Un grup de amenințări persistente avansate (APT) susținut de China, numit Flax Typhoon, a instalat o rețea de infecții persistente, pe termen lung, în interiorul a zeci de organizații taiwaneze, care ar putea desfășura o campanie extinsă de spionaj cibernetic - și a făcut-o folosind doar cantități minime de malware.
Potrivit Microsoft, grupul de atac cibernetic sponsorizat de stat trăiește în cea mai mare parte din pământ, folosind instrumente și utilități legitime încorporate în sistemul de operare Windows pentru a efectua o operațiune extrem de furioasă și persistentă.
Deocamdată, cele mai multe dintre victimele Taifunului de In sunt grupate în Taiwan, potrivit un avertisment despre Flax Typhoon de la Microsoft săptămâna aceasta. Gigantul de calcul nu divulgă amploarea atacurilor, dar a remarcat că întreprinderile din afara Taiwanului ar trebui să fie la curent.
Campania „folosește tehnici care ar putea fi reutilizate cu ușurință în alte operațiuni din afara regiunii”, a avertizat. Și într-adevăr, în trecut, amenințarea statului național a vizat o gamă largă de industrii (inclusiv agenții guvernamentale și educație, producție critică și tehnologia informației) în Asia de Sud-Est, precum și în America de Nord și Africa.
Domeniul complet al daunelor cauzate de infecții va fi dificil de evaluat, având în vedere că „detectarea și atenuarea acestui atac ar putea fi o provocare”, a avertizat Microsoft. „Conturile compromise trebuie să fie închise sau modificate. Sistemele compromise trebuie izolate și investigate.”
Trăind din pământ și malware de mărfuri
Spre deosebire de multe alte APT care excelează la crearea și dezvoltarea unor arsenale specifice de instrumente personalizate de atac cibernetic, Flax Typhoon preferă să urmeze un traseu mai puțin de identificare utilizând programe malware disponibile și utilități Windows native (alias trăind din binarele terestre sau LOLbins) care sunt mai greu de utilizat pentru atribuire.
Rutina sa de infecție în cea mai recentă serie de atacuri observate de Microsoft este următoarea:
- Acces inițial: Acest lucru se realizează prin exploatarea vulnerabilităților cunoscute în aplicațiile VPN, Web, Java și SQL destinate publicului pentru a implementa produsul de bază. China Chopper webshell, care permite executarea codului de la distanță pe serverul compromis.
- Privilegiul escaladării: Dacă este necesar, folosește Flax Typhoon Cartofi suculenți, BadPotato și alte instrumente open source pentru a exploata vulnerabilitățile locale de escaladare a privilegiilor.
- Stabilirea accesului de la distanță: Flax Typhoon folosește linia de comandă Windows Management Instrumentation (WMIC) (sau PowerShell sau terminalul Windows cu privilegii de administrator local) pentru a dezactiva autentificarea la nivel de rețea (NLA) pentru Protocolul Desktop la distanță (RDP). Acest lucru permite Flax Typhoon să acceseze ecranul de conectare Windows fără a se autentifica și, de acolo, să folosească caracteristica de accesibilitate Sticky Keys din Windows pentru a lansa Task Manager cu privilegii de sistem local. Atacatorii instalează apoi o punte VPN legitimă pentru a se conecta automat la infrastructura de rețea controlată de actor.
- Persistenţă: Flax Typhoon folosește Service Control Manager (SCM) pentru a crea un serviciu Windows care lansează automat conexiunea VPN atunci când sistemul pornește, permițând actorului să monitorizeze disponibilitatea sistemului compromis și să stabilească o conexiune RDP.
- Miscare laterala: Pentru a accesa alte sisteme din rețeaua compromisă, actorul folosește alte LOLB-uri, inclusiv Windows Remote Management (WinRM) și WMIC, pentru a efectua scanarea rețelei și a vulnerabilităților.
- Acces la acreditări: Flax Typhoon se instalează frecvent Mimikatz pentru a descărca automat parolele hashing pentru utilizatorii conectați la sistemul local. Hash-urile de parole rezultate pot fi sparte offline sau utilizate în atacuri pass-the-hash (PtH) pentru a accesa alte resurse din rețeaua compromisă.
Interesant este că APT-ul pare să își aștepte timpul când vine vorba de executarea unui joc final, deși exfiltrarea datelor este obiectivul probabil (mai degrabă decât potențialele rezultate cinetice pe care Microsoft le-a semnalat recent. Activitate Volt Typhoon sponsorizată de China).
„Acest model de activitate este neobișnuit, deoarece activitatea minimă are loc după ce actorul stabilește persistența”, conform analizei Microsoft. „Activitățile de descoperire și acces la acreditări ale Flax Typhoon nu par să permită alte obiective de colectare și exfiltrare a datelor. În timp ce comportamentul observat al actorului sugerează că Flax Typhoon intenționează să facă spionaj și să-și mențină pozițiile în rețea, Microsoft nu a observat că Flax Typhoon acționează asupra obiectivelor finale în această campanie.”
Protejarea împotriva compromisului
În postarea sa, Microsoft a oferit o serie de pași de urmat dacă organizațiile sunt compromise și trebuie să evalueze amploarea activității Flax Typhoon în rețelele lor și să remedieze o infecție. Pentru a evita în totalitate situația, organizațiile ar trebui să se asigure că toate serverele destinate publicului sunt corectate și actualizate și au monitorizare și securitate suplimentară, cum ar fi validarea intrărilor utilizatorului, monitorizarea integrității fișierelor, monitorizarea comportamentului și firewall-uri pentru aplicații web.
Administratorii pot monitoriza, de asemenea, registrul Windows pentru modificări neautorizate; monitorizează orice trafic RDP care ar putea fi considerat neautorizat; și consolidați securitatea contului cu autentificarea multifactorială și alte măsuri de precauție.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. Automobile/VE-uri, carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- ChartPrime. Crește-ți jocul de tranzacționare cu ChartPrime. Accesați Aici.
- BlockOffsets. Modernizarea proprietății de compensare a mediului. Accesați Aici.
- Sursa: https://www.darkreading.com/threat-intelligence/china-unleashes-flax-typhoon-apt-live-off-land-microsoft-warns
- :are
- :este
- :nu
- 7
- a
- acces
- accesibilitate
- Conform
- Cont
- Conturi
- act
- activităţi de
- activitate
- Suplimentar
- avansat
- Africa
- După
- împotriva
- Agențiile
- TOATE
- Permiterea
- permite
- de asemenea
- America
- Sume
- an
- analiză
- și
- Orice
- apărea
- apare
- aplicație
- aplicatii
- APT
- SUNT
- AS
- Asia
- evalua
- At
- ataca
- Atacuri
- Autentificare
- în mod automat
- disponibilitate
- evita
- BE
- comportament
- Dincolo de
- POD
- larg
- construit
- dar
- by
- Campanie
- CAN
- transporta
- provocare
- si-a schimbat hainele;
- Modificări
- China
- închis
- cod
- vine
- produs
- compromis
- tehnica de calcul
- Conectați
- conexiune
- luate în considerare
- contrast
- Control
- ar putea
- crăpat
- crea
- Crearea
- critic
- Cyber
- Atac cibernetic
- de date
- implementa
- implementează
- desktop
- FĂCUT
- dificil
- descoperire
- do
- făcut
- zeci
- numit
- descărca
- cu ușurință
- Educaţie
- permite
- Companii
- în întregime
- Escaladarea
- spionaj
- stabili
- stabilește
- evoluție
- Excel
- executând
- execuție
- exfiltrațiile
- Exploata
- exploatând
- extensiv
- extrem
- Caracteristică
- Fișier
- final
- firewall-uri
- fanionat
- urmează
- Pentru
- frecvent
- din
- Complet
- mai mult
- gigant
- dat
- Guvern
- agentii guvernamentale
- grup
- Mai tare
- hash
- Avea
- HTTPS
- identificarea
- if
- in
- În altele
- Inclusiv
- într-adevăr
- industrii
- infecţii
- informații
- tehnologia informației
- Infrastructură
- intrare
- în interiorul
- instala
- integritate
- în
- ISN
- izolat
- IT
- ESTE
- Java
- jpg
- chei
- cunoscut
- Țară
- Ultimele
- lansa
- lansează
- legitim
- mai puțin
- Probabil
- trăi
- viaţă
- local
- pe termen lung
- menține
- face
- malware
- administrare
- manager
- de fabricaţie
- multe
- Microsoft
- minim
- atenuant
- monitor
- Monitorizarea
- cele mai multe
- mişcare
- trebuie sa
- nativ
- necesar
- Nevoie
- reţea
- rețele
- North
- America de Nord
- notat
- Înștiințare..
- acum
- Obiectivele
- of
- de pe
- oferit
- Offline
- on
- afară
- deschide
- open-source
- de operare
- sistem de operare
- operaţie
- Operațiuni
- or
- organizații
- Altele
- afară
- rezultate
- exterior
- parte
- Parolă
- Parolele
- trecut
- Model
- Efectua
- persistență
- Plato
- Informații despre date Platon
- PlatoData
- Post
- potenţial
- PowerShell
- privilegiu
- privilegii
- protocol
- gamă
- mai degraba
- recent
- regiune
- registru
- la distanta
- acces de la distanță
- Resurse
- rezultând
- Traseul
- s
- Scară
- scanare
- domeniu
- Ecran
- securitate
- serie
- Servere
- serviciu
- să
- semnat
- situație
- Sursă
- Asia de Sud-Est
- specific
- începe
- ascuns
- paşi
- lipicios
- astfel de
- sugerează
- sigur
- sistem
- sisteme
- Taiwan
- Lua
- vizate
- Sarcină
- tehnici de
- Tehnologia
- Terminal
- decât
- acea
- lor
- apoi
- Acolo.
- acest
- deşi?
- amenințare
- de-a lungul
- timp
- la
- Unelte
- trafic
- dezlănțuie
- up-to-data
- utilizare
- utilizat
- Utilizator
- utilizatorii
- utilizări
- folosind
- utilitati
- validare
- victime
- Volt
- VPN
- Vulnerabilitățile
- vulnerabilitate
- scanarea vulnerabilității
- de avertizare
- avertizează
- web
- aplicatie web
- BINE
- cand
- care
- în timp ce
- OMS
- voi
- ferestre
- cu
- în
- fără
- zephyrnet