Wspierana przez Chiny grupa zaawansowanych trwałych zagrożeń (APT) o nazwie Flax Typhoon zainstalowała sieć trwałych, długotrwałych infekcji w dziesiątkach tajwańskich organizacji, prawdopodobnie w celu przeprowadzenia szeroko zakrojonej kampanii cyberszpiegowskiej – i zrobiła to przy użyciu jedynie minimalnych ilości złośliwe oprogramowanie.
Według Microsoftu sponsorowana przez państwo grupa cyberataków utrzymuje się w większości z lądu, korzystając z legalnych narzędzi i narzędzi wbudowanych w system operacyjny Windows w celu przeprowadzania niezwykle ukrytych i trwałych operacji.
Jak podaje agencja Associated Press, na razie większość ofiar tajfunu lnianego skupiona jest na Tajwanie ostrzeżenie dotyczące Flax Typhoon od firmy Microsoft w tym tygodniu. Gigant komputerowy nie zdradza zakresu ataków, ale zaznacza, że przedsiębiorstwa spoza Tajwanu powinny zachować czujność.
W kampanii „wykorzystuje się techniki, które można łatwo ponownie wykorzystać w innych operacjach poza regionem” – ostrzegło. I rzeczywiście, w przeszłości zagrożenie ze strony państwa narodowego atakowało szeroki zakres branż (w tym agencje rządowe i edukację, krytyczną produkcję i technologie informacyjne) w całej Azji Południowo-Wschodniej, a także w Ameryce Północnej i Afryce.
Pełen zakres szkód wyrządzonych przez infekcje będzie trudny do oszacowania, biorąc pod uwagę, że „wykrycie i złagodzenie tego ataku może stanowić wyzwanie” – ostrzegł Microsoft. „Zaatakowane konta muszą zostać zamknięte lub zmienione. Zaatakowane systemy należy odizolować i zbadać.”
Złośliwe oprogramowanie żyjące poza ziemią i towarami
W przeciwieństwie do wielu innych APT, którzy przodują w tworzeniu i rozwijaniu określonych arsenałów niestandardowe narzędzia do cyberataków, Flax Typhoon woli obrać mniej identyfikowalną drogę, korzystając z gotowego złośliwego oprogramowania i natywnych narzędzi systemu Windows (tzw. żyjąc z plików binarnych ziemi, czyli LOLbins), które są trudniejsze w użyciu do atrybucji.
Procedura infekcji w najnowszej fali ataków zaobserwowanych przez Microsoft jest następująca:
- Dostęp początkowy: Odbywa się to poprzez wykorzystanie znanych luk w publicznych aplikacjach VPN, sieci Web, Javie i SQL w celu wdrożenia produktu Powłoka internetowa chińskiego Choppera, co pozwala na zdalne wykonanie kodu na zaatakowanym serwerze.
- Eskalacja uprawnień: Jeśli to konieczne, używa Flax Typhoon Soczysty Ziemniak, BadPotato i inne narzędzia typu open source umożliwiające wykorzystanie luk w zabezpieczeniach związanych z eskalacją uprawnień lokalnych.
- Ustanawianie zdalnego dostępu: Flax Typhoon korzysta z wiersza poleceń Instrumentacji zarządzania Windows (WMIC) (lub programu PowerShell lub terminalu Windows z uprawnieniami administratora lokalnego), aby wyłączyć uwierzytelnianie na poziomie sieci (NLA) dla protokołu Remote Desktop Protocol (RDP). Dzięki temu Flax Typhoon może uzyskać dostęp do ekranu logowania systemu Windows bez uwierzytelniania, a następnie skorzystać z funkcji ułatwień dostępu Sticky Keys w systemie Windows w celu uruchomienia Menedżera zadań z uprawnieniami systemu lokalnego. Następnie osoby atakujące instalują legalny most VPN, aby automatycznie łączyć się z infrastrukturą sieciową kontrolowaną przez aktorów.
- Trwałość: Flax Typhoon korzysta z Menedżera kontroli usług (SCM) w celu utworzenia usługi systemu Windows, która automatycznie uruchamia połączenie VPN po uruchomieniu systemu, umożliwiając aktorowi monitorowanie dostępności zaatakowanego systemu i ustanawianie połączenia RDP.
- Ruch boczny: Aby uzyskać dostęp do innych systemów w zaatakowanej sieci, aktor używa innych LOLBinów, w tym Windows Remote Management (WinRM) i WMIC, w celu przeprowadzenia skanowania sieci i pod kątem luk w zabezpieczeniach.
- Dostęp do danych uwierzytelniających: Flax Typhoon często się wdraża Mimikatz aby automatycznie zrzucać zaszyfrowane hasła dla użytkowników zalogowanych do systemu lokalnego. Powstałe skróty haseł można złamać w trybie offline lub wykorzystać w atakach typu pass-the-hash (PtH) w celu uzyskania dostępu do innych zasobów w zaatakowanej sieci.
Co ciekawe, wydaje się, że APT czeka na swój czas, jeśli chodzi o wykonanie gry końcowej, chociaż prawdopodobnym celem jest eksfiltracja danych (a nie potencjalne skutki kinetyczne, które Microsoft niedawno opisał jako Sponsorowana przez Chiny działalność Volt Typhoon).
„Ten wzorzec działania jest niezwykły, ponieważ minimalna aktywność występuje po tym, jak aktor ustali trwałość” – wynika z analizy Microsoftu. „Wydaje się, że działania Flax Typhoon w zakresie odkrywania i uzyskiwania dostępu do danych uwierzytelniających nie umożliwiają dalszego gromadzenia danych i eksfiltracji. Choć zaobserwowane zachowanie aktora sugeruje, że Flax Typhoon zamierza prowadzić działalność szpiegowską i utrzymać swoje przyczółki w sieci, Microsoft nie zaobserwował, aby Flax Typhoon realizował ostateczne cele tej kampanii”.
Ochrona przed kompromisem
W swoim poście Microsoft zaproponował szereg kroków, które należy podjąć, jeśli organizacje zostaną naruszone i muszą ocenić skalę aktywności Flax Typhoon w swoich sieciach i zaradzić infekcji. Aby całkowicie uniknąć tej sytuacji, organizacje powinny upewnić się, że wszystkie serwery dostępne publicznie są wyposażone w poprawki i aktualizacje oraz posiadają dodatkowe funkcje monitorowania i zabezpieczeń, takie jak sprawdzanie danych wejściowych użytkownika, monitorowanie integralności plików, monitorowanie zachowań i zapory aplikacji internetowych.
Administratorzy mogą także monitorować rejestr systemu Windows pod kątem nieautoryzowanych zmian; monitorować wszelki ruch RDP, który można uznać za nieautoryzowany; I zwiększyć bezpieczeństwo konta dzięki uwierzytelnianiu wielopoziomowemu i inne środki ostrożności.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- ChartPrime. Podnieś poziom swojej gry handlowej dzięki ChartPrime. Dostęp tutaj.
- Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
- Źródło: https://www.darkreading.com/threat-intelligence/china-unleashes-flax-typhoon-apt-live-off-land-microsoft-warns
- :ma
- :Jest
- :nie
- 7
- a
- dostęp
- dostępność
- Stosownie
- Konto
- Konta
- działać
- zajęcia
- działalność
- Dodatkowy
- zaawansowany
- Afryka
- Po
- przed
- agencje
- Wszystkie kategorie
- Pozwalać
- pozwala
- również
- Ameryka
- kwoty
- an
- analiza
- i
- każdy
- zjawić się
- pojawia się
- Zastosowanie
- aplikacje
- APT
- SĄ
- AS
- Azja
- oszacować
- At
- atakować
- Ataki
- Uwierzytelnianie
- automatycznie
- dostępność
- uniknąć
- BE
- zachowanie
- Poza
- BRIDGE
- szeroki
- wybudowany
- ale
- by
- Kampania
- CAN
- nieść
- wyzwanie
- zmieniony
- Zmiany
- Chiny
- zamknięte
- kod
- byliśmy spójni, od początku
- towar
- Zagrożone
- computing
- Skontaktuj się
- połączenie
- za
- kontrast
- kontrola
- mógłby
- pęknięty
- Stwórz
- Tworzenie
- krytyczny
- cyber
- Cyber atak
- dane
- rozwijać
- wdraża się
- stacjonarny
- ZROBIŁ
- trudny
- odkrycie
- do
- zrobić
- dziesiątki
- dubbingowane
- zrzucać
- z łatwością
- Edukacja
- umożliwiać
- przedsiębiorstwa
- całkowicie
- eskalacja
- szpiegostwo
- zapewniają
- ustanawia
- ewoluuje
- przewyższać
- wykonywania
- egzekucja
- eksfiltracja
- Wykorzystać
- wykorzystywanie
- rozległy
- niezwykle
- Cecha
- filet
- finał
- Zapory
- taflowy
- następujący sposób
- W razie zamówieenia projektu
- często
- od
- pełny
- dalej
- gigant
- dany
- Rząd
- agencje rządowe
- Zarządzanie
- trudniej
- zaszyfrowany
- Have
- HTTPS
- identyfikacja
- if
- in
- W innych
- Włącznie z
- rzeczywiście
- przemysłowa
- Infekcje
- Informacja
- technologia informacyjna
- Infrastruktura
- wkład
- wewnątrz
- zainstalować
- integralność
- najnowszych
- ISN
- odosobniony
- IT
- JEGO
- Java
- jpg
- Klawisze
- znany
- Kraj
- firmy
- uruchomić
- uruchamia
- prawowity
- mniej
- Prawdopodobnie
- relacja na żywo
- życie
- miejscowy
- długoterminowy
- utrzymać
- robić
- malware
- i konserwacjami
- kierownik
- produkcja
- wiele
- Microsoft
- minimalny
- łagodzenie
- monitor
- monitorowanie
- większość
- ruch
- musi
- rodzimy
- niezbędny
- Potrzebować
- sieć
- sieci
- Północ
- Ameryka Północna
- zauważyć
- Zauważyć..
- już dziś
- Cele
- of
- poza
- oferowany
- nieaktywny
- on
- tylko
- koncepcja
- open source
- operacyjny
- system operacyjny
- działanie
- operacje
- or
- organizacji
- Inne
- na zewnątrz
- wyniki
- zewnętrzne
- część
- Hasło
- hasła
- Przeszłość
- Wzór
- wykonać
- uporczywość
- plato
- Analiza danych Platona
- PlatoDane
- Post
- potencjał
- PowerShell
- przywilej
- przywileje
- protokół
- zasięg
- raczej
- niedawno
- region
- rejestr
- zdalny
- zdalny dostęp
- Zasoby
- wynikły
- Trasa
- s
- Skala
- skanowanie
- zakres
- Ekran
- bezpieczeństwo
- Serie
- Serwery
- usługa
- powinien
- podpisana
- sytuacja
- Źródło
- Azja Południowo-Wschodnia
- specyficzny
- rozpocznie
- potajemny
- Cel
- lepki
- taki
- Wskazuje
- pewnie
- system
- systemy
- Tajwan
- Brać
- ukierunkowane
- Zadanie
- Techniki
- Technologia
- terminal
- niż
- że
- Połączenia
- ich
- następnie
- Tam.
- to
- chociaż?
- groźba
- poprzez
- czas
- do
- narzędzia
- ruch drogowy
- uwalnia
- nowomodny
- posługiwać się
- używany
- Użytkownik
- Użytkownicy
- zastosowania
- za pomocą
- Użytkowe
- uprawomocnienie
- Ofiary
- Wolt
- VPN
- Luki w zabezpieczeniach
- wrażliwość
- skanowanie podatności
- ostrzeżenie
- Ostrzega
- sieć
- Aplikacja internetowa
- DOBRZE
- jeśli chodzi o komunikację i motywację
- który
- Podczas
- KIM
- będzie
- okna
- w
- w ciągu
- bez
- zefirnet