Salt Typhoon: The Threat Group Behind Major Cyberattacks

Salt Typhoon ist eine Advanced Persistent Threat (APT)-Gruppe, die für eine Reihe von Sicherheitsverletzungen verantwortlich ist, die auf die Infrastruktur und Regierungsbehörden der Vereinigten Staaten abzielten. 

Salt Typhoon ist unter vielen Namen bekannt, je nachdem, auf welchen Sicherheitsanbieter Bezug genommen wird – Ghost Emperor von Kaspersky, FamousSparrow von ESET, Earth Estrie von Trend Micro, und UNC2286 von Mandiant, um nur einige zu nennen. 

Es gibt erhebliche Beweise dafür, dass die Gruppe, die angeblich vom chinesischen Ministerium für Staatssicherheit (MSS) unterstützt wird, aus mehreren unterschiedlichen Operationsteams besteht, die jeweils für verschiedene Opfersektoren und operative Verantwortlichkeiten zuständig sind. Dies weist auf einen hohen Grad an Organisation und Reife hin. 

Es ist wichtig, dass Organisationen verstehen, wie die Bedrohungsgruppe operiert und welche Auswirkungen sie in letzter Zeit hatte, aus mehreren Gründen, darunter:

• Advanced Persistent Threat (APT) unterstützt durch das chinesische Ministerium für Staatssicherheit (MSS) 
• Opferschwerpunkt auf Datendiebstahl in Unternehmen und staatliche Spionageabwehr 
• Konzentrieren sie sich auf Spionage statt auf Störungen – Diebstahl sensitiver Daten 
• Versuchen sie, eine unauffällige und dauerhafte Präsenz in kompromittierten Netzwerken aufrechtzuerhalten. 
• Basiert sowohl auf Living Off the Land Binaries (LOLBINS) als auch auf individuellen Tools 

Lesen Sie weiter, um mehr über die aktuellen Aktivitäten der Gruppe, erfolgreiche Angriffe und Strategien zum Schutz von Firmendaten zu erfahren.

Die Geschichte und die jüngsten Aktivitäten von Salt Typhoon 

Die Gruppe existiert wahrscheinlich schon seit einiger Zeit als Ableger der von der VR China staatlich geförderten offensiven Cyberoperationen wie Volt Typhoon und zeigt dabei ähnliche Taktiken, Techniken und Verfahren (TTPs).

Es wird angenommen, dass die Abspaltung der Gruppe seit August 2019 in irgendeiner Weise tätig ist und versucht, hochrangige Einzelpersonen wie Präsident Donald Trump zu kompromittieren.

Seitdem wurden Salt Typhoon mehrere Sicherheitsverletzungen zugeschrieben – zuletzt die Kompromittierung mehrerer US-Telekommunikationsnetze. Vor diesem Angriff hat die CISA klargestellt, dass ihre Bedrohungsjäger die Gruppe in mehreren Netzwerken der US-Bundesregierung entdeckt haben.

Diese Identifizierung ermöglichte die Übernahme eines Virtual Private Servers (VPS), der von der Organisation genutzt wurde, und erlaubte eine schnellere Zuordnung zu weiteren Opfern des privaten Sektors, einschließlich der oben genannten Telekommunikationsgruppen. 

Es wird angenommen, dass die Gruppe im vergangenen Jahr, während die Kompromittierung noch aktiv war, heimlich Informationen wie Geolokalisierung von Hunderten von Geräten im Raum Washington D.C. gesammelt hat.

Darüber hinaus verschaffte dieser Verstoß Salt Typhoon einen beispiellosen Zugriff auf sensitive Daten über die Telekommunikationsinfrastruktur vieler großer Anbieter wie Verizon, AT&T und mindestens sieben weitere.

Im Januar 2025 verhängte das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums Sanktionen gegen Sichuan Juxinhe Network Technology, ein in Shanghai ansässiges Cyber-Security-Unternehmen, das angeblich direkt an Salt Typhoon und damit verbundenen Verstößen beteiligt war. Diese Arten von Sanktionen gegen chinesische Unternehmen sind der US-Regierung nicht neu – ein weiterer mit China verbundener Akteur, die Integrity Technology Group, soll seit 2021 ein Botnetz mit über 260.000 Geräten verwaltet haben, dessen Opfer sich über mehrere Kontinente erstrecken. 

Die Bedeutung der Viktimologie 

Salt Typhoon hat sich vor allem durch seine Viktimologie hervorgetan, die weit verbreitete Angriffe auf US-Regierungsstellen, Infrastruktur und politische Führungspersönlichkeiten umfasst – einige Beispiele hierfür sind: 

• Zielgerichtete Angriffe auf Präsidentschafts- und Vizepräsidentschaftskandidaten 
• Infiltration der US-Telekommunikationsinfrastruktur 

Das gezielte Angreifen politischer Kandidaten umfasste spezifische Versuche, böswillig auf deren Mobilgeräte zuzugreifen, um wahrscheinlich zusätzliche Informationen über sensitive Daten auf den Telefonen zu erlangen, wie Nachrichten, E-Mails, Dateien oder andere Informationen. 

Obwohl nur wenige technische Daten über die funktionalen Interna ihrer Angriffe auf die Telekommunikationsinfrastruktur bekannt sind, hat Salt Typhoon wahrscheinlich zahlreiche Ziele verfolgt, darunter die Datenexfiltration, die Überwachung priorisierter Ziele und allgemeine Netzwerkaufklärungsaktivitäten, nachdem sie Zugang zu solchen Netzwerken erlangt hatten. Eine bekannte Aktivität ist der Einsatz eines benutzerdefinierten Backdoor-Dienstprogramms namens „JumbledPath“, das für die Überwachung des Netzwerkverkehrs verantwortlich war, um an kritischen Netzwerkknotenpunkten sensitive Daten abzufangen. 

Salt Typhoon wurde hauptsächlich bei Sicherheitsverletzungen im Zusammenhang mit Telekommunikations-, Regierungs- und Gastgewerbeanbietern beobachtet. Es ist sehr wahrscheinlich, dass auch andere Sektoren, die Informationen enthalten, die für die MSS von Interesse sind, von der Gruppe angegriffen werden.

Sie sind auch dafür bekannt, politische Ziele ins Visier zu nehmen, darunter einzelne Kandidaten und voraussichtliche Wahlkampfbüros. 

Gängige TTPs, die von Salt Typhoon genutzt werden 

Die Analyse der genauen Techniken, die von Salt Typhoon sowohl vor als auch nach der Kompromittierung eingesetzt wurden, ist spärlich – wahrscheinlich, um intern ein starkes Wissen über Angreifer für Unternehmen zu bewahren, die sich mit ihren Sicherheitsverletzungen befasst haben. Dies ist bei APTs üblich, um sicherzustellen, dass der Gegner keinen genauen Überblick darüber hat, was die Cyber-Verteidiger „wissen“. 

Die unten aufgeführten TTPs sind häufig mit dieser Bedrohungsgruppe assoziiert und sollten für eine umfassende Suche in Netzwerken verwendet werden, bei denen der Verdacht auf eine Kompromittierung besteht. 

TTPs umfassen (sind aber nicht beschränkt auf):

• Missbrauch von LoLBins 
  • BITSAdmin 
  • CertUtil 
  • PowerShell 
• Missbrauch von WMI zur Befehlsausführung 
• Missbrauch von SMB für Seitwärtsbewegung 
• Missbrauch von PsExec zur Befehlsausführung/Seitwärtsbewegung 
• Andere beobachtete Tools sind Mimikatz, CobaltStrike, Powercat usw. 

Darüber hinaus haben Blue Teams beobachtet, dass die Gruppe die unten aufgeführten Schwachstellen in öffentlich zugänglichen Geräten oder Anwendungen ausnutzt: 

• CVE-2023-46805/CVE-2024-21887 – Ivanti Secure Connect VPN 
• CVE-2023-48788 – Fortinet FortiClient EMS 
• CVE-2022-3236 – Sophos Firewall 
• Mehrere CVEs für Microsoft Exchange im Zusammenhang mit dem ProxyLogon-Angriff 
• Schwachstellen in Apache Tomcat, die in QConvergeConsole vorhanden sind 

Sobald die Gruppe in einem Netzwerk Fuß gefasst hat, haben Forscher beobachtet, dass die Gruppe die folgenden Arten von Informationsgewinnungs- und Aufklärungstechniken einsetzt: 

• Details zur Gruppe „Domain Admin“ werden abgerufen 
• Missbrauch von „copy.exe“ zum Abrufen von remote gehosteten Payloads 
• Missbrauch von .cab Dateien zur Maskierung bösartiger Nutzlasten 
• Ausführung von Tools über Batch-Skripte 
• Missbrauch von rar.exe zum Komprimieren von sensitiven Daten vor der Exfiltration, insbesondere in Verzeichnisse wie C:\Users\Public\Music 
• Änderung von Registrierungsschlüsseln zur Etablierung von Persistenz. 
• Erstellung von Windows-Diensten zur Erreichung von Persistenz 
• DLL Sideloading-Angriffe, die darauf abzielen, das Eskalieren von Berechtigungen zu ermöglichen, indem legitime Anwendungsabläufe gekapert werden 
• Raw-Lesevorgänge von NTFS, um Zugriffskontrollen zu umgehen, die Benutzer, selbst lokale Administratoren, daran hindern oder sperren könnten, bestimmte Dateien anzuzeigen. 

Empfehlungen zum Schutz vor Bedrohungen wie Salt Typhoon 

Der Schutz von sensitiven Daten vor Bedrohungen wie Salt Typhoon ist von entscheidender Bedeutung, insbesondere da die Gruppe den Schwerpunkt auf Unternehmensdatendiebstahl und staatliche Spionageabwehr legt.

Unsere defensiven Empfehlungen umfassen:

• Stellen Sie sicher, dass der Zugriff auf unternehmenssensitive Daten streng kontrolliert und überwacht wird, und konfigurieren Sie Warnmeldungen zum Benutzerverhalten, um anomale Zugriffe zu erkennen. 
• Stellen Sie sicher, dass alle öffentlich zugänglichen Anwendungen sowohl in Bezug auf das Betriebssystem als auch auf die laufenden Anwendungen auf dem neuesten Stand gehalten werden. 
• Stellen Sie sicher, dass alle Remote-Zugriffsmechanismen (VPN, VDI, M365 usw.) mit starken MFA-Mechanismen konfiguriert sind, um im Falle einer Kompromittierung von Anmeldeinformationen einen sofortigen Zugriff durch Benutzer zu verhindern. 
• Stellen Sie sicher, dass Netzwerksicherheitskontrollen mit „Deny-all“-Regeln für ausgehende Kommunikation als Standard eingerichtet sind, um unerwünschte Verbindungen zu externen Hosts zu verhindern. 
• Stellen Sie sicher, dass Daten sowohl im Ruhezustand als auch bei der Übertragung verschlüsselt sind. 
• Messen und verwalten Sie Ihre externe Angriffsfläche regelmäßig, um kritische Lücken oder Schwachstellen in den bestehenden Kontrollen zu identifizieren. 
• Setzen Sie die Endpoint Detection & Response-Software auf allen Endpunkte im Unternehmen ein. 
• Bereiten Sie Incident-Response-Pläne (IRPs) für Sicherheitsereignisse vor, bevor diese eintreten, um sowohl zu testen als auch zu validieren, dass die erwarteten Abwehrmaßnahmen wirksam sind. 
• Führen Sie Tabletop-Übungen durch, um erwartete Bedrohungen zu simulieren und Schwächen und Stärken der IRPs zu identifizieren. 

So kann Varonis helfen 

Bedrohungsakteure wie Salt Typhoon zielen auf kritische Daten in den Netzwerken ihrer Opfer ab. Die Fähigkeit, historische Datenzugriffe zu erkennen und zu auditieren, ist von entscheidender Bedeutung für die Identifizierung dieser Bedrohungsarten.

Wenn Ihre Organisation keinen Einblick in die Daten hat, wird es nahezu unmöglich sein, anomalen Zugriff oder Exfiltration zu identifizieren – hier spielt Varonis eine Schlüsselrolle in Ihrem Sicherheits-Stack. 

Das Exfiltrieren kritischer Daten ist mit Abstand die am häufigsten von Gruppen wie Salt Typhoon eingesetzte Taktik. Das Fehlen dieser Audit-Funktion versetzt Organisationen in eine prekäre Lage, wenn es darum geht, sowohl grundlegende als auch erweiterte Bedrohungen für Daten zu erkennen. 

Durch den Einsatz von User and Entity Behavior Analytics (UEBA) über mehrere Datenströme hinweg, wie z. B. File Shares, Active Directory, DNS, Proxy und mehr, ist Varonis hervorragend positioniert, um anomale Zugriffe und Datendiebstahl zu identifizieren und zu melden, was dazu beiträgt, die Kronjuwelen Ihres Unternehmens umfassender zu schützen. 

Erfahren Sie mehr mit „State of Cybercrime“ 

Matt Radolec und David Gibson von Varonis berichten über die Aktivitäten von Salt Typhoon in „State of Cybercrime“, einer Videoserie, die die neuesten Nachrichten zur Cyberkriminalität behandelt. Genießen Sie die untenstehenden Episoden, um mehr über Salt Typhoon zu erfahren, und nehmen Sie an einer Live-Show teil. 

Matt und David berichten über den Aufstieg von Salt Typhoon und andere Nachrichten zur Cyberkriminalität.

Matt und David geben ein Update zur jüngsten Aktivität von Salt Typhoon.