En Kina-støttet avanceret vedvarende trussel (APT) gruppe kaldet Flax Typhoon har installeret et net af vedvarende, langsigtede infektioner i snesevis af taiwanske organisationer, der sandsynligvis vil udføre en omfattende cyberspionagekampagne - og den gjorde det ved hjælp af kun minimale mængder af malware.
Ifølge Microsoft lever den statssponsorerede cyberangrebsgruppe for det meste af landet ved at bruge legitime værktøjer og værktøjer indbygget i Windows-operativsystemet til at udføre en ekstrem snigende og vedvarende operation.
For nu er de fleste af ofrene for hørtyfonen samlet i Taiwan, ifølge en advarsel om Flax Typhoon fra Microsoft i denne uge. Computergiganten afslører ikke omfanget af angrebene, men bemærkede, at virksomheder uden for Taiwan bør være opmærksomme.
Kampagnen "bruger teknikker, der let kan genbruges i andre operationer uden for regionen," advarede den. Og faktisk har nationalstatstruslen tidligere været rettet mod en bred vifte af industrier (herunder statslige agenturer og uddannelse, kritisk fremstilling og informationsteknologi) i hele Sydøstasien såvel som i Nordamerika og Afrika.
Det fulde omfang af infektionernes skader vil være vanskeligt at vurdere, i betragtning af at "det kan være en udfordring at opdage og afbøde dette angreb," advarede Microsoft. "Kompromitterede konti skal lukkes eller ændres. Kompromitterede systemer skal isoleres og undersøges."
Living Off the Land & Commodity Malware
I modsætning til mange andre APT'er, der udmærker sig ved at skabe og udvikle specifikke arsenaler af brugerdefinerede cyberangrebsværktøjer, Flax Typhoon foretrækker at tage en mindre identificerende rute ved at bruge off-the-shelf malware og native Windows-værktøjer (aka. lever af landbinære filer, eller LOLbins), der er sværere at bruge til tilskrivning.
Dens infektionsrutine i den seneste bølge af angreb observeret af Microsoft er som følger:
- Indledende adgang: Dette gøres ved at udnytte kendte sårbarheder i offentlige VPN-, web-, Java- og SQL-applikationer til at implementere varen China Chopper webshell, som giver mulighed for fjernudførelse af kode på den kompromitterede server.
- Privilegium eskalering: Hvis det er nødvendigt, bruger Flax Typhoon Saftig kartoffel, BadPotato og andre open source-værktøjer til at udnytte lokale privilegie-eskaleringssårbarheder.
- Etablering af fjernadgang: Flax Typhoon bruger Windows Management Instrumentation-kommandolinjen (WMIC) (eller PowerShell eller Windows Terminal med lokale administratorrettigheder) til at deaktivere netværksniveaugodkendelse (NLA) for Remote Desktop Protocol (RDP). Dette giver Flax Typhoon mulighed for at få adgang til Windows-logonskærmen uden godkendelse og derfra bruge Sticky Keys-tilgængelighedsfunktionen i Windows til at starte Task Manager med lokale systemrettigheder. Angriberne installerer derefter en legitim VPN-bro for automatisk at oprette forbindelse til aktørstyret netværksinfrastruktur.
- Udholdenhed: Flax Typhoon bruger Service Control Manager (SCM) til at skabe en Windows-tjeneste, der starter VPN-forbindelsen automatisk, når systemet starter, hvilket giver aktøren mulighed for at overvåge tilgængeligheden af det kompromitterede system og etablere en RDP-forbindelse.
- Sidebevægelse: For at få adgang til andre systemer på det kompromitterede netværk, bruger skuespilleren andre LOLBins, inklusive Windows Remote Management (WinRM) og WMIC, til at udføre netværks- og sårbarhedsscanning.
- Legitimationsadgang: Flax Typhoon udsender ofte Mimikatz for automatisk at dumpe hashed adgangskoder for brugere, der er logget ind på det lokale system. De resulterende password-hash kan knækkes offline eller bruges i pass-the-hash (PtH)-angreb for at få adgang til andre ressourcer på det kompromitterede netværk.
Interessant nok ser APT ud til at byde sin tid, når det kommer til at udføre et slutspil, selvom dataeksfiltrering er det sandsynlige mål (i stedet for de potentielle kinetiske resultater, som Microsoft for nylig har markeret for Kina-sponsoreret Volt Typhoon-aktivitet).
"Dette aktivitetsmønster er usædvanligt, idet minimal aktivitet opstår, efter at skuespilleren har etableret vedholdenhed," ifølge Microsofts analyse. "Flax Typhoons opdagelse og legitimationsadgang aktiviteter ser ikke ud til at muliggøre yderligere dataindsamling og eksfiltrationsmål. Mens skuespillerens observerede adfærd antyder, at Flax Typhoon har til hensigt at udføre spionage og bevare deres netværksfodfæste, har Microsoft ikke observeret, at Flax Typhoon handlede i forhold til de endelige mål i denne kampagne."
Beskyttelse mod kompromiser
I sit indlæg tilbød Microsoft en række skridt at tage, hvis organisationer er kompromitteret og har brug for at vurdere omfanget af Flax Typhoon-aktivitet i deres netværk og afhjælpe en infektion. For at undgå situationen helt bør organisationer sørge for, at alle offentlige servere er patchede og opdaterede og har yderligere overvågning og sikkerhed såsom brugerinputvalidering, filintegritetsovervågning, adfærdsovervågning og webapplikationsfirewalls.
Administratorer kan også overvåge Windows-registreringsdatabasen for uautoriserede ændringer; overvåge for enhver RDP-trafik, der kan betragtes som uautoriseret; og hærder kontosikkerheden med multifaktorgodkendelse og andre forholdsregler.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- ChartPrime. Løft dit handelsspil med ChartPrime. Adgang her.
- BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
- Kilde: https://www.darkreading.com/threat-intelligence/china-unleashes-flax-typhoon-apt-live-off-land-microsoft-warns
- :har
- :er
- :ikke
- 7
- a
- adgang
- tilgængelighed
- Ifølge
- Konto
- Konti
- Lov
- aktiviteter
- aktivitet
- Yderligere
- fremskreden
- afrika
- Efter
- mod
- agenturer
- Alle
- tillade
- tillader
- også
- amerika
- beløb
- an
- analyse
- ,
- enhver
- vises
- kommer til syne
- Anvendelse
- applikationer
- APT
- ER
- AS
- asia
- vurdere
- At
- angribe
- Angreb
- Godkendelse
- automatisk
- tilgængelighed
- undgå
- BE
- adfærd
- Beyond
- BRIDGE
- bred
- bygget
- men
- by
- Kampagne
- CAN
- bære
- udfordrende
- ændret
- Ændringer
- Kina
- lukket
- kode
- kommer
- råvare
- Kompromitteret
- computing
- Tilslut
- tilslutning
- betragtes
- kontrast
- kontrol
- kunne
- revnet
- skabe
- Oprettelse af
- kritisk
- Cyber
- Cyber angreb
- data
- indsætte
- udruller
- desktop
- DID
- svært
- opdagelse
- do
- færdig
- snesevis
- døbt
- dumpe
- nemt
- Uddannelse
- muliggøre
- virksomheder
- helt
- optrapning
- spionage
- etablere
- indfører
- udviklende
- Excel
- udførelse
- udførelse
- eksfiltration
- Exploit
- udnytte
- omfattende
- ekstremt
- Feature
- File (Felt)
- endelige
- firewalls
- Markeret
- følger
- Til
- hyppigt
- fra
- fuld
- yderligere
- kæmpe
- given
- Regering
- regeringsorganer
- gruppe
- hårdere
- hash'et
- Have
- HTTPS
- identificere
- if
- in
- I andre
- Herunder
- faktisk
- industrier
- infektioner
- oplysninger
- informationsteknologi
- Infrastruktur
- indgang
- indvendig
- installere
- integritet
- ind
- isn
- isolerede
- IT
- ITS
- Java
- jpg
- nøgler
- kendt
- Land
- seneste
- lancere
- lanceringer
- legitim
- mindre
- Sandsynlig
- leve
- levende
- lokale
- langsigtet
- vedligeholde
- lave
- malware
- ledelse
- leder
- Produktion
- mange
- microsoft
- mindste
- formildende
- Overvåg
- overvågning
- mest
- bevægelse
- skal
- indfødte
- nødvendig
- Behov
- netværk
- net
- Nord
- nordamerika
- bemærkede
- Varsel..
- nu
- målsætninger
- of
- off
- tilbydes
- offline
- on
- kun
- åbent
- open source
- drift
- operativsystem
- drift
- Produktion
- or
- organisationer
- Andet
- ud
- udfald
- uden for
- del
- Adgangskode
- Nulstilling/ændring af adgangskoder
- forbi
- Mønster
- Udfør
- udholdenhed
- plato
- Platon Data Intelligence
- PlatoData
- Indlæg
- potentiale
- PowerShell
- privilegium
- privilegier
- protokol
- rækkevidde
- hellere
- for nylig
- region
- register
- fjern
- Remote Access
- Ressourcer
- resulterer
- R
- s
- Scale
- scanning
- rækkevidde
- Skærm
- sikkerhed
- Series
- Servere
- tjeneste
- bør
- underskrevet
- Situationen
- Kilde
- Sydøstasien
- specifikke
- starter
- snigende
- Steps
- klæbrig
- sådan
- foreslår
- sikker
- systemet
- Systemer
- taiwan
- Tag
- målrettet
- Opgaver
- teknikker
- Teknologier
- terminal
- end
- at
- deres
- derefter
- Der.
- denne
- selvom?
- trussel
- hele
- tid
- til
- værktøjer
- Trafik
- lancerer
- up-to-date
- brug
- anvendte
- Bruger
- brugere
- bruger
- ved brug af
- forsyningsselskaber
- validering
- ofre
- Volt
- VPN
- Sårbarheder
- sårbarhed
- sårbarhedsscanning
- advarsel
- advarer
- web
- Webapplikation
- GODT
- hvornår
- som
- mens
- WHO
- vilje
- vinduer
- med
- inden for
- uden
- zephyrnet