Skupina za napredne trajne grožnje (APT), imenovana Flax Typhoon, ki jo podpira Kitajska, je v desetine tajvanskih organizacij namestila mrežo trajnih, dolgotrajnih okužb, ki bodo verjetno izvedle obsežno kampanjo kibernetskega vohunjenja – in to je storilo z le minimalnimi količinami zlonamerna programska oprema.
Po mnenju Microsofta skupina za kibernetske napade, ki jo sponzorira država, večinoma živi od zemlje in uporablja zakonita orodja in pripomočke, vgrajene v operacijski sistem Windows, za izvajanje izjemno prikrite in vztrajne operacije.
Po navedbah je za zdaj največ žrtev tajfuna Flax zbranih v Tajvanu Microsoftovo opozorilo o Flax Typhoon ta teden. Računalniški velikan ne razkriva obsega napadov, vendar je opozoril, da bi morala biti podjetja zunaj Tajvana pozorna.
Kampanja "uporablja tehnike, ki bi jih bilo mogoče zlahka ponovno uporabiti v drugih operacijah zunaj regije," je opozorilo. In res je v preteklosti grožnja nacionalne države ciljala na širok spekter industrij (vključno z vladnimi agencijami in izobraževanjem, kritično proizvodnjo in informacijsko tehnologijo) po vsej jugovzhodni Aziji, pa tudi v Severni Ameriki in Afriki.
Celoten obseg škode zaradi okužbe bo težko oceniti, glede na to, da bi lahko "odkrivanje in ublažitev tega napada predstavljala izziv," je opozoril Microsoft. »Ogrožene račune je treba zapreti ali spremeniti. Ogrožene sisteme je treba izolirati in raziskati.«
Živeti brez zemlje in zlonamerna programska oprema
V nasprotju s številnimi drugimi APT-ji, ki blestijo pri ustvarjanju in razvoju specifičnih arzenalov orodja za kibernetske napade po meri, Flax Typhoon raje ubere manj prepoznavno pot z uporabo že pripravljene zlonamerne programske opreme in izvornih pripomočkov Windows (oz. živijo od kopenskih binarnih datotek ali LOLbinov), ki jih je težje uporabiti za dodeljevanje.
Njegova rutina okužbe v zadnjem nizu napadov, ki jih je opazil Microsoft, je naslednja:
- Začetni dostop: To se naredi z izkoriščanjem znanih ranljivosti v javnih aplikacijah VPN, spletu, Java in SQL za uvajanje blaga China Chopper webshell, ki omogoča oddaljeno izvajanje kode na ogroženem strežniku.
- Stopnjevanje privilegijev: Če je potrebno, uporablja Flax Typhoon Sočen krompir, BadPotato in druga odprtokodna orodja za izkoriščanje ranljivosti lokalnega stopnjevanja privilegijev.
- Vzpostavitev oddaljenega dostopa: Flax Typhoon uporablja ukazno vrstico Windows Management Instrumentation (WMIC) (ali PowerShell ali terminal Windows z lokalnimi skrbniškimi pravicami), da onemogoči preverjanje pristnosti na ravni omrežja (NLA) za protokol oddaljenega namizja (RDP). To omogoča Flax Typhoon dostop do zaslona za prijavo v Windows brez preverjanja pristnosti in od tam uporablja funkcijo dostopnosti Sticky Keys v sistemu Windows za zagon upravitelja opravil z lokalnimi sistemskimi pravicami. Napadalci nato namestijo legitimen most VPN za samodejno povezavo z omrežno infrastrukturo, ki jo nadzoruje igralec.
- Vztrajnost: Flax Typhoon uporablja Service Control Manager (SCM) za ustvarjanje storitve Windows, ki samodejno zažene povezavo VPN, ko se sistem zažene, kar igralcu omogoča spremljanje razpoložljivosti ogroženega sistema in vzpostavitev povezave RDP.
- Bočno gibanje: Za dostop do drugih sistemov v ogroženem omrežju igralec uporablja druge LOLBins, vključno z Windows Remote Management (WinRM) in WMIC, za izvajanje skeniranja omrežja in ranljivosti.
- Dostop poverilnic: Flax Typhoon se pogosto uporablja Mimikatz za samodejno izpisovanje zgoščenih gesel za uporabnike, prijavljene v lokalni sistem. Nastale zgoščene vrednosti gesel je mogoče vdreti brez povezave ali uporabiti v napadih z zgoščeno vrednostjo (PtH) za dostop do drugih virov v ogroženem omrežju.
Zanimivo je, da se zdi, da APT pričakuje svoj čas, ko gre za izvedbo končne igre, čeprav je verjetno cilj izločanje podatkov (namesto potencialnih kinetičnih izidov, ki jih je Microsoft pred kratkim označil za Dejavnost Volt Typhoon, ki jo sponzorira Kitajska).
"Ta vzorec dejavnosti je nenavaden, saj se minimalna aktivnost pojavi, ko akter vzpostavi vztrajnost," je razvidno iz Microsoftove analize. »Zdi se, da dejavnosti odkrivanja in dostopa do poverilnic Flax Typhoon ne omogočajo nadaljnjih ciljev zbiranja podatkov in iztiskanja. Medtem ko opazovano vedenje igralca nakazuje, da namerava Flax Typhoon izvajati vohunjenje in ohraniti svojo mrežo, Microsoft ni opazil, da bi Flax Typhoon deloval na končnih ciljih v tej kampanji.«
Zaščita pred kompromisom
V svoji objavi je Microsoft ponudil vrsto korakov, ki jih je treba sprejeti, če so organizacije ogrožene in morajo oceniti obseg dejavnosti Flax Typhoon v svojih omrežjih ter odpraviti okužbo. Da bi se tej situaciji v celoti izognili, bi morale organizacije poskrbeti, da so vsi javni strežniki popravljeni in posodobljeni ter imeti dodatno spremljanje in varnost, kot je preverjanje uporabniških vnosov, nadzor celovitosti datotek, vedenjski nadzor in požarni zidovi spletnih aplikacij.
Skrbniki lahko tudi spremljajo register Windows za nepooblaščene spremembe; spremljajte promet RDP, ki bi se lahko štel za nepooblaščenega; in okrepite varnost računa z večfaktorsko avtentikacijo in drugi previdnostni ukrepi.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Avtomobili/EV, Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- ChartPrime. Izboljšajte svojo igro trgovanja s ChartPrime. Dostopite tukaj.
- BlockOffsets. Posodobitev okoljskega offset lastništva. Dostopite tukaj.
- vir: https://www.darkreading.com/threat-intelligence/china-unleashes-flax-typhoon-apt-live-off-land-microsoft-warns
- :ima
- : je
- :ne
- 7
- a
- dostop
- dostopnost
- Po
- Račun
- računi
- Zakon
- dejavnosti
- dejavnost
- Dodatne
- napredno
- Afrika
- po
- proti
- agencije
- vsi
- Dovoli
- omogoča
- Prav tako
- Amerika
- zneski
- an
- Analiza
- in
- kaj
- zdi
- se prikaže
- uporaba
- aplikacije
- APT
- SE
- AS
- asia
- oceniti
- At
- napad
- Napadi
- Preverjanje pristnosti
- samodejno
- razpoložljivost
- izogniti
- BE
- vedenje
- Poleg
- MOST
- široka
- zgrajena
- vendar
- by
- Akcija
- CAN
- opravlja
- izziv
- spremenilo
- Spremembe
- Kitajska
- zaprto
- Koda
- prihaja
- blago
- Ogroženo
- računalništvo
- Connect
- povezava
- šteje
- kontrast
- nadzor
- bi
- razpokan
- ustvarjajo
- Ustvarjanje
- kritično
- cyber
- Kibernetski napad
- datum
- razporedi
- razpolaga
- desktop
- DID
- težko
- Odkritje
- do
- opravljeno
- desetine
- poimenovan
- smetišče
- enostavno
- Izobraževanje
- omogočajo
- podjetja
- popolnoma
- Stopnjevanje
- vohunjenja
- vzpostaviti
- vzpostavlja
- razvija
- Excel
- izvršitve
- izvedba
- eksfiltracija
- Izkoristite
- izkoriščanje
- obsežen
- izredno
- Feature
- file
- končna
- požarni zidovi
- označeno
- sledi
- za
- pogosto
- iz
- polno
- nadalje
- velikan
- dana
- vlada
- vladne agencije
- skupina
- težje
- ošišan
- Imajo
- HTTPS
- identifikacijo
- if
- in
- V drugi
- Vključno
- prav zares
- industrij
- okužbe
- Podatki
- informacijska tehnologija
- Infrastruktura
- vhod
- v notranjosti
- namestitev
- celovitost
- v
- isn
- izolirani
- IT
- ITS
- Java
- jpg
- tipke
- znano
- Država
- Zadnji
- kosilo
- izstrelki
- legitimno
- manj
- Verjeten
- v živo
- živi
- lokalna
- dolgoročna
- vzdrževati
- Znamka
- zlonamerna programska oprema
- upravljanje
- upravitelj
- proizvodnja
- več
- Microsoft
- minimalna
- ublažitev
- monitor
- spremljanje
- Najbolj
- Gibanje
- morajo
- materni
- potrebno
- Nimate
- mreža
- omrežij
- sever
- North America
- opozoriti
- Opaziti..
- zdaj
- Cilji
- of
- off
- ponujen
- offline
- on
- samo
- odprite
- open source
- deluje
- operacijski sistem
- Delovanje
- operacije
- or
- organizacije
- Ostalo
- ven
- rezultatov
- zunaj
- del
- Geslo
- gesla
- preteklosti
- Vzorec
- Izvedite
- vztrajnost
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Prispevek
- potencial
- PowerShell
- privilegij
- privilegiji
- protokol
- območje
- precej
- Pred kratkim
- okolica
- registra
- daljinsko
- Remote Access
- viri
- rezultat
- Pot
- s
- Lestvica
- skeniranje
- Obseg
- Zaslon
- varnost
- Serija
- Strežniki
- Storitev
- shouldnt
- podpisano
- Razmere
- vir
- Jugovzhodna Azija
- specifična
- začne
- Manjka
- Koraki
- lepljiv
- taka
- Predlaga
- Preverite
- sistem
- sistemi
- Tajvan
- Bodite
- ciljno
- Naloga
- tehnike
- Tehnologija
- terminal
- kot
- da
- O
- njihove
- POTEM
- Tukaj.
- ta
- čeprav?
- Grožnja
- vsej
- čas
- do
- orodja
- Prometa
- sprosti
- up-to-date
- uporaba
- Rabljeni
- uporabnik
- Uporabniki
- uporablja
- uporabo
- javne gospodarske službe
- potrjevanje
- žrtve
- Volt
- VPN
- Ranljivosti
- ranljivost
- skeniranje ranljivosti
- opozorilo
- Opozori
- web
- Spletna aplikacija
- Dobro
- kdaj
- ki
- medtem
- WHO
- bo
- okna
- z
- v
- brez
- zefirnet