Поддерживаемая Китаем группа продвинутых постоянных угроз (APT), получившая название Flax Typhoon, установила сеть постоянных, долгосрочных заражений в десятках тайваньских организаций, вероятно, для проведения обширной кампании кибершпионажа — и она сделала это, используя лишь минимальное количество вредоносное ПО.
По данным Microsoft, спонсируемая государством группа кибератак по большей части живет за счет земли, используя законные инструменты и утилиты, встроенные в операционную систему Windows, для проведения чрезвычайно скрытных и постоянных операций.
По данным, на данный момент большинство жертв «Льняного тайфуна» сконцентрированы на Тайване. предупреждение о Flax Typhoon от Microsoft на этой неделе. Компьютерный гигант не разглашает масштабы атак, но отметил, что предприятиям за пределами Тайваня следует быть в курсе.
В кампании «используются методы, которые можно легко повторно использовать в других операциях за пределами региона», предупредили они. И действительно, в прошлом угроза национального государства была нацелена на широкий спектр отраслей (включая правительственные учреждения и образование, критически важное производство и информационные технологии) по всей Юго-Восточной Азии, а также в Северной Америке и Африке.
Полный масштаб ущерба от инфекций будет трудно оценить, учитывая, что «обнаружение и смягчение этой атаки может быть сложной задачей», предупредила Microsoft. «Скомпрометированные аккаунты должны быть закрыты или изменены. Скомпрометированные системы должны быть изолированы и исследованы».
Жизнь за счет земли и товарных вредоносных программ
В отличие от многих других APT, которые преуспевают в создании и развитии специфических арсеналов специальные инструменты кибератак, Flax Typhoon предпочитает идти менее идентифицирующим путем, используя готовые вредоносные программы и собственные утилиты Windows (также известные как жизнь за счет наземных бинарных файлов или LOLbins), которые сложнее использовать для атрибуции.
Процедура заражения в последней серии атак, наблюдаемых Microsoft, выглядит следующим образом:
- Первоначальный доступ: Это делается путем использования известных уязвимостей в общедоступных VPN-приложениях, веб-приложениях, Java и SQL для развертывания товарного продукта. Веб-оболочка China Chopper, что позволяет удаленно выполнять код на скомпрометированном сервере.
- Повышение привилегий: При необходимости «Льняной Тайфун» использует Сочный картофель, BadPotato и другие инструменты с открытым исходным кодом для использования локальных уязвимостей повышения привилегий.
- Устанавливаем удаленный доступ: Flax Typhoon использует командную строку инструментария управления Windows (WMIC) (или PowerShell, или терминал Windows с правами локального администратора) для отключения аутентификации на уровне сети (NLA) для протокола удаленного рабочего стола (RDP). Это позволяет Flax Typhoon получить доступ к экрану входа в Windows без аутентификации и оттуда использовать функцию специальных возможностей Sticky Keys в Windows для запуска диспетчера задач с локальными системными привилегиями. Затем злоумышленники устанавливают законный VPN-мост для автоматического подключения к сетевой инфраструктуре, контролируемой субъектами.
- Упорство: Flax Typhoon использует Service Control Manager (SCM) для создания службы Windows, которая автоматически запускает VPN-соединение при запуске системы, позволяя злоумышленнику отслеживать доступность скомпрометированной системы и устанавливать RDP-соединение.
- Боковое движение: Для доступа к другим системам в скомпрометированной сети злоумышленник использует другие LOLBins, включая Windows Remote Management (WinRM) и WMIC, для выполнения сканирования сети и уязвимостей.
- Доступ к учетным данным: Часто развертывается «Льняной тайфун». Mimikatz для автоматического сохранения хешированных паролей пользователей, вошедших в локальную систему. Полученные хэши паролей можно взломать в автономном режиме или использовать в атаках с передачей хеша (PtH) для доступа к другим ресурсам в скомпрометированной сети.
Интересно, что APT, похоже, выжидает своего часа, когда дело доходит до реализации финальной игры, хотя вероятной целью является утечка данных (а не потенциальные кинетические результаты, о которых Microsoft недавно отметила). Спонсируемая Китаем деятельность «Вольт Тайфун»).
«Этот образец активности необычен тем, что минимальная активность происходит после того, как актор установил постоянство», — согласно анализу Microsoft. «Обнаружение Flax Typhoon и деятельность по доступу к учетным данным, похоже, не способствуют дальнейшему сбору данных и их эксфильтрации. Хотя наблюдаемое поведение актера позволяет предположить, что Flax Typhoon намерен заниматься шпионажем и сохранять свои позиции в сети, Microsoft не заметила, чтобы Flax Typhoon действовала для достижения конечных целей в этой кампании».
Защита от компрометации
В своем сообщении Microsoft предложила ряд шагов, которые следует предпринять, если организация скомпрометирована и ей необходимо оценить масштаб активности Flax Typhoon в своих сетях и устранить заражение. Чтобы полностью избежать такой ситуации, организациям следует убедиться, что все общедоступные серверы исправлены и обновлены, а также имеют дополнительный мониторинг и безопасность, такие как проверка ввода данных пользователем, мониторинг целостности файлов, поведенческий мониторинг и брандмауэры веб-приложений.
Администраторы также могут отслеживать реестр Windows на предмет несанкционированных изменений; отслеживать любой трафик RDP, который можно считать несанкционированным; и повысить безопасность учетной записи с помощью многофакторной аутентификации и другие меры предосторожности.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- ЧартПрайм. Улучшите свою торговую игру с ChartPrime. Доступ здесь.
- Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/china-unleashes-flax-typhoon-apt-live-off-land-microsoft-warns
- :имеет
- :является
- :нет
- 7
- a
- доступ
- доступность
- По
- Учетная запись
- Учетные записи
- Действие (Act):
- активно
- деятельность
- дополнительный
- продвинутый
- Африка
- После
- против
- агентствах
- Все
- Позволяющий
- позволяет
- причислены
- Америка
- суммы
- an
- анализ
- и
- любой
- появиться
- появляется
- Применение
- Приложения
- APT
- МЫ
- AS
- Азия
- оценить
- At
- атаковать
- нападки
- Аутентификация
- автоматически
- свободных мест
- избежать
- BE
- поведение
- Beyond
- МОСТ
- широкий
- построенный
- но
- by
- Кампания
- CAN
- нести
- сложные
- менялась
- изменения
- Китай
- закрыто
- код
- выходит
- товар
- Ослабленный
- вычисление
- Свяжитесь
- связи
- считается
- контраст
- контроль
- может
- треснувший
- Создайте
- Создающий
- критической
- кибер-
- Кибератака
- данным
- развертывание
- развертывает
- компьютера
- DID
- трудный
- открытие
- do
- сделанный
- множество
- дублированный
- дамп
- легко
- Обучение
- включить
- предприятий
- полностью
- эскалация
- шпионаж
- установить
- налаживает
- развивается
- Excel
- проведение
- выполнение
- эксфильтрации
- Эксплуатировать
- эксплуатации
- обширный
- чрезвычайно
- Особенность
- Файл
- окончательный
- межсетевые экраны
- Помеченные
- следующим образом
- Что касается
- часто
- от
- полный
- далее
- гигант
- данный
- Правительство
- государственные учреждения
- группы
- Сильнее
- хешированное
- Есть
- HTTPS
- идентифицирующий
- if
- in
- В других
- В том числе
- действительно
- промышленности
- инфекции
- информация
- информационная технология
- Инфраструктура
- вход
- внутри
- устанавливать
- целостность
- в
- мобильной
- изолированный
- IT
- ЕГО
- Java
- JPG
- ключи
- известный
- Земля
- последний
- запуск
- запускает
- законный
- Меньше
- Вероятно
- жить
- жизнью
- локальным
- долгосрочный
- поддерживать
- сделать
- вредоносных программ
- управление
- менеджер
- производство
- многих
- Microsoft
- минимальный
- смягчающим
- монитор
- Мониторинг
- самых
- движение
- должен
- родной
- необходимо
- Необходимость
- сеть
- сетей
- север
- Северная Америка
- отметил,
- Уведомление..
- сейчас
- целей
- of
- от
- предложенный
- оффлайн
- on
- только
- открытый
- с открытым исходным кодом
- операционный
- операционная система
- операция
- Операционный отдел
- or
- организации
- Другое
- внешний
- Результаты
- внешнюю
- часть
- Пароль
- пароли
- мимо
- шаблон
- Выполнять
- настойчивость
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- После
- потенциал
- PowerShell
- привилегия
- привилегии
- протокол
- ассортимент
- скорее
- недавно
- область
- реестра
- удаленные
- удаленный доступ
- Полезные ресурсы
- в результате
- дорога
- s
- Шкала
- сканирование
- сфера
- экран
- безопасность
- Серии
- Серверы
- обслуживание
- должен
- подписанный
- ситуация
- Источник
- Юго-Восточная Азия
- конкретный
- начинается
- скрытый
- Шаги
- липкий
- такие
- Предлагает
- Убедитесь
- система
- системы
- Тайвань
- взять
- целевое
- Сложность задачи
- снижения вреда
- Технологии
- Терминал
- чем
- который
- Ассоциация
- их
- тогда
- Там.
- этой
- хоть?
- угроза
- по всему
- время
- в
- инструменты
- трафик
- развязывает
- новейший
- использование
- используемый
- Информация о пользователе
- пользователей
- использования
- через
- коммунальные услуги
- Проверка
- жертвы
- Вольт
- VPN
- Уязвимости
- уязвимость
- сканирование уязвимостей
- предупреждение
- предупреждает
- Web
- веб приложение
- ЧТО Ж
- когда
- , которые
- в то время как
- КТО
- будете
- окна
- в
- без
- зефирнет