En Kina-stödd grupp avancerat persistent hot (APT) kallad Flax Typhoon har installerat ett nät av ihållande, långvariga infektioner i dussintals taiwanesiska organisationer, som troligen kommer att genomföra en omfattande cyberspionagekampanj – och den gjorde det med endast minimala mängder av skadlig programvara.
Enligt Microsoft lever den statligt sponsrade cyberattackgruppen till största delen av landet och använder legitima verktyg och verktyg inbyggda i Windows-operativsystemet för att utföra en extremt smygande och ihållande operation.
För nu är de flesta av offren för lintyfonen samlade i Taiwan, enligt en varning om Flax Typhoon från Microsoft denna vecka. Datorjätten avslöjar inte omfattningen av attackerna, men noterade att företag utanför Taiwan borde vara underrättade.
Kampanjen "använder tekniker som lätt kan återanvändas i andra verksamheter utanför regionen", varnade den. Och faktiskt, i det förflutna har nationalstatshotet riktat sig mot ett brett spektrum av industrier (inklusive statliga myndigheter och utbildning, kritisk tillverkning och informationsteknologi) i hela Sydostasien, såväl som i Nordamerika och Afrika.
Den fulla omfattningen av infektionernas skada kommer att vara svår att bedöma, med tanke på att "upptäcka och mildra denna attack kan vara utmanande", varnade Microsoft. "Komprometterade konton måste stängas eller ändras. Komprometterade system måste isoleras och undersökas.”
Living Off the Land & Commodity Malware
I motsats till många andra APT som utmärker sig på att skapa och utveckla specifika arsenaler av anpassade cyberattackverktyg, föredrar Flax Typhoon att ta en mindre identifierande väg genom att använda skadlig programvara från hyllan och inbyggda Windows-verktyg (aka. lever av landbinärer, eller LOLbins) som är svårare att använda för tillskrivning.
Dess infektionsrutin i den senaste strömmen av attacker som observerats av Microsoft är följande:
- Första åtkomst: Detta görs genom att utnyttja kända sårbarheter i offentliga VPN-, webb-, Java- och SQL-applikationer för att distribuera varan China Chopper webshell, vilket möjliggör fjärrkörning av kod på den komprometterade servern.
- Privilegiumupptrappning: Vid behov använder Flax Typhoon Saftig potatis, BadPotato och andra verktyg med öppen källkod för att utnyttja lokala sårbarheter med eskalering av rättigheter.
- Upprätta fjärråtkomst: Flax Typhoon använder Windows Management Instrumentation-kommandoraden (WMIC) (eller PowerShell, eller Windows Terminal med lokala administratörsbehörigheter) för att inaktivera nätverksnivåautentisering (NLA) för Remote Desktop Protocol (RDP). Detta gör att Flax Typhoon kan komma åt Windows-inloggningsskärmen utan autentisering och därifrån använda funktionen Sticky Keys-tillgänglighet i Windows för att starta Aktivitetshanteraren med lokala systembehörigheter. Angriparna installerar sedan en legitim VPN-brygga för att automatiskt ansluta till aktörskontrollerad nätverksinfrastruktur.
- Uthållighet: Flax Typhoon använder Service Control Manager (SCM) för att skapa en Windows-tjänst som startar VPN-anslutningen automatiskt när systemet startar, vilket gör att aktören kan övervaka tillgängligheten för det komprometterade systemet och upprätta en RDP-anslutning.
- Lateral rörelse: För att komma åt andra system på det komprometterade nätverket använder skådespelaren andra LOLBins, inklusive Windows Remote Management (WinRM) och WMIC, för att utföra nätverks- och sårbarhetsskanning.
- Autentiseringsåtkomst: Lin Typhoon sprider sig ofta Mimikatz för att automatiskt dumpa hashade lösenord för användare som är inloggade på det lokala systemet. De resulterande lösenordshasharna kan knäckas offline eller användas i pass-the-hash (PtH)-attacker för att komma åt andra resurser på det komprometterade nätverket.
Intressant nog verkar APT bjuda på sin tid när det kommer till att köra ett slutspel, även om dataexfiltrering är det troliga målet (snarare än de potentiella kinetiska resultaten som Microsoft nyligen flaggade för Kina-sponsrad Volt Typhoon-aktivitet).
"Detta aktivitetsmönster är ovanligt eftersom minimal aktivitet inträffar efter att skådespelaren etablerat uthållighet", enligt Microsofts analys. "Flax Typhoons upptäckt och åtkomstaktiviteter verkar inte möjliggöra ytterligare datainsamling och exfiltreringsmål. Även om skådespelarens observerade beteende tyder på att Flax Typhoon har för avsikt att spionera och behålla sitt nätverksfot, har Microsoft inte observerat att Flax Typhoon agerar mot slutmålen i denna kampanj.”
Skydda mot kompromisser
I sitt inlägg erbjöd Microsoft en rad åtgärder att vidta om organisationer äventyras och behöver bedöma omfattningen av Flax Typhoon-aktivitet inom sina nätverk och åtgärda en infektion. För att undvika situationen helt och hållet bör organisationer se till att alla offentliga servrar är korrigerade och uppdaterade, och har ytterligare övervakning och säkerhet som validering av användarinmatning, övervakning av filintegritet, beteendeövervakning och webbapplikationsbrandväggar.
Administratörer kan också övervaka Windows-registret för obehöriga ändringar; övervaka all RDP-trafik som kan anses vara otillåten; och förstärk kontosäkerheten med multifaktorautentisering och andra försiktighetsåtgärder.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- ChartPrime. Höj ditt handelsspel med ChartPrime. Tillgång här.
- BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
- Källa: https://www.darkreading.com/threat-intelligence/china-unleashes-flax-typhoon-apt-live-off-land-microsoft-warns
- : har
- :är
- :inte
- 7
- a
- tillgång
- tillgänglighet
- Enligt
- Konto
- konton
- Agera
- aktiviteter
- aktivitet
- Annat
- avancerat
- afrika
- Efter
- mot
- byråer
- Alla
- tillåta
- tillåter
- också
- amerika
- mängder
- an
- analys
- och
- vilken som helst
- visas
- visas
- Ansökan
- tillämpningar
- APT
- ÄR
- AS
- asien
- bedöma
- At
- attackera
- Attacker
- Autentisering
- automatiskt
- tillgänglighet
- undvika
- BE
- beteende
- Bortom
- BRO
- bred
- byggt
- men
- by
- Kampanj
- KAN
- bära
- utmanande
- ändrats
- Förändringar
- Kina
- stängt
- koda
- kommer
- råvara
- Äventyras
- databehandling
- Kontakta
- anslutning
- anses
- Däremot
- kontroll
- kunde
- knäckt
- skapa
- Skapa
- kritisk
- cyber
- Cyber attack
- datum
- distribuera
- vecklas ut
- desktop
- DID
- svårt
- Upptäckten
- do
- gjort
- dussintals
- dubbade
- dumpa
- lätt
- Utbildning
- möjliggöra
- företag
- helt
- eskalering
- spionage
- etablera
- upprättar
- utvecklas
- excel
- exekvera
- utförande
- exfiltrering
- Exploit
- utnyttja
- omfattande
- extremt
- Leverans
- Fil
- slutlig
- brandväggar
- flaggad
- följer
- För
- ofta
- från
- full
- ytterligare
- jätte
- ges
- Regeringen
- statliga myndigheter
- Grupp
- hårdare
- hashade
- Har
- HTTPS
- identifiera
- if
- in
- I andra
- Inklusive
- ja
- industrier
- infektioner
- informationen
- informationsteknologi
- Infrastruktur
- ingång
- inuti
- installera
- integritet
- in
- isn
- isolerat
- IT
- DESS
- java
- jpg
- nycklar
- känd
- land
- senaste
- lansera
- lanserar
- legitim
- mindre
- sannolikt
- lever
- levande
- lokal
- lång sikt
- bibehålla
- göra
- malware
- ledning
- chef
- Produktion
- många
- Microsoft
- minimum
- förmildrande
- Övervaka
- övervakning
- mest
- rörelse
- måste
- nativ
- nödvändigt för
- Behöver
- nät
- nätverk
- Nord
- nordamerika
- noterade
- Lägga märke till..
- nu
- mål
- of
- sänkt
- erbjuds
- offline
- on
- endast
- öppet
- öppen källkod
- drift
- operativsystem
- drift
- Verksamhet
- or
- organisationer
- Övriga
- ut
- utfall
- utanför
- del
- Lösenord
- lösenord
- Tidigare
- Mönster
- Utföra
- persistens
- plato
- Platon Data Intelligence
- PlatonData
- Inlägg
- potentiell
- Power
- privilegium
- privilegier
- protokoll
- område
- snarare
- nyligen
- region
- register
- avlägsen
- fjärråtkomst
- Resurser
- resulterande
- Rutt
- s
- Skala
- scanning
- omfattning
- screen
- säkerhet
- Serier
- Servrar
- service
- skall
- signerad
- Situationen
- Källa
- Sydostasien
- specifik
- startar
- smygande
- Steg
- klibbig
- sådana
- Föreslår
- säker
- system
- System
- Taiwan
- Ta
- riktade
- uppgift
- tekniker
- Teknologi
- terminal
- än
- den där
- Smakämnen
- deras
- sedan
- Där.
- detta
- fastän?
- hot
- hela
- tid
- till
- verktyg
- trafik
- släpper loss
- TIDSENLIG
- användning
- Begagnade
- Användare
- användare
- användningar
- med hjälp av
- verktyg
- godkännande
- offer
- Volt
- VPN
- sårbarheter
- sårbarhet
- sårbarhetsskanning
- varning
- varnar
- webb
- webbapplikation
- VÄL
- när
- som
- medan
- VEM
- kommer
- fönster
- med
- inom
- utan
- zephyrnet