Sebuah kelompok ancaman persisten tingkat lanjut (APT) yang didukung Tiongkok yang dijuluki Flax Typhoon telah memasang jaringan infeksi jangka panjang yang persisten di dalam lusinan organisasi Taiwan, yang kemungkinan besar akan melakukan kampanye spionase dunia maya yang ekstensif – dan kelompok tersebut melakukannya hanya dengan menggunakan sedikit sumber daya. perangkat lunak perusak.
Menurut Microsoft, kelompok serangan siber yang disponsori negara ini sebagian besar hidup di luar negeri, menggunakan alat dan utilitas sah yang dibangun dalam sistem operasi Windows untuk melakukan operasi yang sangat tersembunyi dan terus-menerus.
Saat ini, sebagian besar korban Topan Flax berada di Taiwan peringatan tentang Flax Typhoon dari Microsoft minggu ini. Raksasa komputasi ini tidak mengungkapkan cakupan serangannya, namun mencatat bahwa perusahaan di luar Taiwan harus mewaspadainya.
Kampanye ini “menggunakan teknik yang dapat dengan mudah digunakan kembali dalam operasi lain di luar wilayah tersebut,” peringatannya. Memang benar, di masa lalu, ancaman negara-bangsa telah menargetkan berbagai industri (termasuk lembaga pemerintah dan pendidikan, manufaktur penting, dan teknologi informasi) di seluruh Asia Tenggara, serta di Amerika Utara dan Afrika.
Cakupan keseluruhan dampak dari infeksi ini akan sulit untuk dinilai, mengingat “mendeteksi dan memitigasi serangan ini bisa menjadi sebuah tantangan,” Microsoft memperingatkan. “Akun yang disusupi harus ditutup atau diubah. Sistem yang dikompromikan harus diisolasi dan diselidiki.”
Hidup di Luar Negeri & Malware Komoditas
Berbeda dengan banyak APT lain yang unggul dalam menciptakan dan mengembangkan persenjataan tertentu alat serangan siber khusus, Flax Typhoon lebih memilih untuk mengambil rute yang tidak mudah dikenali dengan menggunakan malware yang tersedia dan utilitas Windows asli (alias hidup dari biner darat, atau LOLbins) yang lebih sulit digunakan untuk atribusi.
Rutinitas infeksinya dalam serentetan serangan terbaru yang diamati oleh Microsoft adalah sebagai berikut:
- Akses awal: Hal ini dilakukan dengan mengeksploitasi kerentanan yang diketahui dalam aplikasi VPN, Web, Java, dan SQL yang dapat diakses publik untuk menyebarkan komoditas tersebut. Cangkang web China Chopper, yang memungkinkan eksekusi kode jarak jauh pada server yang disusupi.
- Peningkatan hak istimewa: Jika perlu, gunakan Flax Typhoon Kentang juicy, BadPotato, dan alat sumber terbuka lainnya untuk mengeksploitasi kerentanan eskalasi hak istimewa lokal.
- Membangun akses jarak jauh: Flax Typhoon menggunakan baris perintah Instrumentasi Manajemen Windows (WMIC) (atau PowerShell, atau Terminal Windows dengan hak administrator lokal) untuk menonaktifkan otentikasi tingkat jaringan (NLA) untuk Remote Desktop Protocol (RDP). Hal ini memungkinkan Flax Typhoon mengakses layar masuk Windows tanpa mengautentikasi dan, dari sana, menggunakan fitur aksesibilitas Sticky Keys di Windows untuk meluncurkan Task Manager dengan hak istimewa sistem lokal. Penyerang kemudian memasang jembatan VPN yang sah untuk terhubung secara otomatis ke infrastruktur jaringan yang dikendalikan aktor.
- Kegigihan: Flax Typhoon menggunakan Service Control Manager (SCM) untuk membuat layanan Windows yang meluncurkan koneksi VPN secara otomatis ketika sistem dimulai, memungkinkan aktor untuk memantau ketersediaan sistem yang disusupi dan membuat koneksi RDP.
- Gerakan lateral: Untuk mengakses sistem lain di jaringan yang disusupi, aktor menggunakan LOLBin lain, termasuk Windows Remote Management (WinRM) dan WMIC, untuk melakukan pemindaian jaringan dan kerentanan.
- Akses kredensial: Flax Typhoon sering menyebar Mimikatz untuk secara otomatis membuang kata sandi hash untuk pengguna yang masuk ke sistem lokal. Hash kata sandi yang dihasilkan dapat diretas secara offline atau digunakan dalam serangan pass-the-hash (PtH) untuk mengakses sumber daya lain di jaringan yang disusupi.
Menariknya, APT nampaknya menunggu waktunya untuk melaksanakan tujuan akhir, meskipun eksfiltrasi data kemungkinan besar menjadi tujuannya (bukan potensi hasil kinetik yang baru-baru ini ditandai oleh Microsoft. Aktivitas Volt Typhoon yang disponsori Tiongkok).
“Pola aktivitas ini tidak biasa karena aktivitas minimal terjadi setelah aktor membangun persistensi,” menurut analisis Microsoft. “Aktivitas penemuan dan akses kredensial Flax Typhoon tampaknya tidak memungkinkan pengumpulan data dan eksfiltrasi lebih lanjut. Meskipun perilaku aktor yang diamati menunjukkan niat Flax Typhoon untuk melakukan spionase dan mempertahankan pijakan jaringan mereka, Microsoft belum mengamati tindakan Flax Typhoon sesuai tujuan akhir kampanye ini.”
Melindungi Terhadap Kompromi
Dalam postingannya, Microsoft menawarkan serangkaian langkah yang harus diambil jika organisasi mengalami gangguan dan perlu menilai skala aktivitas Flax Typhoon dalam jaringan mereka dan memulihkan infeksi. Untuk menghindari situasi ini sepenuhnya, organisasi harus memastikan bahwa semua server yang berhubungan dengan publik telah di-patch dan diperbarui, serta memiliki pemantauan dan keamanan tambahan seperti validasi input pengguna, pemantauan integritas file, pemantauan perilaku, dan firewall aplikasi Web.
Admin juga dapat memantau registri Windows untuk perubahan yang tidak sah; memantau lalu lintas RDP apa pun yang dapat dianggap tidak sah; Dan memperkuat keamanan akun dengan otentikasi multifaktor dan tindakan pencegahan lainnya.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- ChartPrime. Tingkatkan Game Trading Anda dengan ChartPrime. Akses Di Sini.
- BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
- Sumber: https://www.darkreading.com/threat-intelligence/china-unleashes-flax-typhoon-apt-live-off-land-microsoft-warns
- :memiliki
- :adalah
- :bukan
- 7
- a
- mengakses
- aksesibilitas
- Menurut
- Akun
- Akun
- Bertindak
- kegiatan
- kegiatan
- Tambahan
- maju
- Afrika
- Setelah
- terhadap
- lembaga
- Semua
- Membiarkan
- memungkinkan
- juga
- Amerika
- jumlah
- an
- analisis
- dan
- Apa pun
- muncul
- muncul
- Aplikasi
- aplikasi
- APT
- ADALAH
- AS
- Asia
- menilai
- At
- menyerang
- Serangan
- Otentikasi
- secara otomatis
- tersedianya
- menghindari
- BE
- laku
- Luar
- JEMBATAN
- luas
- dibangun di
- tapi
- by
- Kampanye
- CAN
- membawa
- menantang
- berubah
- Perubahan
- Tiongkok
- tertutup
- kode
- datang
- komoditi
- Dikompromikan
- komputasi
- Terhubung
- koneksi
- dianggap
- kontras
- kontrol
- bisa
- retak
- membuat
- membuat
- kritis
- maya
- Serangan cyber
- data
- menyebarkan
- menyebarkan
- Desktop
- MELAKUKAN
- sulit
- penemuan
- do
- dilakukan
- puluhan
- dijuluki
- membuang
- mudah
- Pendidikan
- aktif
- perusahaan
- sepenuhnya
- eskalasi
- spionase
- menetapkan
- menetapkan
- berkembang
- Excel
- mengeksekusi
- eksekusi
- pengelupasan kulit
- Mengeksploitasi
- mengeksploitasi
- luas
- sangat
- Fitur
- File
- terakhir
- firewall
- ditandai
- berikut
- Untuk
- sering
- dari
- penuh
- lebih lanjut
- raksasa
- diberikan
- Pemerintah
- instansi pemerintah
- Kelompok
- sulit
- hash
- Memiliki
- HTTPS
- mengidentifikasi
- if
- in
- Di lain
- Termasuk
- memang
- industri
- infeksi
- informasi
- teknologi informasi
- Infrastruktur
- memasukkan
- dalam
- install
- integritas
- ke
- adalah n
- terpencil
- IT
- NYA
- Jawa
- jpg
- kunci-kunci
- dikenal
- Tanah
- Terbaru
- jalankan
- meluncurkan
- sah
- kurang
- Mungkin
- hidup
- hidup
- lokal
- jangka panjang
- memelihara
- membuat
- malware
- pengelolaan
- manajer
- pabrik
- banyak
- Microsoft
- minimal
- meringankan
- Memantau
- pemantauan
- paling
- gerakan
- harus
- asli
- perlu
- Perlu
- jaringan
- jaringan
- utara
- Amerika Utara
- terkenal
- Melihat..
- sekarang
- target
- of
- lepas
- ditawarkan
- Pengunjung
- on
- hanya
- Buka
- open source
- operasi
- sistem operasi
- operasi
- Operasi
- or
- organisasi
- Lainnya
- di luar
- hasil
- di luar
- bagian
- Kata Sandi
- password
- lalu
- pola
- Melakukan
- ketekunan
- plato
- Kecerdasan Data Plato
- Data Plato
- Pos
- potensi
- PowerShell
- hak istimewa
- hak
- protokol
- jarak
- agak
- baru-baru ini
- wilayah
- pendaftaran
- terpencil
- Remote Access
- Sumber
- dihasilkan
- Rute
- s
- Skala
- pemindaian
- cakupan
- Layar
- keamanan
- Seri
- Server
- layanan
- harus
- tertanda
- situasi
- sumber
- Asia Tenggara
- tertentu
- dimulai
- diam-diam
- Tangga
- lengket
- seperti itu
- Menyarankan
- yakin
- sistem
- sistem
- Taiwan
- Mengambil
- ditargetkan
- tugas
- teknik
- Teknologi
- terminal
- dari
- bahwa
- Grafik
- mereka
- kemudian
- Sana.
- ini
- meskipun?
- ancaman
- di seluruh
- waktu
- untuk
- alat
- lalu lintas
- melepaskan
- mutakhir
- menggunakan
- bekas
- Pengguna
- Pengguna
- kegunaan
- menggunakan
- keperluan
- pengesahan
- korban
- Volt
- VPN
- Kerentanan
- kerentanan
- pemindaian kerentanan
- peringatan
- Peringatkan
- jaringan
- aplikasi web
- BAIK
- ketika
- yang
- sementara
- SIAPA
- akan
- Windows
- dengan
- dalam
- tanpa
- zephyrnet.dll