Een door China gesteunde groep voor geavanceerde persistente dreigingen (APT), genaamd Flax Typhoon, heeft een web van aanhoudende, langdurige infecties geïnstalleerd binnen tientallen Taiwanese organisaties, die waarschijnlijk een uitgebreide cyberspionagecampagne zullen uitvoeren – en zij deden dit met behulp van slechts minimale hoeveelheden malware.
Volgens Microsoft leeft de door de staat gesponsorde cyberaanvalgroep voor het grootste deel van het land en maakt gebruik van legitieme tools en hulpprogramma's die in het Windows-besturingssysteem zijn ingebouwd om een uiterst heimelijke en hardnekkige operatie uit te voeren.
Voorlopig zijn de meeste slachtoffers van de vlastyfoon geclusterd in Taiwan deze week een waarschuwing over Flax Typhoon van Microsoft. De computergigant maakt de omvang van de aanvallen niet bekend, maar merkte op dat bedrijven buiten Taiwan op de hoogte moeten zijn.
De campagne “maakt gebruik van technieken die gemakkelijk kunnen worden hergebruikt bij andere operaties buiten de regio”, waarschuwde het. En inderdaad, in het verleden heeft de natiestaatdreiging zich gericht op een breed scala aan industrieën (waaronder overheidsinstanties en onderwijs, kritische productie en informatietechnologie) in heel Zuidoost-Azië, maar ook in Noord-Amerika en Afrika.
De volledige omvang van de schade van de infecties zal moeilijk in te schatten zijn, aangezien “het detecteren en beperken van deze aanval een uitdaging zou kunnen zijn”, waarschuwde Microsoft. “Gecompromitteerde accounts moeten worden gesloten of gewijzigd. Gecompromitteerde systemen moeten worden geïsoleerd en onderzocht.”
Leven van het land en grondstoffen-malware
In tegenstelling tot veel andere APT's die uitblinken in het creëren en ontwikkelen van specifieke arsenalen van aangepaste cyberaanvaltools, geeft Flax Typhoon er de voorkeur aan een minder identificerende route te volgen door kant-en-klare malware en native Windows-hulpprogramma's (ook bekend als levend van de landbinaire bestanden, of LOLbins) die moeilijker te gebruiken zijn voor attributie.
De infectieroutine tijdens de laatste reeks aanvallen die Microsoft heeft waargenomen, is als volgt:
- Eerste toegang: Dit wordt gedaan door bekende kwetsbaarheden in openbare VPN-, web-, Java- en SQL-applicaties te exploiteren om het product te implementeren China Chopper-webshell, waarmee code op afstand kan worden uitgevoerd op de gecompromitteerde server.
- Privilege escalatie: Indien nodig gebruikt Vlas Typhoon Sappige Aardappel, BadPotato en andere open source-tools om kwetsbaarheden bij lokale escalatie van bevoegdheden te misbruiken.
- Toegang op afstand tot stand brengen: Flax Typhoon gebruikt de Windows Management Instrumentation-opdrachtregel (WMIC) (of PowerShell, of de Windows Terminal met lokale beheerdersrechten) om authenticatie op netwerkniveau (NLA) voor Remote Desktop Protocol (RDP) uit te schakelen. Hierdoor kan Flax Typhoon toegang krijgen tot het Windows-inlogscherm zonder authenticatie en van daaruit de Sticky Keys-toegankelijkheidsfunctie in Windows gebruiken om Taakbeheer te starten met lokale systeemrechten. De aanvallers installeren vervolgens een legitieme VPN-brug om automatisch verbinding te maken met door actoren bestuurde netwerkinfrastructuur.
- Persistentie: Flax Typhoon gebruikt de Service Control Manager (SCM) om een Windows-service te creëren die de VPN-verbinding automatisch start wanneer het systeem opstart, waardoor de actor de beschikbaarheid van het aangetaste systeem kan controleren en een RDP-verbinding tot stand kan brengen.
- Zijwaartse beweging: Om toegang te krijgen tot andere systemen op het getroffen netwerk, gebruikt de actor andere LOLBins, waaronder Windows Remote Management (WinRM) en WMIC, om netwerk- en kwetsbaarheidsscans uit te voeren.
- Toegang tot inloggegevens: Vlas Typhoon wordt regelmatig ingezet Mimikatz om automatisch gehashte wachtwoorden te dumpen voor gebruikers die zijn aangemeld bij het lokale systeem. De resulterende wachtwoord-hashes kunnen offline worden gekraakt of worden gebruikt in pass-the-hash-aanvallen (PtH) om toegang te krijgen tot andere bronnen op het aangetaste netwerk.
Interessant genoeg lijkt de APT zijn tijd af te wachten als het gaat om het uitvoeren van een eindspel, hoewel data-exfiltratie het waarschijnlijke doel is (in plaats van de potentiële kinetische uitkomsten waar Microsoft onlangs voor heeft gewaarschuwd Door China gesponsorde Volt Typhoon-activiteit).
"Dit activiteitspatroon is ongebruikelijk omdat er minimale activiteit plaatsvindt nadat de actor volharding heeft vastgesteld", aldus de analyse van Microsoft. “De ontdekkings- en toegangsactiviteiten van Flax Typhoon lijken geen verdere doelstellingen voor gegevensverzameling en exfiltratie mogelijk te maken. Hoewel het waargenomen gedrag van de acteur suggereert dat Flax Typhoon van plan is spionage uit te voeren en hun netwerkposities te behouden, heeft Microsoft niet waargenomen dat Flax Typhoon in deze campagne handelt in het nastreven van de einddoelstellingen.”
Bescherming tegen compromissen
In zijn post bood Microsoft een reeks stappen aan die genomen kunnen worden als organisaties gecompromitteerd zijn en de omvang van de Flax Typhoon-activiteit binnen hun netwerken moeten beoordelen en een infectie moeten verhelpen. Om deze situatie volledig te voorkomen, moeten organisaties ervoor zorgen dat alle openbare servers gepatcht en up-to-date zijn, en extra monitoring en beveiliging hebben, zoals validatie van gebruikersinvoer, monitoring van bestandsintegriteit, gedragsmonitoring en firewalls voor webapplicaties.
Beheerders kunnen het Windows-register ook controleren op ongeoorloofde wijzigingen; monitoren of er sprake is van RDP-verkeer dat als ongeautoriseerd kan worden beschouwd; En versterk de accountbeveiliging met meervoudige authenticatie en andere voorzorgsmaatregelen.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- ChartPrime. Verhoog uw handelsspel met ChartPrime. Toegang hier.
- BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
- Bron: https://www.darkreading.com/threat-intelligence/china-unleashes-flax-typhoon-apt-live-off-land-microsoft-warns
- : heeft
- :is
- :niet
- 7
- a
- toegang
- de toegankelijkheid
- Volgens
- Account
- accounts
- Handelen
- activiteiten
- activiteit
- Extra
- vergevorderd
- Afrika
- Na
- tegen
- agentschappen
- Alles
- Het toestaan
- toestaat
- ook
- Amerika
- hoeveelheden
- an
- analyse
- en
- elke
- verschijnen
- komt naar voren
- Aanvraag
- toepassingen
- APT
- ZIJN
- AS
- Azië
- schatten
- At
- aanvallen
- Aanvallen
- authenticatie
- webmaster.
- beschikbaarheid
- vermijd
- BE
- gedrag
- Verder
- BRUG
- breed
- bebouwd
- maar
- by
- Campagne
- CAN
- dragen
- uitdagend
- veranderd
- Wijzigingen
- China
- CLOSED
- code
- komt
- koopwaar
- Aangetast
- computergebruik
- Verbinden
- versterken
- beschouwd
- contrast
- onder controle te houden
- kon
- gebarsten
- en je merk te creëren
- Wij creëren
- kritisch
- cyber
- Cyber aanval
- gegevens
- implementeren
- ontplooit
- desktop
- DEED
- moeilijk
- ontdekking
- do
- gedaan
- tientallen
- nagesynchroniseerde
- storten
- gemakkelijk
- Onderwijs
- in staat stellen
- bedrijven
- geheel
- escalatie
- spionage
- oprichten
- vestigt
- evoluerende
- Excel
- uitvoeren
- uitvoering
- exfiltratie
- Exploiteren
- uitbuiten
- uitgebreid
- uiterst
- Kenmerk
- Dien in
- finale
- firewalls
- markeerde
- volgt
- Voor
- vaak
- oppompen van
- vol
- verder
- reus
- gegeven
- Overheid
- overheidsinstellingen
- Groep
- harder
- gehashte
- Hebben
- HTTPS
- het identificeren van
- if
- in
- Anders
- Inclusief
- inderdaad
- industrieën
- infecties
- informatie
- informatietechnologie
- Infrastructuur
- invoer
- binnen
- installeren
- integriteit
- in
- isn
- geïsoleerd
- IT
- HAAR
- Java
- jpg
- toetsen
- bekend
- Land
- laatste
- lancering
- lanceert
- rechtmatig
- minder
- Waarschijnlijk
- leven
- leven
- lokaal
- langdurig
- onderhouden
- maken
- malware
- management
- manager
- productie
- veel
- Microsoft
- minimaal
- verzachtende
- monitor
- Grensverkeer
- meest
- beweging
- Dan moet je
- inheemse
- noodzakelijk
- Noodzaak
- netwerk
- netwerken
- noorden
- Noord-Amerika
- bekend
- Merk op..
- nu
- doelstellingen
- of
- korting
- aangeboden
- offline
- on
- Slechts
- open
- open source
- werkzaam
- besturingssysteem
- operatie
- Operations
- or
- organisaties
- Overige
- uit
- resultaten
- buiten
- deel
- Wachtwoord
- wachtwoorden
- verleden
- Patronen
- Uitvoeren
- volharding
- Plato
- Plato gegevensintelligentie
- PlatoData
- Post
- potentieel
- PowerShell
- privilege
- voorrechten
- protocol
- reeks
- liever
- onlangs
- regio
- register
- vanop
- remote access
- Resources
- verkregen
- weg
- s
- Scale
- het scannen
- omvang
- scherm
- veiligheid
- -Series
- Servers
- service
- moet
- Gesigneerd
- situatie
- bron
- Zuidoost-Azië
- specifiek
- starts
- heimelijk
- Stappen
- kleverig
- dergelijk
- Stelt voor
- zeker
- system
- Systems
- Taiwan
- Nemen
- doelgerichte
- Taak
- technieken
- Technologie
- terminal
- neem contact
- dat
- De
- hun
- harte
- Er.
- dit
- toch?
- bedreiging
- overal
- niet de tijd of
- naar
- tools
- verkeer
- ontketent
- up-to-date
- .
- gebruikt
- Gebruiker
- gebruikers
- toepassingen
- gebruik
- utilities
- bevestiging
- slachtoffers
- Voltage machine
- VPN
- kwetsbaarheden
- kwetsbaarheid
- scannen op kwetsbaarheden
- waarschuwing
- Warns
- web
- web applicatie
- GOED
- wanneer
- welke
- en
- WIE
- wil
- ruiten
- Met
- binnen
- zonder
- zephyrnet