Blog Bedrohungsanalyse

Salt Typhoon: Die Bedrohungsgruppe hinter bedeutenden Cyberangriffen

Varonis Threat Labs analysiert Salt Typhoon, eine APT-Gruppe, die für eine Reihe von Sicherheitsverletzungen verantwortlich ist, die auf die US-Infrastruktur und Regierungsbehörden abzielen.

 

Hinweis: Dieser Blog wurde mit Hilfe von KI übersetzt und von unserem Team überprüft.

Joseph Avanzato
5 Min. Lesezeit
Letzte Aktualisierung am 17. März 2025
salt typhoon

Contents

    Salt Typhoon ist eine Advanced Persistent Threat (APT)-Gruppe, die für eine Reihe von Sicherheitsverletzungen verantwortlich ist, die auf die Infrastruktur und Regierungsbehörden der Vereinigten Staaten abzielten. 

    Salt Typhoon ist unter vielen Namen bekannt, je nachdem, auf welchen Sicherheitsanbieter Bezug genommen wird – Ghost Emperor von Kaspersky, FamousSparrow von ESET, Earth Estrie von Trend Micro, und UNC2286 von Mandiant, um nur einige zu nennen. 

    Es gibt erhebliche Beweise dafür, dass die Gruppe, die angeblich vom chinesischen Ministerium für Staatssicherheit (MSS) unterstützt wird, aus mehreren unterschiedlichen Operationsteams besteht, die jeweils für verschiedene Opfersektoren und operative Verantwortlichkeiten zuständig sind. Dies weist auf einen hohen Grad an Organisation und Reife hin. 

    Es ist wichtig, dass Organisationen verstehen, wie die Bedrohungsgruppe operiert und welche Auswirkungen sie in letzter Zeit hatte, aus mehreren Gründen, darunter:

    • Advanced Persistent Threat (APT) unterstützt durch das chinesische Ministerium für Staatssicherheit (MSS) 
    • Opferschwerpunkt auf Datendiebstahl in Unternehmen und staatliche Spionageabwehr 
    • Konzentrieren sie sich auf Spionage statt auf Störungen Diebstahl sensitiver Daten 
    • Versuchen sie, eine unauffällige und dauerhafte Präsenz in kompromittierten Netzwerken aufrechtzuerhalten. 
    • Basiert sowohl auf Living Off the Land Binaries (LOLBINS) als auch auf individuellen Tools 

    Lesen Sie weiter, um mehr über die aktuellen Aktivitäten der Gruppe, erfolgreiche Angriffe und Strategien zum Schutz von Firmendaten zu erfahren.

    Die Geschichte und die jüngsten Aktivitäten von Salt Typhoon 

    Die Gruppe existiert wahrscheinlich schon seit einiger Zeit als Ableger der von der VR China staatlich geförderten offensiven Cyberoperationen wie Volt Typhoon und zeigt dabei ähnliche Taktiken, Techniken und Verfahren (TTPs).

    Es wird angenommen, dass die Abspaltung der Gruppe seit August 2019 in irgendeiner Weise tätig ist und versucht, hochrangige Einzelpersonen wie Präsident Donald Trump zu kompromittieren.

    Seitdem wurden Salt Typhoon mehrere Sicherheitsverletzungen zugeschrieben zuletzt die Kompromittierung mehrerer US-Telekommunikationsnetze. Vor diesem Angriff hat die CISA klargestellt, dass ihre Bedrohungsjäger die Gruppe in mehreren Netzwerken der US-Bundesregierung entdeckt haben.

    Diese Identifizierung ermöglichte die Übernahme eines Virtual Private Servers (VPS), der von der Organisation genutzt wurde, und erlaubte eine schnellere Zuordnung zu weiteren Opfern des privaten Sektors, einschließlich der oben genannten Telekommunikationsgruppen. 

    Es wird angenommen, dass die Gruppe im vergangenen Jahr, während die Kompromittierung noch aktiv war, heimlich Informationen wie Geolokalisierung von Hunderten von Geräten im Raum Washington D.C. gesammelt hat.

    Darüber hinaus verschaffte dieser Verstoß Salt Typhoon einen beispiellosen Zugriff auf sensitive Daten über die Telekommunikationsinfrastruktur vieler großer Anbieter wie Verizon, AT&T und mindestens sieben weitere.

    Im Januar 2025 verhängte das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums Sanktionen gegen Sichuan Juxinhe Network Technology, ein in Shanghai ansässiges Cyber-Security-Unternehmen, das angeblich direkt an Salt Typhoon und damit verbundenen Verstößen beteiligt war. Diese Arten von Sanktionen gegen chinesische Unternehmen sind der US-Regierung nicht neu – ein weiterer mit China verbundener Akteur, die Integrity Technology Group, soll seit 2021 ein Botnetz mit über 260.000 Geräten verwaltet haben, dessen Opfer sich über mehrere Kontinente erstrecken. 

    Die Bedeutung der Viktimologie 

    Salt Typhoon hat sich vor allem durch seine Viktimologie hervorgetan, die weit verbreitete Angriffe auf US-Regierungsstellen, Infrastruktur und politische Führungspersönlichkeiten umfasst einige Beispiele hierfür sind: 

    Das gezielte Angreifen politischer Kandidaten umfasste spezifische Versuche, böswillig auf deren Mobilgeräte zuzugreifen, um wahrscheinlich zusätzliche Informationen über sensitive Daten auf den Telefonen zu erlangen, wie Nachrichten, E-Mails, Dateien oder andere Informationen. 

    Obwohl nur wenige technische Daten über die funktionalen Interna ihrer Angriffe auf die Telekommunikationsinfrastruktur bekannt sind, hat Salt Typhoon wahrscheinlich zahlreiche Ziele verfolgt, darunter die Datenexfiltration, die Überwachung priorisierter Ziele und allgemeine Netzwerkaufklärungsaktivitäten, nachdem sie Zugang zu solchen Netzwerken erlangt hatten. Eine bekannte Aktivität ist der Einsatz eines benutzerdefinierten Backdoor-Dienstprogramms namens „JumbledPath“, das für die Überwachung des Netzwerkverkehrs verantwortlich war, um an kritischen Netzwerkknotenpunkten sensitive Daten abzufangen. 

    Salt Typhoon wurde hauptsächlich bei Sicherheitsverletzungen im Zusammenhang mit Telekommunikations-, Regierungs- und Gastgewerbeanbietern beobachtet. Es ist sehr wahrscheinlich, dass auch andere Sektoren, die Informationen enthalten, die für die MSS von Interesse sind, von der Gruppe angegriffen werden.

    Sie sind auch dafür bekannt, politische Ziele ins Visier zu nehmen, darunter einzelne Kandidaten und voraussichtliche Wahlkampfbüros. 

    Gängige TTPs, die von Salt Typhoon genutzt werden 

    Die Analyse der genauen Techniken, die von Salt Typhoon sowohl vor als auch nach der Kompromittierung eingesetzt wurden, ist spärlich – wahrscheinlich, um intern ein starkes Wissen über Angreifer für Unternehmen zu bewahren, die sich mit ihren Sicherheitsverletzungen befasst haben. Dies ist bei APTs üblich, um sicherzustellen, dass der Gegner keinen genauen Überblick darüber hat, was die Cyber-Verteidiger „wissen“. 

    Die unten aufgeführten TTPs sind häufig mit dieser Bedrohungsgruppe assoziiert und sollten für eine umfassende Suche in Netzwerken verwendet werden, bei denen der Verdacht auf eine Kompromittierung besteht. 

    TTPs umfassen (sind aber nicht beschränkt auf):

    • Missbrauch von LoLBins 
      • BITSAdmin 
      • CertUtil 
      • PowerShell 
    • Missbrauch von WMI zur Befehlsausführung 
    • Missbrauch von SMB für Seitwärtsbewegung 
    • Missbrauch von PsExec zur Befehlsausführung/Seitwärtsbewegung 
    • Andere beobachtete Tools sind Mimikatz, CobaltStrike, Powercat usw. 

    Darüber hinaus haben Blue Teams beobachtet, dass die Gruppe die unten aufgeführten Schwachstellen in öffentlich zugänglichen Geräten oder Anwendungen ausnutzt

    • CVE-2023-46805/CVE-2024-21887 – Ivanti Secure Connect VPN 
    • CVE-2023-48788 – Fortinet FortiClient EMS 
    • CVE-2022-3236 – Sophos Firewall 
    • Mehrere CVEs für Microsoft Exchange im Zusammenhang mit dem ProxyLogon-Angriff 
    • Schwachstellen in Apache Tomcat, die in QConvergeConsole vorhanden sind 

    Sobald die Gruppe in einem Netzwerk Fuß gefasst hat, haben Forscher beobachtet, dass die Gruppe die folgenden Arten von Informationsgewinnungs- und Aufklärungstechniken einsetzt: 

    • Details zur Gruppe „Domain Admin“ werden abgerufen 
    • Missbrauch von „copy.exe“ zum Abrufen von remote gehosteten Payloads 
    • Missbrauch von .cab Dateien zur Maskierung bösartiger Nutzlasten 
    • Ausführung von Tools über Batch-Skripte 
    • Missbrauch von rar.exe zum Komprimieren von sensitiven Daten vor der Exfiltration, insbesondere in Verzeichnisse wie C:\Users\Public\Music 
    • Änderung von Registrierungsschlüsseln zur Etablierung von Persistenz. 
    • Erstellung von Windows-Diensten zur Erreichung von Persistenz 
    • DLL Sideloading-Angriffe, die darauf abzielen, das Eskalieren von Berechtigungen zu ermöglichen, indem legitime Anwendungsabläufe gekapert werden 
    • Raw-Lesevorgänge von NTFS, um Zugriffskontrollen zu umgehen, die Benutzer, selbst lokale Administratoren, daran hindern oder sperren könnten, bestimmte Dateien anzuzeigen. 

    Empfehlungen zum Schutz vor Bedrohungen wie Salt Typhoon 

    Der Schutz von sensitiven Daten vor Bedrohungen wie Salt Typhoon ist von entscheidender Bedeutung, insbesondere da die Gruppe den Schwerpunkt auf Unternehmensdatendiebstahl und staatliche Spionageabwehr legt.

    Unsere defensiven Empfehlungen umfassen:

    • Stellen Sie sicher, dass der Zugriff auf unternehmenssensitive Daten streng kontrolliert und überwacht wird, und konfigurieren Sie Warnmeldungen zum Benutzerverhalten, um anomale Zugriffe zu erkennen. 
    • Stellen Sie sicher, dass alle öffentlich zugänglichen Anwendungen sowohl in Bezug auf das Betriebssystem als auch auf die laufenden Anwendungen auf dem neuesten Stand gehalten werden. 
    • Stellen Sie sicher, dass alle Remote-Zugriffsmechanismen (VPN, VDI, M365 usw.) mit starken MFA-Mechanismen konfiguriert sind, um im Falle einer Kompromittierung von Anmeldeinformationen einen sofortigen Zugriff durch Benutzer zu verhindern. 
    • Stellen Sie sicher, dass Netzwerksicherheitskontrollen mit „Deny-all“-Regeln für ausgehende Kommunikation als Standard eingerichtet sind, um unerwünschte Verbindungen zu externen Hosts zu verhindern. 
    • Stellen Sie sicher, dass Daten sowohl im Ruhezustand als auch bei der Übertragung verschlüsselt sind. 
    • Messen und verwalten Sie Ihre externe Angriffsfläche regelmäßig, um kritische Lücken oder Schwachstellen in den bestehenden Kontrollen zu identifizieren. 
    • Setzen Sie die Endpoint Detection & Response-Software auf allen Endpunkte im Unternehmen ein. 
    • Bereiten Sie Incident-Response-Pläne (IRPs) für Sicherheitsereignisse vor, bevor diese eintreten, um sowohl zu testen als auch zu validieren, dass die erwarteten Abwehrmaßnahmen wirksam sind. 
    • Führen Sie Tabletop-Übungen durch, um erwartete Bedrohungen zu simulieren und Schwächen und Stärken der IRPs zu identifizieren. 

    So kann Varonis helfen 

    Bedrohungsakteure wie Salt Typhoon zielen auf kritische Daten in den Netzwerken ihrer Opfer ab. Die Fähigkeit, historische Datenzugriffe zu erkennen und zu auditieren, ist von entscheidender Bedeutung für die Identifizierung dieser Bedrohungsarten.

    Wenn Ihre Organisation keinen Einblick in die Daten hat, wird es nahezu unmöglich sein, anomalen Zugriff oder Exfiltration zu identifizieren – hier spielt Varonis eine Schlüsselrolle in Ihrem Sicherheits-Stack. 

    Das Exfiltrieren kritischer Daten ist mit Abstand die am häufigsten von Gruppen wie Salt Typhoon eingesetzte Taktik. Das Fehlen dieser Audit-Funktion versetzt Organisationen in eine prekäre Lage, wenn es darum geht, sowohl grundlegende als auch erweiterte Bedrohungen für Daten zu erkennen. 

    Durch den Einsatz von User and Entity Behavior Analytics (UEBA) über mehrere Datenströme hinweg, wie z. B. File Shares, Active Directory, DNS, Proxy und mehr, ist Varonis hervorragend positioniert, um anomale Zugriffe und Datendiebstahl zu identifizieren und zu melden, was dazu beiträgt, die Kronjuwelen Ihres Unternehmens umfassender zu schützen. 

    Erfahren Sie mehr mit „State of Cybercrime“ 

    Matt Radolec und David Gibson von Varonis berichten über die Aktivitäten von Salt Typhoon in „State of Cybercrime“, einer Videoserie, die die neuesten Nachrichten zur Cyberkriminalität behandelt. Genießen Sie die untenstehenden Episoden, um mehr über Salt Typhoon zu erfahren, und nehmen Sie an einer Live-Show teil

     

    Matt und David berichten über den Aufstieg von Salt Typhoon und andere Nachrichten zur Cyberkriminalität.

     

    Matt und David geben ein Update zur jüngsten Aktivität von Salt Typhoon.

    Wie soll ich vorgehen?

    Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

    1

    Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

    2

    Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

    3

    Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

    Joseph Avanzato
    Joseph Avanzato Joseph Avanzato arbeitet in der Varonis Security Forensics and Operations Group und führt für Varonis-Kunden eingehende Untersuchungen und Bewertungen der Cyber-Resilienz durch. Zu seinen Interessen und Erfahrungen gehören Reverse Engineering, Malware-Analyse, Exploit-Forschung, Kompromissbewertung, Täuschungstechnologie und die Entwicklung kundenspezifischer Tools für rote und blaue Teams. Sein beruflicher Hintergrund umfasst auch Incident Response, Forensik, Detection Engineering und Threat Hunting in komplexen Unternehmensumgebungen.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    die-ersten-90-tage-eines-ciso:-der-ultimative-aktionsplan-und-tipps
    Die ersten 90 Tage eines CISO: Der ultimative Aktionsplan und Tipps
    die-ersten-90-tage-eines-ciso:-der-ultimative-aktionsplan-und-tipps
    Avia Navickas
    20. September 2023
    In den letzten 10 Jahren ist die Rolle eines CISO ziemlich komplex geworden. Am Ende dieses Blogs verfügen Sie über einen soliden 90-Tage-Plan für den Einstieg in eine neue CISO-Rolle.
    juristischer-“spickzettel”-in-sachen-ransomware
    Juristischer “Spickzettel” in Sachen Ransomware
    juristischer-“spickzettel”-in-sachen-ransomware
    Michael Buckbee
    17. Januar 2017
    In vielerlei Hinsicht unterscheiden sich die Reaktionen auf eine Ransomware-Attacke nicht grundlegend von dem, was grundsätzlich im Falle eines Datenschutzvorfalls zu tun ist. Kurzgefasst: jedes Unternehmen sollte einen Plan haben...
    big-data,-big-brother
    Big Data, Big Brother
    big-data,-big-brother
    Michael Buckbee
    24. Dezember 2012
    Ich habe erst kürzlich über das Volumen und die Tiefe der personenbezogenen Daten berichtet, die sich überall im Internet verbreiten. Aus reiner Neugier habe ich mich bei einem bekannten Informationsvermittler...
    vier-wichtige-cyber-tipps-für-ihr-unternehmen
    Vier wichtige Cyber-Tipps für Ihr Unternehmen
    vier-wichtige-cyber-tipps-für-ihr-unternehmen
    Yaki Faitelson
    1. Dezember 2022
    Sicherheitsverletzungen kommen heutzutage jedoch nie durch eine einzelne Fehlentscheidung zustande – vielmehr ist es immer eine Kette von Entscheidungen, die getroffen werden, lange bevor ein verschlafener Netzwerkadministrator einen Anruf vom Angreifer erhält.