Eine von China unterstützte Advanced Persistent Threat (APT)-Gruppe namens Flax Typhoon hat in Dutzenden taiwanesischen Organisationen ein Netz persistenter, langfristiger Infektionen installiert, die wahrscheinlich eine umfangreiche Cyber-Spionagekampagne durchführen werden – und zwar mit nur minimalen Mengen an Viren Schadsoftware.
Laut Microsoft lebt die staatlich geförderte Cyberangriffsgruppe größtenteils von der Realität und nutzt legitime Tools und Dienstprogramme, die in das Windows-Betriebssystem integriert sind, um eine äußerst heimliche und beharrliche Operation durchzuführen.
Derzeit konzentrieren sich die meisten Opfer des Flax-Taifuns auf Taiwan eine Warnung zu Flax Typhoon von Microsoft diese Woche. Der Computerriese gibt das Ausmaß der Angriffe nicht bekannt, wies jedoch darauf hin, dass Unternehmen außerhalb Taiwans darauf aufmerksam gemacht werden sollten.
Die Kampagne „nutzt Techniken, die leicht in anderen Operationen außerhalb der Region wiederverwendet werden könnten“, warnte sie. Und tatsächlich hat die nationalstaatliche Bedrohung in der Vergangenheit ein breites Spektrum von Branchen (darunter Regierungsbehörden und Bildung, kritische Fertigung und Informationstechnologie) in ganz Südostasien sowie in Nordamerika und Afrika ins Visier genommen.
Das volle Ausmaß des durch die Infektion verursachten Schadens werde schwer einzuschätzen sein, da „die Erkennung und Eindämmung dieses Angriffs eine Herausforderung darstellen könnte“, warnte Microsoft. „Kompromittierte Konten müssen geschlossen oder geändert werden. Kompromittierte Systeme müssen isoliert und untersucht werden.“
Von der Land- und Rohstoff-Malware leben
Im Gegensatz zu vielen anderen APTs, die sich durch die Erstellung und Weiterentwicklung spezifischer Arsenale auszeichnen benutzerdefinierte CyberangriffstoolsFlax Typhoon bevorzugt einen weniger identifizierenden Weg und nutzt handelsübliche Malware und native Windows-Dienstprogramme (auch bekannt als Leben von den Landbinärdateien oder LOLbins), die für die Zuordnung schwieriger zu verwenden sind.
Die Infektionsroutine bei der jüngsten von Microsoft beobachteten Angriffswelle ist wie folgt:
- Erstzugang: Dies geschieht durch die Ausnutzung bekannter Schwachstellen in öffentlich zugänglichen VPN-, Web-, Java- und SQL-Anwendungen, um die Ware bereitzustellen China Chopper-Webshell, was die Remote-Codeausführung auf dem kompromittierten Server ermöglicht.
- Rechteausweitung: Bei Bedarf verwendet Flax Typhoon Saftige Kartoffel, BadPotato und andere Open-Source-Tools zur Ausnutzung lokaler Sicherheitslücken bei der Rechteausweitung.
- Fernzugriff einrichten: Flax Typhoon verwendet die Windows Management Instrumentation-Befehlszeile (WMIC) (oder PowerShell oder das Windows-Terminal mit lokalen Administratorrechten), um die Authentifizierung auf Netzwerkebene (NLA) für das Remote Desktop Protocol (RDP) zu deaktivieren. Dadurch kann Flax Typhoon ohne Authentifizierung auf den Windows-Anmeldebildschirm zugreifen und von dort aus die Sticky Keys-Eingabehilfenfunktion in Windows verwenden, um den Task-Manager mit lokalen Systemrechten zu starten. Anschließend installieren die Angreifer eine legitime VPN-Brücke, um automatisch eine Verbindung zur vom Akteur kontrollierten Netzwerkinfrastruktur herzustellen.
- Beharrlichkeit: Flax Typhoon verwendet den Service Control Manager (SCM), um einen Windows-Dienst zu erstellen, der die VPN-Verbindung beim Systemstart automatisch startet, sodass der Akteur die Verfügbarkeit des gefährdeten Systems überwachen und eine RDP-Verbindung herstellen kann.
- Seitliche Bewegung: Um auf andere Systeme im kompromittierten Netzwerk zuzugreifen, verwendet der Akteur andere LOLBins, einschließlich Windows Remote Management (WinRM) und WMIC, um Netzwerk- und Schwachstellenscans durchzuführen.
- Anmeldedatenzugriff: Flax Typhoon wird häufig eingesetzt Mimikatz um automatisch gehashte Passwörter für Benutzer auszugeben, die im lokalen System angemeldet sind. Die resultierenden Passwort-Hashes können offline geknackt oder in Pass-the-Hash-Angriffen (PtH) verwendet werden, um auf andere Ressourcen im kompromittierten Netzwerk zuzugreifen.
Interessanterweise scheint die APT ihren Zeitpunkt abzuwarten, wenn es um die Umsetzung eines Endspiels geht, obwohl die Datenexfiltration das wahrscheinliche Ziel ist (und nicht die potenziellen kinetischen Ergebnisse, die Microsoft kürzlich angekündigt hat). Von China gesponserte Volt-Taifun-Aktivität).
„Dieses Aktivitätsmuster ist insofern ungewöhnlich, als nur eine minimale Aktivität auftritt, nachdem der Akteur eine Persistenz etabliert hat“, heißt es in der Analyse von Microsoft. „Die Entdeckungs- und Zugangsaktivitäten von Flax Typhoon scheinen keine weiteren Datenerfassungs- und -exfiltrationsziele zu ermöglichen. Während das beobachtete Verhalten des Täters darauf hindeutet, dass Flax Typhoon die Absicht hat, Spionage zu betreiben und seine Netzwerkpräsenz aufrechtzuerhalten, hat Microsoft nicht beobachtet, dass Flax Typhoon in dieser Kampagne endgültige Ziele verfolgt.“
Schutz vor Kompromissen
In seinem Beitrag bot Microsoft eine Reihe von Maßnahmen an, die zu ergreifen sind, wenn Unternehmen kompromittiert sind und das Ausmaß der Flax Typhoon-Aktivität in ihren Netzwerken bewerten und eine Infektion beheben müssen. Um diese Situation vollständig zu vermeiden, sollten Unternehmen sicherstellen, dass alle öffentlich zugänglichen Server gepatcht und auf dem neuesten Stand sind und über zusätzliche Überwachungs- und Sicherheitsfunktionen wie Benutzereingabevalidierung, Dateiintegritätsüberwachung, Verhaltensüberwachung und Webanwendungs-Firewalls verfügen.
Administratoren können außerdem die Windows-Registrierung auf nicht autorisierte Änderungen überwachen; Überwachen Sie den RDP-Verkehr, der als nicht autorisiert betrachtet werden könnte. Und Verstärken Sie die Kontosicherheit mit Multifaktor-Authentifizierung und andere Vorsichtsmaßnahmen.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- ChartPrime. Verbessern Sie Ihr Handelsspiel mit ChartPrime. Hier zugreifen.
- BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
- Quelle: https://www.darkreading.com/threat-intelligence/china-unleashes-flax-typhoon-apt-live-off-land-microsoft-warns
- :hast
- :Ist
- :nicht
- 7
- a
- Zugang
- Zugänglichkeit
- Nach
- Konto
- Trading Konten
- Handlung
- Aktivitäten
- Aktivität
- Zusätzliche
- advanced
- Afrika
- Nach der
- gegen
- Agenturen
- Alle
- Zulassen
- erlaubt
- ebenfalls
- Amerika
- Beträge
- an
- Analyse
- und
- jedem
- erscheinen
- erscheint
- Anwendung
- Anwendungen
- APT
- SIND
- AS
- Asien
- beurteilen
- At
- Attacke
- Anschläge
- Authentifizierung
- Im Prinzip so, wie Sie es von Google Maps kennen.
- Verfügbarkeit
- vermeiden
- BE
- Verhalten
- Beyond
- BRIDGE
- breit
- erbaut
- aber
- by
- Kampagnen (Campaign)
- CAN
- tragen
- herausfordernd
- geändert
- Änderungen
- China
- geschlossen
- Code
- kommt
- Ware
- Kompromittiert
- Computing
- Vernetz Dich
- Verbindung
- betrachtet
- Kontrast
- Smartgeräte App
- könnte
- rissig
- erstellen
- Erstellen
- kritischem
- Cyber-
- Cyber Attacke
- technische Daten
- einsetzen
- setzt ein
- Desktop
- DID
- schwer
- Entdeckung
- do
- erledigt
- Dutzende
- synchronisiert
- abladen
- leicht
- Bildungswesen
- ermöglichen
- Unternehmen
- vollständig
- Eskalation
- Spionage
- etablieren
- etabliert
- sich entwickelnden
- Excel
- Ausführung
- Ausführung
- Exfiltration
- Ausnutzen
- Nutzung
- umfangreiche
- äußerst
- Merkmal
- Reichen Sie das
- Finale
- Firewalls
- markiert
- folgt
- Aussichten für
- häufig
- für
- voller
- weiter
- Riese
- gegeben
- der Regierung
- Regierungsbehörden
- Gruppe an
- Schwerer
- gehasht
- Haben
- HTTPS
- Identifizierung
- if
- in
- In anderen
- Einschließlich
- in der Tat
- Branchen
- Infektionen
- Information
- Informatik
- Infrastruktur
- Varianten des Eingangssignals:
- innerhalb
- installieren
- Integrität
- in
- isn
- isoliert
- IT
- SEINE
- Javac
- jpg
- Tasten
- bekannt
- Land
- neueste
- starten
- startet
- legitim
- weniger
- wahrscheinlich
- leben
- Leben
- aus einer regionalen
- langfristig
- halten
- um
- Malware
- Management
- Manager
- Herstellung
- viele
- Microsoft
- minimal
- mildernd
- Überwachen
- Überwachung
- vor allem warme
- Bewegung
- sollen
- nativen
- notwendig,
- Need
- Netzwerk
- Netzwerke
- Norden
- Nordamerika
- bekannt
- Notiz..
- jetzt an
- of
- WOW!
- angeboten
- Offline-Bereich.
- on
- einzige
- XNUMXh geöffnet
- Open-Source-
- die
- Betriebssystem
- Betrieb
- Einkauf & Prozesse
- or
- Organisationen
- Andere
- Ergebnisse
- aussen
- Teil
- Passwort
- Passwörter
- passt
- Schnittmuster
- Ausführen
- Beharrlichkeit
- Plato
- Datenintelligenz von Plato
- PlatoData
- Post
- Potenzial
- Powershell
- Privileg
- Privilegien
- Protokoll
- Angebot
- lieber
- kürzlich
- Region
- Registratur
- entfernt
- Fernzugriff
- Downloads
- was zu
- Straße
- s
- Skalieren
- Scannen
- Umfang
- Bildschirm
- Sicherheitdienst
- Modellreihe
- Fertige Server
- sollte
- unterzeichnet
- Situation
- Quelle
- Südostasien
- spezifisch
- beginnt
- verstohlen
- Shritte
- klebrig
- so
- Schlägt vor
- sicher
- System
- Systeme und Techniken
- Taiwan
- Nehmen
- gezielt
- Aufgabe
- Techniken
- Technologie
- Terminal
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- dann
- Dort.
- fehlen uns die Worte.
- obwohl?
- Bedrohung
- während
- Zeit
- zu
- Werkzeuge
- der Verkehr
- entfesselt
- auf dem neusten Stand
- -
- benutzt
- Mitglied
- Nutzer
- verwendet
- Verwendung von
- Dienstprogramme
- Bestätigung
- Opfer
- Volt
- VPN
- Sicherheitslücken
- Verwundbarkeit
- Schwachstellen-Scan
- Warnung
- Warnt
- Netz
- Internetanwendung
- GUT
- wann
- welche
- während
- WHO
- werden wir
- Fenster
- mit
- .
- ohne
- Zephyrnet