Kiinan tukema kehittynyt jatkuva uhka (APT) -ryhmä, nimeltään Flax Typhoon, on asentanut jatkuvien, pitkäaikaisten infektioiden verkon kymmeniin taiwanilaisiin organisaatioihin, jotka todennäköisesti toteuttavat laajan kybervakoilukampanjan – ja se teki sen käyttämällä vain minimaalisia määriä haittaohjelma.
Microsoftin mukaan valtion tukema kyberhyökkäysryhmä elää suurimmaksi osaksi maasta ja käyttää Windows-käyttöjärjestelmään sisäänrakennettuja laillisia työkaluja ja apuohjelmia äärimmäisen salakavalan ja jatkuvan toiminnan suorittamiseen.
Toistaiseksi suurin osa Flax Typhoonin uhreista on ryhmitelty Taiwanissa Microsoftin tällä viikolla antama varoitus Flax Typhoonista. Tietojenkäsittelyjätti ei paljasta hyökkäysten laajuutta, mutta huomautti, että Taiwanin ulkopuolisten yritysten tulisi olla varovaisia.
Kampanjassa "käytetään tekniikoita, joita voidaan helposti käyttää uudelleen muissa alueen ulkopuolella tapahtuvissa toimissa", se varoittaa. Ja todellakin, menneisyydessä kansallisvaltion uhka on kohdistunut laajaan valikoimaan toimialoja (mukaan lukien valtion virastot ja koulutus, kriittinen valmistus ja tietotekniikka) kaikkialla Kaakkois-Aasiassa sekä Pohjois-Amerikassa ja Afrikassa.
Tartunnan aiheuttamien vahinkojen koko laajuutta on vaikea arvioida, koska "tämän hyökkäyksen havaitseminen ja lieventäminen voi olla haastavaa", Microsoft varoitti. "Vaarantuneet tilit on suljettava tai muutettava. Vaaralliset järjestelmät on eristettävä ja tutkittava."
Living Off the Land & Commodity Haittaohjelmat
Toisin kuin monet muut APT:t, jotka loistavat erityisten arsenaalien luomisessa ja kehittämisessä mukautettuja kyberhyökkäystyökaluja, Flax Typhoon valitsee mieluummin vähemmän tunnistavan reitin käyttämällä valmiita haittaohjelmia ja natiivi Windows-apuohjelmia (alias eläen maabinaareista eli LOLbineista), joita on vaikeampi käyttää vaikuttamiseen.
Sen tartuntarutiini Microsoftin viimeisimmässä havaitsemassa hyökkäyksessä on seuraava:
- Ensimmäinen pääsy: Tämä tehdään hyödyntämällä tunnettuja haavoittuvuuksia julkisissa VPN-, Web-, Java- ja SQL-sovelluksissa hyödykkeen käyttöönottamiseksi. China Chopper -verkkokuori, joka mahdollistaa koodin etäsuorittamisen vaarantuneella palvelimella.
- Etuoikeuksien eskalointi: Tarvittaessa Flax Typhoon käyttää Mehukas peruna, BadPotato ja muut avoimen lähdekoodin työkalut paikallisten oikeuksien eskalaatiohaavoittuvuuksien hyödyntämiseksi.
- Etäkäytön luominen: Flax Typhoon käyttää Windows Management Instrumentation -komentoriviä (WMIC) (tai PowerShellia tai Windows-päätettä paikallisilla järjestelmänvalvojan oikeuksilla) poistaakseen verkkotason todennuksen (NLA) käytöstä Remote Desktop Protocol (RDP) -protokollassa. Tämän ansiosta Flax Typhoon voi käyttää Windowsin kirjautumisnäyttöä ilman todennusta ja käyttää sieltä Windowsin Sticky Keys -käyttöapuominaisuutta käynnistääkseen Task Managerin paikallisilla järjestelmäoikeuksilla. Hyökkääjät asentavat sitten laillisen VPN-sillan muodostaakseen automaattisesti yhteyden toimijan ohjaamaan verkkoinfrastruktuuriin.
- Sitkeys: Flax Typhoon käyttää Service Control Manageria (SCM) luodakseen Windows-palvelun, joka käynnistää VPN-yhteyden automaattisesti järjestelmän käynnistyessä, jolloin toimija voi seurata vaarantuneen järjestelmän saatavuutta ja muodostaa RDP-yhteyden.
- Sivuttaisliike: Päästäkseen muihin vaarantuneen verkon järjestelmiin näyttelijä käyttää muita LOLBinejä, mukaan lukien Windows Remote Management (WinRM) ja WMIC, suorittaakseen verkon ja haavoittuvuustarkistuksen.
- Käyttöoikeustiedot: Pellava Typhoon otetaan käyttöön usein Mimikatz tyhjentää automaattisesti paikalliseen järjestelmään kirjautuneiden käyttäjien tiivistetyt salasanat. Tuloksena olevat salasanatiivisteet voidaan murtaa offline-tilassa tai käyttää pass-the-hash (PtH) -hyökkäyksissä päästäkseen muihin vaarantuneen verkon resursseihin.
Mielenkiintoista on, että APT näyttää tavoittelevan aikaansa loppupelin suorittamisessa, vaikka todennäköinen tavoite on tietojen suodattaminen (miten Microsoftin äskettäin ilmoittamien mahdollisten kineettisten tulosten sijaan Kiinan sponsoroima Volt Typhoon -toiminta).
"Tämä toimintamalli on epätavallinen siinä mielessä, että aktiivisuutta esiintyy vain vähän sen jälkeen, kun näyttelijä on saavuttanut pysyvyyden", Microsoftin analyysin mukaan. "Flax Typhoonin löytö- ja käyttöoikeustietojen käyttötoiminnot eivät näytä mahdollistavan muita tiedonkeruu- ja suodatustavoitteita. Vaikka näyttelijän havaittu käyttäytyminen viittaa siihen, että Flax Typhoon aikoo tehdä vakoilua ja säilyttää jalansijansa verkossa, Microsoft ei ole havainnut Flax Typhoonin toimivan tämän kampanjan lopullisten tavoitteiden mukaisesti.
Kompromisseja vastaan suojautuminen
Viestissään Microsoft tarjosi joukon toimenpiteitä, joihin ryhdytään, jos organisaatiot ovat vaarantuneet ja niiden on arvioitava Flax Typhoon -toiminnan laajuus verkoissaan ja korjattava tartunta. Välttääkseen tilanteen kokonaan organisaatioiden tulee varmistaa, että kaikki julkiset palvelimet ovat korjattuja ja ajan tasalla ja että niissä on lisävalvonta ja suojaus, kuten käyttäjän syötteiden validointi, tiedostojen eheyden valvonta, käyttäytymisen valvonta ja verkkosovellusten palomuurit.
Järjestelmänvalvojat voivat myös tarkkailla Windowsin rekisteriä luvattomien muutosten varalta. valvoa RDP-liikennettä, jota voidaan pitää luvattomana; ja vahvistaa tilin turvallisuutta monitekijätodennuksen avulla ja muita varotoimenpiteitä.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- ChartPrime. Nosta kaupankäyntipeliäsi ChartPrimen avulla. Pääsy tästä.
- BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
- Lähde: https://www.darkreading.com/threat-intelligence/china-unleashes-flax-typhoon-apt-live-off-land-microsoft-warns
- :on
- :On
- :ei
- 7
- a
- pääsy
- saavutettavuus
- Mukaan
- Tili
- Tilit
- Toimia
- toiminta
- toiminta
- lisä-
- kehittynyt
- Afrikka
- Jälkeen
- vastaan
- virastojen
- Kaikki
- Salliminen
- mahdollistaa
- Myös
- Amerikka
- määrät
- an
- analyysi
- ja
- Kaikki
- näyttää
- näyttää
- Hakemus
- sovellukset
- APT
- OVAT
- AS
- Aasia
- arvioida
- At
- hyökkäys
- Hyökkäykset
- Authentication
- automaattisesti
- saatavuus
- välttää
- BE
- käyttäytyminen
- Jälkeen
- SILTA
- laaja
- rakennettu
- mutta
- by
- Kampanja
- CAN
- kuljettaa
- haastava
- muuttunut
- Muutokset
- Kiina
- suljettu
- koodi
- tulee
- hyödyke
- Vaarantunut
- tietojenkäsittely
- kytkeä
- liitäntä
- harkittu
- kontrasti
- ohjaus
- voisi
- säröillä
- luoda
- Luominen
- kriittinen
- cyber
- Kyberhyökkäys
- tiedot
- sijoittaa
- lauennut
- pöytä-
- DID
- vaikea
- löytö
- do
- tehty
- kymmeniä
- dubattuna
- dumpata
- helposti
- koulutus
- mahdollistaa
- yrityksille
- täysin
- laajenemisen
- vakoilu
- perustaa
- laatii
- kehittyvä
- kunnostautua
- täytäntöönpanosta
- teloitus
- suodatus
- Käyttää hyväkseen
- hyödyntäminen
- laaja
- erittäin
- Ominaisuus
- filee
- lopullinen
- palomuurit
- Merkityt
- seuraa
- varten
- usein
- alkaen
- koko
- edelleen
- jättiläinen
- tietty
- Hallitus
- valtion virastot
- Ryhmä
- kovemmin
- hajautettu
- Olla
- HTTPS
- tunnistaminen
- if
- in
- Muilla
- Mukaan lukien
- todellakin
- teollisuuden
- infektiot
- tiedot
- tietotekniikka
- Infrastruktuuri
- panos
- sisällä
- asentaa
- eheys
- tulee
- ISN
- yksittäinen
- IT
- SEN
- Jaava
- jpg
- avaimet
- tunnettu
- Maa
- uusin
- käynnistää
- käynnistää
- laillinen
- vähemmän
- Todennäköisesti
- elää
- elävät
- paikallinen
- pitkän aikavälin
- ylläpitää
- tehdä
- haittaohjelmat
- johto
- johtaja
- valmistus
- monet
- Microsoft
- minimi
- lieventävä
- monitori
- seuranta
- eniten
- liike
- täytyy
- syntyperäinen
- välttämätön
- Tarve
- verkko
- verkot
- Pohjoiseen
- Pohjois-Amerikka
- huomattava
- Ilmoitus..
- nyt
- tavoitteet
- of
- pois
- tarjotaan
- offline
- on
- vain
- avata
- avoimen lähdekoodin
- toiminta
- käyttöjärjestelmän
- toiminta
- Operations
- or
- organisaatioiden
- Muut
- ulos
- tuloksiin
- ulkopuolella
- osa
- Salasana
- salasanat
- Ohi
- Kuvio
- Suorittaa
- sitkeys
- Platon
- Platonin tietotieto
- PlatonData
- Kirje
- mahdollinen
- PowerShell
- etuoikeus
- oikeudet
- protokolla
- alue
- pikemminkin
- äskettäin
- alue
- rekisterin
- kaukosäädin
- etäkäyttö
- Esittelymateriaalit
- Saatu ja
- Reitti
- s
- Asteikko
- skannaus
- laajuus
- Näytön
- turvallisuus
- Sarjat
- servers
- palvelu
- shouldnt
- allekirjoitettu
- tilanne
- lähde
- Kaakkois-Aasiassa
- erityinen
- alkaa
- viekas
- Askeleet
- tahmea
- niin
- Ehdottaa
- varma
- järjestelmä
- järjestelmät
- Taiwan
- ottaa
- kohdennettu
- Tehtävä
- tekniikat
- Elektroniikka
- terminaali
- kuin
- että
- -
- heidän
- sitten
- Siellä.
- tätä
- vaikka?
- uhkaus
- kauttaaltaan
- aika
- että
- työkalut
- liikenne
- valloilleen
- ajanmukainen
- käyttää
- käytetty
- käyttäjä
- Käyttäjät
- käyttötarkoituksiin
- käyttämällä
- apuohjelmia
- validointi
- uhrit
- Voltti
- VPN
- haavoittuvuuksia
- alttius
- haavoittuvuuden tarkistus
- varoitus
- varoittaa
- verkko
- Web-sovellus
- HYVIN
- kun
- joka
- vaikka
- KUKA
- tulee
- ikkunat
- with
- sisällä
- ilman
- zephyrnet