Un grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés) respaldado por China, denominado Flax Typhoon, ha instalado una red de infecciones persistentes y de largo plazo dentro de docenas de organizaciones taiwanesas, probablemente para llevar a cabo una extensa campaña de ciberespionaje, y lo hizo utilizando sólo cantidades mínimas de malware.
Según Microsoft, el grupo de ciberataques patrocinado por el estado vive de la tierra en su mayor parte, utilizando herramientas y utilidades legítimas integradas en el sistema operativo Windows para llevar a cabo una operación extremadamente sigilosa y persistente.
Por ahora, la mayoría de las víctimas del tifón Flax se concentran en Taiwán, según una advertencia sobre Flax Typhoon de Microsoft esta semana. El gigante informático no divulga el alcance de los ataques, pero señaló que las empresas fuera de Taiwán deberían estar alerta.
La campaña está "utilizando técnicas que podrían reutilizarse fácilmente en otras operaciones fuera de la región", advirtió. Y, de hecho, en el pasado, la amenaza del Estado-nación se ha dirigido a una amplia gama de industrias (incluidas agencias gubernamentales y educación, manufactura crítica y tecnología de la información) en todo el sudeste asiático, así como en América del Norte y África.
Será difícil evaluar el alcance total del daño de las infecciones, dado que "detectar y mitigar este ataque podría ser un desafío", advirtió Microsoft. “Las cuentas comprometidas deben cerrarse o modificarse. Los sistemas comprometidos deben aislarse e investigarse”.
Vivir de la tierra y el malware de productos básicos
A diferencia de muchas otras APT que se destacan en la creación y evolución de arsenales específicos de herramientas de ciberataque personalizadas, Flax Typhoon prefiere tomar una ruta menos identificable mediante el uso de malware comercial y utilidades nativas de Windows (también conocidas como viviendo de los binarios terrestres, o LOLbins) que son más difíciles de utilizar para la atribución.
Su rutina de infección en la última serie de ataques observados por Microsoft es la siguiente:
- Acceso inicial: Esto se hace explotando vulnerabilidades conocidas en aplicaciones VPN, web, Java y SQL públicas para implementar el producto. Cáscara web de China Chopper, que permite la ejecución remota de código en el servidor comprometido.
- Escalada de privilegios: Si es necesario, Flax Typhoon utiliza Papa jugosa, BadPotato y otras herramientas de código abierto para explotar vulnerabilidades de escalada de privilegios locales.
- Establecer acceso remoto: Flax Typhoon utiliza la línea de comandos del Instrumental de administración de Windows (WMIC) (o PowerShell, o la Terminal de Windows con privilegios de administrador local) para deshabilitar la autenticación a nivel de red (NLA) para el Protocolo de escritorio remoto (RDP). Esto permite a Flax Typhoon acceder a la pantalla de inicio de sesión de Windows sin autenticarse y, desde allí, usar la función de accesibilidad Sticky Keys en Windows para iniciar el Administrador de tareas con privilegios del sistema local. Luego, los atacantes instalan un puente VPN legítimo para conectarse automáticamente a la infraestructura de red controlada por el actor.
- Persistencia: Flax Typhoon utiliza el Administrador de control de servicios (SCM) para crear un servicio de Windows que inicia la conexión VPN automáticamente cuando se inicia el sistema, lo que permite al actor monitorear la disponibilidad del sistema comprometido y establecer una conexión RDP.
- Movimiento lateral: Para acceder a otros sistemas en la red comprometida, el actor utiliza otros LOLBins, incluida la administración remota de Windows (WinRM) y WMIC, para realizar un escaneo de redes y vulnerabilidades.
- Acceso credencial: Flax Typhoon se despliega con frecuencia Mimikatz para volcar automáticamente las contraseñas hash de los usuarios que iniciaron sesión en el sistema local. Los hash de contraseña resultantes se pueden descifrar fuera de línea o usarse en ataques pass-the-hash (PtH) para acceder a otros recursos en la red comprometida.
Curiosamente, la APT parece estar esperando el momento oportuno cuando se trata de ejecutar un final, aunque el objetivo probable es la exfiltración de datos (en lugar de los posibles resultados cinéticos que Microsoft recientemente señaló). Actividad del tifón Volt patrocinada por China).
"Este patrón de actividad es inusual porque se produce una actividad mínima después de que el actor establece persistencia", según el análisis de Microsoft. “Las actividades de descubrimiento y acceso a credenciales de Flax Typhoon no parecen permitir objetivos adicionales de recopilación y exfiltración de datos. Si bien el comportamiento observado del actor sugiere que Flax Typhoon intenta realizar espionaje y mantener sus puntos de apoyo en la red, Microsoft no ha observado que Flax Typhoon actúe sobre los objetivos finales de esta campaña”.
Protección contra el compromiso
En su publicación, Microsoft ofreció una serie de pasos a seguir si las organizaciones se ven comprometidas y necesitan evaluar la escala de la actividad de Flax Typhoon dentro de sus redes y remediar una infección. Para evitar la situación por completo, las organizaciones deben asegurarse de que todos los servidores públicos estén parcheados y actualizados, y que tengan monitoreo y seguridad adicionales, como validación de entradas de usuarios, monitoreo de integridad de archivos, monitoreo de comportamiento y firewalls de aplicaciones web.
Los administradores también pueden monitorear el registro de Windows en busca de cambios no autorizados; monitorear cualquier tráfico RDP que pueda considerarse no autorizado; y reforzar la seguridad de la cuenta con autenticación multifactor y otras precauciones.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- ChartPrime. Eleve su juego comercial con ChartPrime. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://www.darkreading.com/threat-intelligence/china-unleashes-flax-typhoon-apt-live-off-land-microsoft-warns
- :posee
- :es
- :no
- 7
- a
- de la máquina
- accesibilidad
- Conforme
- Mi Cuenta
- Cuentas
- Actúe
- actividades
- actividad
- Adicionales
- avanzado
- África
- Después
- en contra
- agencias
- Todos
- Permitir
- permite
- también
- America
- cantidades
- an
- análisis
- y
- cualquier
- Aparecer
- aparece
- Aplicación
- aplicaciones
- APT
- somos
- AS
- Asia
- evaluar
- At
- atacar
- ataques
- Autenticación
- automáticamente
- disponibilidad
- evitar
- BE
- comportamiento
- Más allá de
- PUENTE
- general
- construido
- pero
- by
- Campaña
- PUEDEN
- llevar
- desafiante
- cambiado
- Cambios
- China
- cerrado
- código
- proviene
- mercancía
- Comprometida
- informática
- Contacto
- conexión
- considerado
- contraste
- control
- podría
- agrietado
- Para crear
- Creamos
- crítico
- ciber
- Ataque cibernetico
- datos
- desplegar
- despliega
- computadora de escritorio
- HIZO
- difícil
- descubrimiento
- do
- hecho
- decenas
- doblado
- arrojar
- pasan fácilmente
- Educación
- habilitar
- empresas
- enteramente
- escalada
- espionaje
- establecer
- evolución
- Excel
- ejecución
- ejecución
- exfiltración
- Explotar
- explotando
- en los detalles
- extremadamente
- Feature
- Archive
- final
- cortafuegos
- marcado
- siguiente
- frecuentemente
- Desde
- ser completados
- promover
- gigante
- dado
- Gobierno
- agencias estatales
- Grupo procesos
- más fuerte
- hash
- Tienen
- HTTPS
- identificar
- if
- in
- En otra
- Incluye
- en efecto
- industrias
- infecciones
- información
- tecnología de la información
- EN LA MINA
- Las opciones de entrada
- dentro
- instalar
- integridad
- dentro
- ISN
- aislado
- IT
- SUS
- Java
- jpg
- claves
- conocido
- CARGA TERRESTRE
- más reciente
- lanzamiento
- pone en marcha
- legítima
- menos
- que otros
- para vivir
- alga viva
- local
- compromiso a largo plazo
- mantener
- para lograr
- el malware
- Management
- gerente
- Fabricación
- muchos
- Microsoft
- mínimo
- mitigar
- Monitorear
- monitoreo
- MEJOR DE TU
- movimiento
- debe
- nativo
- necesario
- ¿ Necesita ayuda
- del sistema,
- telecomunicaciones
- North
- América del Norte
- señaló
- Aviso..
- ahora
- ,
- of
- off
- Ofrecido
- digital fuera de línea.
- on
- , solamente
- habiertos
- de código abierto
- funcionamiento
- sistema operativo
- Inteligente
- Operaciones
- or
- para las fiestas.
- Otro
- salir
- resultados
- afuera
- parte
- Contraseña
- contraseñas
- pasado
- Patrón de Costura
- Realizar
- persistencia
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Publicación
- posible
- PowerShell
- privilegio
- privilegios
- protocolo
- distancia
- más bien
- recientemente
- región
- registro
- sanaciones
- acceso remoto
- Recursos
- resultante
- Ruta
- s
- Escala
- exploración
- alcance
- Pantalla
- EN LINEA
- Serie
- Servidores
- de coches
- tienes
- firmado
- situación
- Fuente
- Southeast Asia
- soluciones y
- comienza
- cauteloso
- pasos
- pegajoso
- tal
- Sugiere
- seguro
- te
- Todas las funciones a su disposición
- Taiwán
- ¡Prepárate!
- afectados
- Tarea
- técnicas
- Tecnología
- terminal
- que
- esa
- La
- su
- luego
- Ahí.
- así
- ¿aunque?
- amenaza
- a lo largo de
- equipo
- a
- tráfico
- desata
- hasta a la fecha
- utilizan el
- usado
- Usuario
- usuarios
- usos
- usando
- utilidades
- validación
- las víctimas
- Volt
- VPN
- Vulnerabilidades
- vulnerabilidad
- escaneo de vulnerabilidades
- advertencia
- Advierte
- web
- Aplicación web
- WELL
- cuando
- que
- mientras
- QUIENES
- seguirá
- ventanas
- dentro de
- sin
- zephyrnet