

  • Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Cortafuegos de Sophos (CVE-2022-3236)
  • Microsoft Exchange (vulnerabilidades de ProxyLogon: CVE-2021-26855, etc.)
Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Escalada de privilegios

Utiliza herramientas como la carga lateral de DLL y la manipulación del registro para obtener acceso a nivel del sistema.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Defensa Evasión

Emplea técnicas de ofuscación, como el backdoor GhostSpider y tácticas de "vivir de la vida" con herramientas como WMIC.exe y PsExec, ataques de downgrade de PowerShell y técnicas de enmascaramiento para eludir la detección.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Acceso con credenciales

Despliega robos como SnappyBee (Deed RAT) o robos personalizados como TrillClient para obtener credenciales y datos del navegador.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Descubrimiento

Realiza el descubrimiento de la confianza en el dominio y el reconocimiento de la red para mapear el entorno de la víctima.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Movimiento lateral

Propaga malware utilizando comandos SMB y WMI, desplegando backdoors a través de múltiples máquinas.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Colección

Se centra en archivos confidenciales (por ejemplo, PDF) y utiliza técnicas avanzadas como SnappyBee para robar credenciales y testigos de sesión.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Ejecución

Despliega cargas maliciosas a través de Cobalt Strike, puertas traseras personalizadas (por ejemplo, Zingdoor o GhostSpider) y HemiGate.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Exfiltración

Transfiere los datos recopilados a servidores o servicios externos como AnonFiles, File.io y repositorios públicos.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Impacto

Garantiza la persistencia y elimina las pruebas de infección limpiando el sitio malware existente después de cada ronda operativa.

MITRE ATT&CK Cartografía

TTPs utilizados por Salt Typhoon

TA0001: Initial Access
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1574
Hijack Execution Flow
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1574
Hijack Execution Flow
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1036
Masquerading
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1574
Hijack Execution Flow
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1056
Input Capture
TA0007: Discovery
T1482
Domain Trust Discovery
T1087
Account Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1113
Screen Capture
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
No items found.
Detección de plataformas

Cómo detectar Salt Typhoon con Vectra AI

Lista de las Detecciones disponibles en la Plataforma Vectra AI que indicarían un ciberataque.

Hidden DNS Tunnel

Hidden HTTPS Tunnel

M365 DLL Hijacking Activity

Suspicious LDAP Query

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

Ver más detecciones
Evalúe su exposición a los ataques

Preguntas frecuentes

¿Cuáles son las industrias más afectadas por Salt Typhoon?

Salt Typhoon se dirige a los sectores tecnológico, de consultoría, químico, de transporte, gubernamental y no lucrativo.

¿Cuáles son las herramientas más recientes utilizadas por Salt Typhoon?

Las nuevas incorporaciones incluyen el backdoor GhostSpider, el ladrón SnappyBee y el rootkit Demodex.

¿Cómo mantiene Salt Typhoon el sigilo?

Utilizan técnicas de "vivir de la tierra" y rootkits avanzados como Demodex.

¿Qué vulnerabilidades aprovechan?

Entre los exploits más recientes figuran vulnerabilidades en Ivanti Connect Secure, Sophos Firewall y Microsoft Exchange.

¿Cómo exfiltra datos Salt Typhoon ?

Los datos robados se suben a AnonFiles, File.io, o se envían a través de correos electrónicos cifrados.

¿Están vinculados a otros grupos?

Existen solapamientos con APT chinas como FamousSparrow y otras entidades vinculadas al gobierno.

¿Cómo pueden las organizaciones detectar su actividad?

Supervise los comandos PowerShell inusuales, la carga lateral de DLL y las balizas deCobalt Strike .

¿Cuál es la amenaza para la cadena de suministro?

Salt Typhoon explota máquinas contratistas para infiltrarse en múltiples organizaciones a través de relaciones de confianza en la cadena de suministro.

¿Qué medidas mitigan los ataques?

Despliegue herramientas de detección de puntos finales, aplique la gestión de parches y supervise el tráfico en busca de patrones de C&C conocidos.

¿Cuál es la respuesta internacional?

La colaboración en el intercambio de inteligencia y las estrategias unificadas son esenciales para mitigar la creciente amenaza.

¿Está su organización a salvo de los ataques de Salt Typhoon?

Evalúe su exposición a los ataques