中国が支援する「亜麻台風」と呼ばれる高度持続的脅威(APT)グループは、台湾の数十の組織内に持続的かつ長期的な感染網を張り巡らせ、大規模なサイバースパイ活動を実行する可能性が高い。マルウェア。
Microsoft によると、この国家支援のサイバー攻撃グループは、Windows オペレーティング システムに組み込まれた正規のツールとユーティリティを使用して、ほとんどの場合、陸上で活動しており、非常にステルスかつ永続的な活動を実行しています。
現時点では、亜麻台風の犠牲者のほとんどは台湾に集中しているとのことです。 今週のマイクロソフトからの亜麻台風に関する警告。 コンピューティング大手は攻撃の範囲を明らかにしていないが、台湾以外の企業は注意を払うべきだと指摘した。
この作戦は「地域外の他の作戦でも簡単に再利用できる手法を使用している」と警告した。 そして実際、過去には、国民国家の脅威は、北米やアフリカだけでなく、東南アジア全域の幅広い産業(政府機関や教育、重要な製造業、情報技術など)を標的にしてきました。
「この攻撃を検出して軽減することは困難な可能性がある」ことを考えると、感染による被害の全範囲を評価するのは難しいとMicrosoftは警告した。 「侵害されたアカウントは閉鎖するか、変更する必要があります。 侵害されたシステムは隔離して調査する必要があります。」
陸地を離れた生活と一般的なマルウェア
特定の兵器の作成と進化に優れた他の多くの APT とは対照的に、 カスタムサイバー攻撃ツール, Flax タイフーンは、既製のマルウェアとネイティブ Windows ユーティリティ (別名) を使用して、識別性の低いルートを選択します。 土地のバイナリ、または LOLbin で生活する) 帰属表示に使用するのは困難です。
Microsoft が観察した最近の一連の攻撃におけるその感染ルーチンは次のとおりです。
- 初期アクセス: これは、一般向けの VPN、Web、Java、SQL アプリケーションの既知の脆弱性を悪用して、コモディティを展開することによって行われます。 中国チョッパーウェブシェル、侵害されたサーバー上でリモートでコードが実行される可能性があります。
- 権限昇格: 必要に応じて、Flax タイフーンは使用します ジューシーポテト、BadPotato、およびローカル権限昇格の脆弱性を悪用するその他のオープン ソース ツール。
- リモートアクセスの確立: Flax タイフーンは、Windows Management Instrumentation コマンド ライン (WMIC) (または PowerShell、またはローカル管理者権限を持つ Windows ターミナル) を使用して、リモート デスクトップ プロトコル (RDP) のネットワーク レベル認証 (NLA) を無効にします。 これにより、Flax タイフーンは認証なしで Windows サインイン画面にアクセスし、そこから Windows のスティッキー キー アクセシビリティ機能を使用して、ローカル システム権限でタスク マネージャーを起動できるようになります。 次に、攻撃者は正規の VPN ブリッジをインストールし、攻撃者が制御するネットワーク インフラストラクチャに自動的に接続します。
- 持続性: Flax タイフーンは、サービス コントロール マネージャー (SCM) を使用して、システムの起動時に VPN 接続を自動的に起動する Windows サービスを作成します。これにより、攻撃者は侵害されたシステムの可用性を監視し、RDP 接続を確立できます。
- 横方向の動き: 侵害されたネットワーク上の他のシステムにアクセスするために、攻撃者は Windows リモート管理 (WinRM) や WMIC などの他の LOLBin を使用して、ネットワークと脆弱性のスキャンを実行します。
- 資格情報へのアクセス: 亜麻タイフーンが頻繁に発生 ミミカッツ ローカル システムにサインインしているユーザーのハッシュ化されたパスワードを自動的にダンプします。 結果として得られるパスワード ハッシュは、オフラインで解読されたり、パス ザ ハッシュ (PtH) 攻撃に使用され、侵害されたネットワーク上の他のリソースにアクセスしたりする可能性があります。
興味深いことに、APT は、(Microsoft が最近警告した潜在的な動的な結果ではなく)データの漏洩が目的である可能性が高いにもかかわらず、最終局面を実行する時期を待っているようです。 中国主催のボルト・タイフーン活動).
Microsoft の分析によれば、「攻撃者が永続性を確立した後に最小限のアクティビティが発生するという点で、このアクティビティのパターンは珍しい」とのことです。 「Flax タイフーンの発見と認証情報へのアクセス活動は、さらなるデータ収集と漏洩の目的を可能にするものではないようです。 この攻撃者の観察された行動は、Flax タイフーンがスパイ活動を行い、ネットワークの足場を維持する意図を示唆していることを示唆していますが、マイクロソフトは、このキャンペーンの最終目的に基づいてフラックス タイフーンが行動していることを観察していません。」
侵害からの保護
Microsoftはその投稿の中で、組織が侵害され、ネットワーク内のFlax タイフーン活動の規模を評価し、感染を修復する必要がある場合にとるべき一連の手順を提案した。 この状況を完全に回避するには、組織はすべての公開サーバーにパッチが適用されて最新であることを確認し、ユーザー入力検証、ファイル整合性監視、動作監視、Web アプリケーション ファイアウォールなどの追加の監視とセキュリティを導入する必要があります。
管理者は、Windows レジストリに不正な変更がないか監視することもできます。 不正とみなされる可能性のある RDP トラフィックを監視します。 そして 多要素認証でアカウントのセキュリティを強化する およびその他の注意事項。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- チャートプライム。 ChartPrime でトレーディング ゲームをレベルアップしましょう。 こちらからアクセスしてください。
- ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/threat-intelligence/china-unleashes-flax-typhoon-apt-live-off-land-microsoft-warns
- :持っている
- :は
- :not
- 7
- a
- アクセス
- 接近性
- 従った
- アカウント
- 行為
- 活動
- アクティビティ
- NEW
- 高度な
- アフリカ
- 後
- に対して
- 機関
- すべて
- 許可
- ことができます
- また
- アメリカ
- 金額
- an
- 分析
- および
- どれか
- 現れる
- 登場する
- 申し込み
- APT
- です
- AS
- アジア
- 評価する
- At
- 攻撃
- 攻撃
- 認証
- 自動的に
- 賃貸条件の詳細・契約費用のお見積り等について
- 避ける
- BE
- 行動
- 越えて
- BRIDGE
- 広い
- 内蔵
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- キャンペーン
- 缶
- キャリー
- 挑戦
- 変更
- 変更
- 中国
- 閉まっている
- コード
- comes
- 商品
- 損害を受けた
- コンピューティング
- お問合せ
- 接続
- 見なさ
- コントラスト
- コントロール
- 可能性
- ひびの入った
- 作ります
- 作成
- 重大な
- サイバー
- サイバー攻撃
- データ
- 展開します
- 配備する
- デスクトップ
- DID
- 難しい
- 発見
- do
- 行われ
- 数十
- ダビングされた
- ダンプ
- 簡単に
- 教育
- enable
- 企業
- 完全に
- エスカレーション
- スパイ
- 確立する
- 確立する
- 進化
- Excel
- 実行
- 実行
- 流出
- 悪用する
- 悪用
- 広範囲
- 非常に
- 特徴
- File
- ファイナル
- ファイアウォール
- フラグが立てられた
- 次
- 頻繁に
- から
- フル
- さらに
- 巨大な
- 与えられた
- 政府・公共機関
- 政府機関
- グループ
- もっと強く
- ハッシュ化
- 持ってる
- HTTPS
- 識別
- if
- in
- その他の
- 含めて
- 確かに
- 産業
- 感染症
- 情報
- 情報技術
- インフラ関連事業
- 内部
- install
- 整合性
- に
- ISN
- 分離された
- IT
- ITS
- Java
- JPG
- キー
- 既知の
- 土地
- 最新の
- 起動する
- 起動
- 正当な
- less
- 可能性が高い
- ライブ
- 生活
- ローカル
- 長期的
- 維持する
- make
- マルウェア
- 管理
- マネージャー
- 製造業
- 多くの
- Microsoft
- 最小限の
- 緩和する
- モニター
- モニタリング
- 最も
- 運動
- しなければなりません
- ネイティブ
- 必要
- 必要
- ネットワーク
- ネットワーク
- ノース
- 北米
- 注意
- 知らせ..
- 今
- 目的
- of
- オフ
- 提供
- オンライン
- on
- の
- 開いた
- オープンソース
- オペレーティング
- オペレーティングシステム
- 操作
- 業務執行統括
- or
- 組織
- その他
- でる
- 成果
- 外側
- 部
- パスワード
- パスワード
- 過去
- パターン
- 実行する
- 持続性
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポスト
- 潜在的な
- PowerShellの
- 特権
- 特権
- 範囲
- むしろ
- 最近
- 地域
- レジストリ
- リモート
- リモートアクセス
- リソース
- 結果として
- ルート
- s
- 規模
- スキャニング
- スコープ
- 画面
- セキュリティ
- シリーズ
- サーバー
- サービス
- すべき
- 署名されました
- 状況
- ソース
- 東南アジア
- 特定の
- 開始
- 内密の
- ステップ
- スティッキー
- そのような
- 提案する
- 確か
- システム
- 台湾
- 取る
- 対象となります
- 仕事
- テクニック
- テクノロジー
- ターミナル
- より
- それ
- アプリ環境に合わせて
- その後
- そこ。
- この
- しかし?
- 脅威
- 全体
- 時間
- 〜へ
- 豊富なツール群
- トラフィック
- 解き放つ
- 最新
- つかいます
- 中古
- ユーザー
- users
- 使用されます
- 公益事業
- 犠牲者
- ボルト
- VPN
- 脆弱性
- 脆弱性
- 脆弱性スキャン
- 警告
- 警告する
- ウェブ
- ウェブアプリケーション
- WELL
- いつ
- which
- while
- 誰
- 意志
- ウィンドウズ
- 以内
- 無し
- ゼファーネット