Hiina toetatud arenenud püsivate ohtude (APT) rühmitus nimega Flax Typhoon on paigaldanud kümnetesse Taiwani organisatsioonidesse püsivate pikaajaliste nakkuste võrgu, mis tõenäoliselt viib läbi ulatuslikku küberspionaažikampaaniat – ja ta tegi seda vaid minimaalsete koguste abil. pahavara.
Microsofti sõnul elab riigi toetatud küberrünnakute rühmitus suures osas maast välja, kasutades Windowsi operatsioonisüsteemi sisseehitatud legitiimseid tööriistu ja utiliite, et viia läbi äärmiselt vargsi ja püsivaid toiminguid.
Praeguseks on enamik linataifooni ohvreid koondunud Taiwani Microsofti selle nädala hoiatus Flax Typhooni kohta. Arvutushiiglane ei avalda rünnakute ulatust, kuid märkis, et ettevõtted väljaspool Taiwani peaksid olema tähelepanelikud.
Kampaania "kasutab tehnikaid, mida saab hõlpsasti taaskasutada muudes operatsioonides väljaspool piirkonda", hoiatati. Ja tõepoolest, minevikus on rahvusriigi oht olnud suunatud paljudele tööstusharudele (sealhulgas valitsusasutused ja haridus, oluline tootmine ja infotehnoloogia) kogu Kagu-Aasias, aga ka Põhja-Ameerikas ja Aafrikas.
Nakkuste tekitatud kahju kogu ulatust on raske hinnata, kuna "selle rünnaku tuvastamine ja leevendamine võib olla keeruline," hoiatas Microsoft. "Riikitud kontod tuleb sulgeda või muuta. Ohustatud süsteemid tuleb isoleerida ja uurida.
Living Off the Land & Commodity pahavara
Erinevalt paljudest teistest APT-dest, kes paistavad silma konkreetse arsenali loomise ja arendamisega kohandatud küberrünnaku tööriistad, eelistab Flax Typhoon kasutada vähem tuvastavat marsruuti, kasutades valmis pahavara ja Windowsi utiliite (teise nimega elavad maa binaaridest ehk LOLbinidest), mida on omistamiseks raskem kasutada.
Selle nakatumise rutiin Microsofti viimaste rünnakute ajal on järgmine:
- Esialgne juurdepääs: Selleks kasutatakse kauba juurutamiseks teadaolevaid haavatavusi avalikes VPN-, veebi-, Java- ja SQL-rakendustes. Hiina Chopperi veebikest, mis võimaldab koodi kaugkäivitamist ohustatud serveris.
- Privileegide eskalatsioon: Vajadusel kasutab Flax Typhoon Mahlane kartul, BadPotato ja muud avatud lähtekoodiga tööriistad kohalike privileegide eskalatsiooni haavatavuste ärakasutamiseks.
- Kaugjuurdepääsu loomine: Flax Typhoon kasutab kaugtöölauaprotokolli (RDP) võrgutaseme autentimise (NLA) keelamiseks Windows Management Instrumentationi käsurida (WMIC) (või PowerShelli või kohaliku administraatori õigustega Windowsi terminali). See võimaldab Flax Typhoonil pääseda ilma autentimiseta juurde Windowsi sisselogimisekraanile ja sealt edasi kasutada Windowsi kleepuvate võtmete juurdepääsetavuse funktsiooni, et käivitada tegumihaldur kohaliku süsteemi õigustega. Seejärel paigaldavad ründajad seadusliku VPN-silla, et luua automaatselt ühenduse loomine osalejate juhitava võrguinfrastruktuuriga.
- Püsivus: Flax Typhoon kasutab Service Control Manageri (SCM) Windowsi teenuse loomiseks, mis käivitab süsteemi käivitumisel automaatselt VPN-ühenduse, võimaldades näitlejal jälgida ohustatud süsteemi saadavust ja luua RDP-ühenduse.
- Külgmine liikumine: Ohustatud võrgu teistele süsteemidele juurdepääsuks kasutab näitleja võrgu ja haavatavuse kontrollimiseks teisi LOLBine, sealhulgas Windows Remote Management (WinRM) ja WMIC.
- Juurdepääs mandaadile: Lina taifuun käivitub sageli Mimikatz kohalikku süsteemi sisse logitud kasutajate räsiparoolide automaatseks kustutamiseks. Saadud parooliräsi saab võrguühenduseta lahti murda või kasutada räsi jätmise (PtH) rünnakutes, et pääseda juurde teistele ohustatud võrgu ressurssidele.
Huvitav on see, et APT näib lõppmängu teostamisel oma aega pakkuvat, kuigi tõenäoline eesmärk on andmete väljafiltreerimine (mitte potentsiaalsete kineetiliste tulemuste asemel, mida Microsoft hiljuti märkis Hiina rahastatud Volt Typhooni tegevus).
Microsofti analüüsi kohaselt on selline tegevusmudel ebatavaline, kuna pärast seda, kui näitleja on saavutanud püsivuse, toimub minimaalne tegevus. „Tundub, et Flax Typhooni avastamis- ja mandaadile juurdepääsu tegevused ei võimalda täiendavaid andmete kogumise ja väljafiltreerimise eesmärke. Kuigi näitleja vaadeldud käitumine viitab Flax Typhooni kavatsustele spioneerida ja säilitada oma võrgu tugipunktid, ei ole Microsoft täheldanud, et Flax Typhoon toimiks selle kampaania lõppeesmärkide järgi.
Kompromissi eest kaitsmine
Microsoft pakkus oma postituses välja rea samme, mida astuda, kui organisatsioonid on ohus ja peavad hindama Flax Typhooni tegevuse ulatust oma võrkudes ja kõrvaldama nakkuse. Olukorra täielikuks vältimiseks peaksid organisatsioonid tagama, et kõik avalikkusele avatud serverid on paigatud ja ajakohastatud ning neil on täiendav jälgimine ja turvalisus, nagu kasutaja sisendi valideerimine, failide terviklikkuse jälgimine, käitumise jälgimine ja veebirakenduste tulemüürid.
Administraatorid saavad jälgida ka Windowsi registrit volitamata muudatuste suhtes; jälgida mis tahes RDP liiklust, mida võib pidada volitatuks; ja tugevdada konto turvalisust mitmefaktorilise autentimisega ja muid ettevaatusabinõusid.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- ChartPrime. Tõsta oma kauplemismängu ChartPrime'iga kõrgemale. Juurdepääs siia.
- BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
- Allikas: https://www.darkreading.com/threat-intelligence/china-unleashes-flax-typhoon-apt-live-off-land-microsoft-warns
- :on
- :on
- :mitte
- 7
- a
- juurdepääs
- kättesaadavus
- Vastavalt
- konto
- Kontod
- tegu
- tegevus
- tegevus
- Täiendavad lisad
- edasijõudnud
- Aafrika
- pärast
- vastu
- asutused
- Materjal: BPA ja flataatide vaba plastik
- Lubades
- võimaldab
- Ka
- Ameerika
- summad
- an
- analüüs
- ja
- mistahes
- ilmuma
- ilmub
- taotlus
- rakendused
- APT
- OLEME
- AS
- Aasia
- hinnata
- At
- rünnak
- Reageerib
- Autentimine
- automaatselt
- kättesaadavus
- vältima
- BE
- käitumine
- Peale
- BRIDGE
- lai
- ehitatud
- kuid
- by
- Kampaania
- CAN
- viima
- raske
- muutunud
- Vaidluste lahendamine
- Hiina
- suletud
- kood
- tuleb
- kaup
- Kompromissitud
- arvutustehnika
- Võta meiega ühendust
- ühendus
- kaaluda
- kontrast
- kontrollida
- võiks
- krakitud
- looma
- loomine
- kriitiline
- cyber
- Küberrünnak
- andmed
- juurutada
- juurutab
- lauaarvuti
- DID
- raske
- avastus
- do
- tehtud
- kümneid
- dubleeritud
- maha kallama
- kergesti
- Käsitöö
- võimaldama
- ettevõtete
- täielikult
- eskalatsioon
- spionaaž
- looma
- kehtestab
- areneb
- Excel
- hukkamine
- täitmine
- eksfiltreerimine
- Ekspluateeri
- ära kasutades
- ulatuslik
- äärmiselt
- tunnusjoon
- fail
- lõplik
- tulemüürid
- märgistatud
- järgneb
- eest
- sageli
- Alates
- täis
- edasi
- hiiglane
- antud
- Valitsus
- valitsusasutused
- Grupp
- raskem
- räsitud
- Olema
- HTTPS
- identifitseerimiseks
- if
- in
- Teistes
- Kaasa arvatud
- tõepoolest
- tööstusharudes
- nakkused
- info
- infotehnoloogia
- Infrastruktuur
- sisend
- sees
- paigaldama
- terviklikkuse
- sisse
- pole
- isoleeritud
- IT
- ITS
- Java
- jpg
- võtmed
- teatud
- maa
- hiljemalt
- algatama
- käivitab
- õigustatud
- vähem
- Tõenäoliselt
- elama
- elu-
- kohalik
- pikaajaline
- säilitada
- tegema
- malware
- juhtimine
- juht
- tootmine
- palju
- Microsoft
- minimaalne
- leevendav
- Jälgida
- järelevalve
- kõige
- liikumine
- peab
- emakeelena
- vajalik
- Vajadus
- võrk
- võrgustikud
- põhja-
- Põhja-Ameerika
- märkida
- Märka..
- nüüd
- eesmärgid
- of
- maha
- pakutud
- offline
- on
- ainult
- avatud
- avatud lähtekoodiga
- tegutsevad
- operatsioonisüsteemi
- töö
- Operations
- or
- organisatsioonid
- Muu
- välja
- tulemusi
- väljaspool
- osa
- Parool
- paroolid
- minevik
- Muster
- täitma
- püsivus
- Platon
- Platoni andmete intelligentsus
- PlatoData
- post
- potentsiaal
- PowerShell
- privileeg
- privileegid
- protokoll
- valik
- pigem
- hiljuti
- piirkond
- registri
- kauge
- Remote Access
- Vahendid
- tulemuseks
- Marsruut
- s
- Skaala
- skaneerimine
- ulatus
- Ekraan
- turvalisus
- Seeria
- Serverid
- teenus
- peaks
- allkirjastatud
- olukord
- allikas
- Kagu-Aasias
- konkreetse
- algab
- hiiliv
- Sammud
- kleepuv
- selline
- Soovitab
- kindel
- süsteem
- süsteemid
- Taiwan
- Võtma
- suunatud
- Ülesanne
- tehnikat
- Tehnoloogia
- terminal
- kui
- et
- .
- oma
- SIIS
- Seal.
- see
- kuigi?
- oht
- läbi kogu
- aeg
- et
- töövahendid
- liiklus
- vallandab
- ajakohane
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutusalad
- kasutamine
- kommunaalteenused
- kinnitamine
- ohvreid
- Volt
- VPN
- Haavatavused
- haavatavus
- haavatavuse skannimine
- hoiatus
- Hoiatab
- web
- Veebirakendus
- Hästi
- millal
- mis
- kuigi
- WHO
- will
- aknad
- koos
- jooksul
- ilma
- sephyrnet