Um grupo de ameaças persistentes avançadas (APT) apoiado pela China, apelidado de Flax Typhoon, instalou uma rede de infecções persistentes e de longo prazo dentro de dezenas de organizações taiwanesas, provavelmente para realizar uma extensa campanha de espionagem cibernética - e fez isso usando apenas quantidades mínimas de malware.
De acordo com a Microsoft, o grupo de ataque cibernético patrocinado pelo Estado vive principalmente da terra, usando ferramentas e utilitários legítimos integrados ao sistema operacional Windows para realizar uma operação extremamente furtiva e persistente.
Por enquanto, a maioria das vítimas do Flax Typhoon está agrupada em Taiwan, de acordo com um aviso sobre Flax Typhoon da Microsoft esta semana. A gigante da computação não divulga o alcance dos ataques, mas observou que as empresas fora de Taiwan deveriam estar alertas.
A campanha “utiliza técnicas que poderiam ser facilmente reutilizadas em outras operações fora da região”, alertou. E, de facto, no passado, a ameaça do Estado-nação teve como alvo uma vasta gama de indústrias (incluindo agências governamentais e educação, produção crítica e tecnologia da informação) em todo o Sudeste Asiático, bem como na América do Norte e em África.
Será difícil avaliar a extensão total dos danos causados pelas infecções, dado que “detectar e mitigar este ataque pode ser um desafio”, alertou a Microsoft. “As contas comprometidas devem ser encerradas ou alteradas. Os sistemas comprometidos devem ser isolados e investigados.”
Vivendo da terra e do malware de commodities
Em contraste com muitos outros APTs que se destacam na criação e desenvolvimento de arsenais específicos de ferramentas personalizadas de ataque cibernético, o Flax Typhoon prefere seguir um caminho menos identificador usando malware pronto para uso e utilitários nativos do Windows (também conhecidos como vivendo de binários terrestres, ou LOLbins) que são mais difíceis de usar para atribuição.
Sua rotina de infecção na última onda de ataques observada pela Microsoft é a seguinte:
- Acesso inicial: Isso é feito explorando vulnerabilidades conhecidas em aplicativos VPN, Web, Java e SQL voltados ao público para implantar a commodity Webshell do China Chopper, que permite a execução remota de código no servidor comprometido.
- Escalação de privilégios: Se necessário, Flax Typhoon usa Batata Suculenta, BadPotato e outras ferramentas de código aberto para explorar vulnerabilidades de escalonamento de privilégios locais.
- Estabelecendo acesso remoto: Flax Typhoon usa a linha de comando do Windows Management Instrumentation (WMIC) (ou PowerShell, ou o Terminal do Windows com privilégios de administrador local) para desabilitar a autenticação em nível de rede (NLA) para Remote Desktop Protocol (RDP). Isso permite que o Flax Typhoon acesse a tela de login do Windows sem autenticação e, a partir daí, use o recurso de acessibilidade Sticky Keys no Windows para iniciar o Gerenciador de Tarefas com privilégios de sistema local. Os invasores então instalam uma ponte VPN legítima para se conectarem automaticamente à infraestrutura de rede controlada pelo ator.
- Persistência: Flax Typhoon usa o Service Control Manager (SCM) para criar um serviço do Windows que inicia a conexão VPN automaticamente quando o sistema é iniciado, permitindo ao ator monitorar a disponibilidade do sistema comprometido e estabelecer uma conexão RDP.
- Movimento lateral: Para acessar outros sistemas na rede comprometida, o ator usa outros LOLBins, incluindo Windows Remote Management (WinRM) e WMIC, para realizar varredura de rede e vulnerabilidades.
- Acesso à credencial: Flax Typhoon é implantado com frequência Mimikatz para despejar automaticamente senhas com hash para usuários conectados ao sistema local. Os hashes de senha resultantes podem ser quebrados offline ou usados em ataques pass-the-hash (PtH) para acessar outros recursos na rede comprometida.
Curiosamente, o APT parece estar ganhando tempo quando se trata de executar um final de jogo, embora a exfiltração de dados seja o objetivo provável (em vez dos resultados cinéticos potenciais que a Microsoft sinalizou recentemente para Atividade Volt Typhoon patrocinada pela China).
“Esse padrão de atividade é incomum, pois ocorre atividade mínima depois que o ator estabelece persistência”, de acordo com a análise da Microsoft. “As atividades de descoberta e acesso a credenciais do Flax Typhoon não parecem permitir objetivos adicionais de coleta e exfiltração de dados. Embora o comportamento observado do ator sugira a intenção do Flax Typhoon de realizar espionagem e manter sua posição na rede, a Microsoft não observou o Flax Typhoon agir nos objetivos finais desta campanha.”
Protegendo contra compromissos
Em sua postagem, a Microsoft ofereceu uma série de etapas a serem seguidas caso as organizações estejam comprometidas e precisem avaliar a escala da atividade do Flax Typhoon em suas redes e remediar uma infecção. Para evitar totalmente a situação, as organizações devem certificar-se de que todos os servidores públicos estejam corrigidos e atualizados e tenham monitoramento e segurança adicionais, como validação de entrada do usuário, monitoramento de integridade de arquivos, monitoramento comportamental e firewalls de aplicativos Web.
Os administradores também podem monitorar o registro do Windows em busca de alterações não autorizadas; monitorar qualquer tráfego RDP que possa ser considerado não autorizado; e reforce a segurança da conta com autenticação multifator e outras precauções.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- ChartPrime. Eleve seu jogo de negociação com ChartPrime. Acesse aqui.
- BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
- Fonte: https://www.darkreading.com/threat-intelligence/china-unleashes-flax-typhoon-apt-live-off-land-microsoft-warns
- :tem
- :é
- :não
- 7
- a
- Acesso
- acessibilidade
- Segundo
- Conta
- Contas
- Aja
- atividades
- atividade
- Adicional
- avançado
- África
- Depois de
- contra
- agências
- Todos os Produtos
- Permitindo
- permite
- tb
- América
- quantidades
- an
- análise
- e
- qualquer
- aparecer
- aparece
- Aplicação
- aplicações
- APT
- SOMOS
- AS
- Ásia
- avaliar
- At
- ataque
- Ataques
- Autenticação
- automaticamente
- disponibilidade
- evitar
- BE
- comportamento
- Pós
- PONTE
- amplo
- construído
- mas a
- by
- Campanha
- CAN
- transportar
- desafiante
- mudado
- Alterações
- China
- fechado
- código
- vem
- mercadoria
- Comprometido
- computação
- Contato
- da conexão
- considerado
- contraste
- ao controle
- poderia
- rachado
- crio
- Criar
- crítico
- cibernético
- Ataque cibernético
- dados,
- implantar
- implanta
- área de trabalho
- DID
- difícil
- descoberta
- do
- feito
- dezenas
- apelidado
- despejar
- facilmente
- Educação
- permitir
- empresas
- inteiramente
- escalada
- espionagem
- estabelecer
- estabelece
- evolução
- Excel
- executando
- execução
- exfiltração
- Explorar
- explorando
- extenso
- extremamente
- Característica
- Envie o
- final
- firewalls
- marcado
- segue
- Escolha
- freqüentemente
- da
- cheio
- mais distante
- gigante
- dado
- Governo
- agências governamentais
- Grupo
- mais duro
- hash
- Ter
- HTTPS
- identificar
- if
- in
- Em outra
- Incluindo
- de fato
- indústrias
- infecções
- INFORMAÇÕES
- tecnologia da informação
- Infraestrutura
- entrada
- dentro
- instalar
- integridade
- para dentro
- isn
- isolado
- IT
- ESTÁ
- Java
- jpg
- chaves
- conhecido
- Terreno
- mais recente
- lançamento
- lança
- legítimo
- menos
- Provável
- viver
- vida
- local
- longo prazo
- a manter
- fazer
- malwares
- de grupos
- Gerente
- fabrica
- muitos
- Microsoft
- mínimo
- mitigando
- Monitore
- monitoração
- a maioria
- movimento
- devo
- nativo
- necessário
- você merece...
- rede
- redes
- Norte
- América do Norte
- notado
- Perceber..
- agora
- objetivos
- of
- WOW!
- oferecido
- modo offline
- on
- só
- aberto
- open source
- operando
- sistema operativo
- operação
- Operações
- or
- organizações
- Outros
- Fora
- resultados
- lado de fora
- parte
- Senha
- senhas
- passado
- padrão
- Realizar
- persistência
- platão
- Inteligência de Dados Platão
- PlatãoData
- Publique
- potencial
- PowerShell
- privilégio
- privilégios
- protocolo
- alcance
- em vez
- recentemente
- região
- registro
- remoto
- acesso remoto
- Recursos
- resultando
- Rota
- s
- Escala
- exploração
- escopo
- Peneira
- segurança
- Série
- Servidores
- serviço
- rede de apoio social
- assinado
- situação
- fonte
- Sudeste da Ásia
- específico
- começa
- furtivo
- Passos
- pegajoso
- tal
- Sugere
- certo
- .
- sistemas
- Taiwan
- Tire
- visadas
- Tarefa
- técnicas
- Tecnologia
- terminal
- do que
- que
- A
- deles
- então
- Lá.
- isto
- Apesar?
- ameaça
- todo
- tempo
- para
- ferramentas
- tráfego
- desencadeia
- que vai mais à frente
- usar
- usava
- Utilizador
- usuários
- usos
- utilização
- utilitários
- validação
- vítimas
- Volt
- VPN
- vulnerabilidades
- vulnerabilidade
- verificação de vulnerabilidades
- aviso
- Avisa
- web
- Aplicativo da Web
- BEM
- quando
- qual
- enquanto
- QUEM
- precisarão
- Windows
- de
- dentro
- sem
- zefirnet