Un gruppo APT (Advanced Persistent Threat) sostenuto dalla Cina, soprannominato Flax Typhoon, ha installato una rete di infezioni persistenti a lungo termine all'interno di dozzine di organizzazioni taiwanesi, probabilmente per condurre una vasta campagna di spionaggio informatico - e lo ha fatto utilizzando solo quantità minime di virus. malware.
Secondo Microsoft, il gruppo di attacchi informatici sponsorizzato dallo stato vive per la maggior parte dei prodotti della terra, utilizzando strumenti e utilità legittimi integrati nel sistema operativo Windows per eseguire un'operazione estremamente furtiva e persistente.
Per ora, secondo i dati, la maggior parte delle vittime del tifone Flax sono concentrate a Taiwan un avvertimento su Flax Typhoon da parte di Microsoft questa settimana. Il colosso informatico non ha divulgato la portata degli attacchi, ma ha osservato che le imprese al di fuori di Taiwan dovrebbero essere informate.
La campagna “utilizza tecniche che potrebbero essere facilmente riutilizzate in altre operazioni al di fuori della regione”, ha avvertito. E in effetti, in passato, la minaccia dello stato-nazione ha preso di mira un’ampia gamma di settori (tra cui agenzie governative e istruzione, produzione critica e tecnologia dell’informazione) in tutto il Sud-est asiatico, così come in Nord America e Africa.
Sarà difficile valutare l’intera portata dei danni causati dalle infezioni, dato che “rilevare e mitigare questo attacco potrebbe essere difficile”, ha avvertito Microsoft. “I conti compromessi devono essere chiusi o modificati. I sistemi compromessi devono essere isolati e indagati”.
Vivere dei prodotti della terra e malware delle materie prime
A differenza di molti altri APT che eccellono nella creazione e nell'evoluzione di arsenali specifici di strumenti di attacco informatico personalizzati, Flax Typhoon preferisce prendere una strada meno identificativa utilizzando malware standard e utilità native di Windows (ovvero vivere dei binari della terra, o LOLbins) che sono più difficili da utilizzare per l'attribuzione.
La sua routine di infezione nell'ultima ondata di attacchi osservati da Microsoft è la seguente:
- Accesso iniziale: Ciò viene fatto sfruttando le vulnerabilità note nelle applicazioni VPN, Web, Java e SQL rivolte al pubblico per distribuire il prodotto Webshell di China Chopper, che consente l'esecuzione di codice remoto sul server compromesso.
- Aumento dei privilegi: Se necessario, Flax Typhoon utilizza Patata succosa, BadPotato e altri strumenti open source per sfruttare le vulnerabilità legate all'escalation dei privilegi locali.
- Creazione dell'accesso remoto: Flax Typhoon utilizza la riga di comando di Strumentazione gestione Windows (WMIC) (o PowerShell o il terminale Windows con privilegi di amministratore locale) per disabilitare l'autenticazione a livello di rete (NLA) per Remote Desktop Protocol (RDP). Ciò consente a Flax Typhoon di accedere alla schermata di accesso di Windows senza autenticarsi e, da lì, utilizzare la funzionalità di accessibilità Sticky Keys in Windows per avviare Task Manager con privilegi di sistema locale. Gli aggressori installano quindi un bridge VPN legittimo per connettersi automaticamente all'infrastruttura di rete controllata dagli attori.
- Persistenza: Flax Typhoon utilizza Service Control Manager (SCM) per creare un servizio Windows che avvia automaticamente la connessione VPN all'avvio del sistema, consentendo all'autore del reato di monitorare la disponibilità del sistema compromesso e stabilire una connessione RDP.
- Movimento laterale: Per accedere ad altri sistemi sulla rete compromessa, l'attore utilizza altri LOLBin, tra cui Gestione remota Windows (WinRM) e WMIC, per eseguire la scansione della rete e delle vulnerabilità.
- Accesso con credenziali: Flax Typhoon si schiera frequentemente Mimikatz per scaricare automaticamente le password con hash per gli utenti che hanno effettuato l'accesso al sistema locale. Gli hash delle password risultanti possono essere violati offline o utilizzati negli attacchi pass-the-hash (PtH) per accedere ad altre risorse sulla rete compromessa.
È interessante notare che l'APT sembra prendere il suo tempo quando si tratta di eseguire un gioco finale, anche se l'esfiltrazione dei dati è l'obiettivo probabile (piuttosto che i potenziali risultati cinetici che Microsoft ha recentemente segnalato). Attività Volt Typhoon sponsorizzata dalla Cina).
"Questo modello di attività è insolito in quanto l'attività minima si verifica dopo che l'attore ha stabilito la persistenza", secondo l'analisi di Microsoft. “Le attività di scoperta e di accesso alle credenziali di Flax Typhoon non sembrano consentire ulteriori obiettivi di raccolta ed esfiltrazione di dati. Sebbene il comportamento osservato dell'attore suggerisca l'intenzione di Flax Typhoon di svolgere attività di spionaggio e mantenere i propri punti d'appoggio nella rete, Microsoft non ha osservato Flax Typhoon agire sugli obiettivi finali in questa campagna.
Protezione dal compromesso
Nel suo post, Microsoft ha offerto una serie di misure da adottare nel caso in cui le organizzazioni siano compromesse e debbano valutare la portata dell’attività di Flax Typhoon all’interno delle loro reti e porre rimedio a un’infezione. Per evitare completamente questa situazione, le organizzazioni dovrebbero assicurarsi che tutti i server rivolti al pubblico siano dotati di patch e aggiornati e dispongano di monitoraggio e sicurezza aggiuntivi come la convalida dell'input dell'utente, il monitoraggio dell'integrità dei file, il monitoraggio comportamentale e i firewall delle applicazioni Web.
Gli amministratori possono anche monitorare il registro di Windows per individuare eventuali modifiche non autorizzate; monitorare qualsiasi traffico RDP che potrebbe essere considerato non autorizzato; E rafforzare la sicurezza dell'account con l'autenticazione a più fattori e altre precauzioni.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Grafico Prime. Migliora il tuo gioco di trading con ChartPrime. Accedi qui.
- BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
- Fonte: https://www.darkreading.com/threat-intelligence/china-unleashes-flax-typhoon-apt-live-off-land-microsoft-warns
- :ha
- :È
- :non
- 7
- a
- accesso
- accessibilità
- Secondo
- Il mio account
- conti
- Legge
- attività
- attività
- aggiuntivo
- Avanzate
- Africa
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- agenzie
- Tutti
- Consentire
- consente
- anche
- America
- importi
- an
- .
- ed
- in qualsiasi
- apparire
- appare
- Applicazioni
- applicazioni
- APT
- SONO
- AS
- Asia
- valutare
- At
- attacco
- attacchi
- Autenticazione
- automaticamente
- disponibilità
- evitare
- BE
- comportamento
- Al di là di
- BRIDGE
- ampio
- costruito
- ma
- by
- Campagna
- Materiale
- trasportare
- impegnativo
- cambiato
- Modifiche
- Cina
- chiuso
- codice
- viene
- merce
- Compromissione
- informatica
- Connettiti
- veloce
- considerato
- contrasto
- di controllo
- potuto
- screpolato
- creare
- Creazione
- critico
- Cyber
- Attacco informatico
- dati
- schierare
- Distribuisce
- tavolo
- DID
- difficile
- scoperta
- do
- fatto
- decine
- soprannominato
- cumulo di rifiuti
- facilmente
- Istruzione
- enable
- aziende
- interamente
- intensificazione
- spionaggio
- stabilire
- stabilisce
- evoluzione
- Excel
- esecuzione
- esecuzione
- esfiltrazione
- Sfruttare
- sfruttando
- estensivo
- estremamente
- caratteristica
- Compila il
- finale
- firewall
- contrassegnato
- segue
- Nel
- frequentemente
- da
- pieno
- ulteriormente
- gigante
- dato
- Enti Pubblici
- agenzie governative
- Gruppo
- Più forte
- hash
- Avere
- HTTPS
- identificazione
- if
- in
- In altre
- Compreso
- infatti
- industrie
- infezioni
- informazioni
- tecnologie dell'informazione
- Infrastruttura
- ingresso
- interno
- install
- interezza
- ai miglioramenti
- ISN
- isolato
- IT
- SUO
- Java
- jpg
- Tasti
- conosciuto
- Paese
- con i più recenti
- lanciare
- lancia
- legittimo
- meno
- probabile
- vivere
- vita
- locale
- a lungo termine
- mantenere
- make
- il malware
- gestione
- direttore
- consigliato per la
- molti
- Microsoft
- minimo
- attenuante
- Monitorare
- monitoraggio
- maggior parte
- movimento
- devono obbligatoriamente:
- nativo
- necessaria
- Bisogno
- Rete
- reti
- Nord
- America del Nord
- noto
- Avviso..
- adesso
- Obiettivi d'Esame
- of
- MENO
- offerto
- offline
- on
- esclusivamente
- aprire
- open source
- operativo
- sistema operativo
- operazione
- Operazioni
- or
- organizzazioni
- Altro
- su
- risultati
- al di fuori
- parte
- Password
- Le password
- passato
- Cartamodello
- Eseguire
- persistenza
- Platone
- Platone Data Intelligence
- PlatoneDati
- Post
- potenziale
- PowerShell
- privilegio
- privilegi
- protocollo
- gamma
- piuttosto
- recentemente
- regione
- registro
- a distanza
- accesso remoto
- Risorse
- risultante
- strada
- s
- Scala
- scansione
- portata
- allo
- problemi di
- Serie
- Server
- servizio
- dovrebbero
- firmato
- situazione
- Fonte
- Sud-Est asiatico
- specifico
- inizio
- furtivo
- Passi
- appiccicoso
- tale
- suggerisce
- sicuro
- sistema
- SISTEMI DI TRATTAMENTO
- Taiwan
- Fai
- mirata
- Task
- tecniche
- Tecnologia
- terminal
- di
- che
- Il
- loro
- poi
- Là.
- questo
- anche se?
- minaccia
- per tutto
- tempo
- a
- strumenti
- traffico
- scatena
- up-to-date
- uso
- utilizzato
- Utente
- utenti
- usa
- utilizzando
- utilità
- convalida
- vittime
- Volt
- VPN
- vulnerabilità
- vulnerabilità
- scansione delle vulnerabilità
- identificazione dei warning
- avverte
- sito web
- applicazione web
- WELL
- quando
- quale
- while
- OMS
- volere
- finestre
- con
- entro
- senza
- zefiro