Flax Typhoon adlı Çin destekli bir gelişmiş kalıcı tehdit (APT) grubu, düzinelerce Tayvanlı kuruluşa, muhtemelen kapsamlı bir siber casusluk kampanyası yürütecek kalıcı, uzun vadeli bir enfeksiyon ağı kurdu ve bunu yalnızca minimum miktarda veri kullanarak yaptı. kötü amaçlı yazılım.
Microsoft'a göre, devlet destekli siber saldırı grubu, son derece gizli ve kalıcı bir operasyon gerçekleştirmek için Windows işletim sisteminde yerleşik meşru araçları ve yardımcı programları kullanarak çoğunlukla karadan geçiniyor.
Şu an için Flax Typhoon kurbanlarının çoğu Tayvan'da toplanıyor. Microsoft'tan bu hafta Flax Typhoon'a ilişkin uyarı. Bilgisayar devi, saldırıların kapsamını açıklamıyor ancak Tayvan dışındaki işletmelerin de dikkatli olması gerektiğini belirtti.
Kampanyanın "bölge dışındaki diğer operasyonlarda kolaylıkla yeniden kullanılabilecek teknikleri kullandığı" konusunda uyardı. Ve gerçekten de geçmişte, ulus-devlet tehdidi Güneydoğu Asya'nın yanı sıra Kuzey Amerika ve Afrika'da da geniş bir endüstri yelpazesini (devlet kurumları ve eğitim, kritik üretim ve bilgi teknolojisi dahil) hedef alıyordu.
Microsoft, "bu saldırının tespit edilmesi ve hafifletilmesinin zor olabileceği" göz önüne alındığında, enfeksiyonların verdiği hasarın tam kapsamını değerlendirmenin zor olacağı konusunda uyardı. “Ele geçirilen hesaplar kapatılmalı veya değiştirilmeli. Güvenliği ihlal edilen sistemler izole edilmeli ve araştırılmalıdır.”
Toprak Dışında Yaşamak ve Emtia Kötü Amaçlı Yazılımları
Belirli silah depolarını yaratma ve geliştirmede başarılı olan diğer birçok APT'nin aksine özel siber saldırı araçları, Flax Typhoon, kullanıma hazır kötü amaçlı yazılımları ve yerel Windows yardımcı programlarını (aka karadaki ikili dosyalar veya LOLbin'lerle yaşamak) ilişkilendirme için kullanılması daha zordur.
Microsoft tarafından gözlemlenen en son saldırılardaki bulaşma rutini aşağıdaki gibidir:
- İlk erişim: Bu, emtiayı dağıtmak için halka açık VPN, Web, Java ve SQL uygulamalarındaki bilinen güvenlik açıklarından yararlanılarak yapılır. Çin Chopper web kabuğu, güvenliği ihlal edilen sunucuda uzaktan kod yürütülmesine izin verir.
- Ayrıcalık artışı: Gerekirse Flax Typhoon şunları kullanır: Sulu Patates, BadPotato ve yerel ayrıcalık yükseltme güvenlik açıklarından yararlanmak için diğer açık kaynaklı araçlar.
- Uzaktan erişimin kurulması: Flax Typhoon, Uzak Masaüstü Protokolü (RDP) için ağ düzeyinde kimlik doğrulamayı (NLA) devre dışı bırakmak üzere Windows Yönetim Araçları komut satırını (WMIC) (veya PowerShell'i veya yerel yönetici ayrıcalıklarına sahip Windows Terminalini) kullanır. Bu, Flax Typhoon'un kimlik doğrulaması yapmadan Windows oturum açma ekranına erişmesine ve oradan Windows'taki Yapışkan Tuşlar erişilebilirlik özelliğini kullanarak Görev Yöneticisini yerel sistem ayrıcalıklarıyla başlatmasına olanak tanır. Saldırganlar daha sonra aktör tarafından kontrol edilen ağ altyapısına otomatik olarak bağlanmak için meşru bir VPN köprüsü kurar.
- Kalıcılık: Flax Typhoon, sistem başlatıldığında VPN bağlantısını otomatik olarak başlatan bir Windows hizmeti oluşturmak için Hizmet Kontrol Yöneticisini (SCM) kullanır ve aktörün güvenliği ihlal edilen sistemin kullanılabilirliğini izlemesine ve bir RDP bağlantısı kurmasına olanak tanır.
- Yanal hareket: Aktör, ele geçirilen ağdaki diğer sistemlere erişmek için ağ ve güvenlik açığı taraması gerçekleştirmek üzere Windows Uzaktan Yönetim (WinRM) ve WMIC dahil olmak üzere diğer LOLBin'leri kullanır.
- Kimlik bilgileri erişimi: Flax Typhoon sık sık devreye giriyor Mimikatz Yerel sistemde oturum açan kullanıcılar için karma parolaların otomatik olarak dökümünü yapmak. Ortaya çıkan şifre karmaları çevrimdışı olarak kırılabilir veya güvenliği ihlal edilen ağdaki diğer kaynaklara erişmek için karma geçiş (PtH) saldırılarında kullanılabilir.
İlginç bir şekilde, APT bir oyun sonunu yürütmeye geldiğinde zamanını bekliyor gibi görünüyor, ancak olası hedef veri sızıntısı (Microsoft'un yakın zamanda işaretlediği potansiyel kinetik sonuçlardan ziyade) Çin sponsorluğundaki Volt Typhoon etkinliği).
Microsoft'un analizine göre "Bu aktivite modeli alışılmadık bir durum çünkü aktör kalıcılık sağladıktan sonra minimum aktivite meydana geliyor." “Flax Typhoon'un keşif ve kimlik bilgilerine erişim faaliyetleri, daha fazla veri toplama ve sızma hedeflerini mümkün kılacak gibi görünmüyor. Aktörün gözlemlenen davranışı, Flax Typhoon'un casusluk yapma ve ağdaki yerini koruma niyetinde olduğunu öne sürse de Microsoft, bu kampanyada Flax Typhoon'un nihai hedeflere yönelik eylemini gözlemlemedi.”
Uzlaşmaya Karşı Koruma
Microsoft, gönderisinde kuruluşların güvenliğinin ihlal edilmesi ve ağlarındaki Flax Typhoon etkinliğinin ölçeğini değerlendirmeleri ve bir enfeksiyonu düzeltmeleri gerekiyorsa atılacak bir dizi adım önerdi. Bu durumdan tamamen kaçınmak için kuruluşlar, halka açık tüm sunucuların yamalı ve güncel olduğundan ve kullanıcı girişi doğrulaması, dosya bütünlüğü izleme, davranışsal izleme ve Web uygulaması güvenlik duvarları gibi ek izleme ve güvenliğe sahip olduğundan emin olmalıdır.
Yöneticiler ayrıca Windows kayıt defterini yetkisiz değişikliklere karşı izleyebilir; Yetkisiz sayılabilecek herhangi bir RDP trafiğini izlemek; Ve çok faktörlü kimlik doğrulamayla hesap güvenliğini güçlendirin ve diğer önlemler.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- ChartPrime. Ticaret Oyununuzu ChartPrime ile yükseltin. Buradan Erişin.
- Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
- Kaynak: https://www.darkreading.com/threat-intelligence/china-unleashes-flax-typhoon-apt-live-off-land-microsoft-warns
- :vardır
- :dır-dir
- :olumsuzluk
- 7
- a
- erişim
- ulaşabilme
- Göre
- Hesap
- Hesaplar
- Hareket
- faaliyetler
- etkinlik
- Ek
- ileri
- Afrika
- Sonra
- karşı
- ajansları
- Türkiye
- Izin
- veriyor
- Ayrıca
- Amerika
- tutarları
- an
- analiz
- ve
- herhangi
- görünmek
- belirir
- Uygulama
- uygulamaları
- APT
- ARE
- AS
- Asya
- belirlemek
- At
- saldırı
- saldırılar
- Doğrulama
- otomatik olarak
- kullanılabilirliği
- önlemek
- BE
- davranış
- Ötesinde
- KÖPRÜ
- geniş
- yapılı
- fakat
- by
- Kampanya
- CAN
- taşımak
- zor
- değişmiş
- değişiklikler
- Çin
- kapalı
- kod
- geliyor
- emtia
- Uzlaşılmış
- bilgisayar
- Sosyal medya
- bağ
- kabul
- kontrast
- kontrol
- olabilir
- çatlak
- yaratmak
- Oluşturma
- kritik
- Siber
- Siber saldırı
- veri
- dağıtmak
- dağıtır
- masaüstü
- DID
- zor
- keşif
- do
- yapılmış
- onlarca
- dublajlı
- dökmek
- kolayca
- Eğitim
- etkinleştirmek
- işletmelerin
- Baştan sona
- kızışma
- casusluk
- kurmak
- kurar
- gelişen
- Excel
- yürütme
- infaz
- dumping
- sömürmek
- sömürme
- kapsamlı, geniş
- son derece
- Özellikler(Hazırlık aşamasında)
- fileto
- son
- güvenlik duvarları
- bayraklı
- şu
- İçin
- sık sık
- itibaren
- tam
- daha fazla
- dev
- verilmiş
- Hükümet
- devlet kurumları
- grup
- Daha güçlü
- karma
- Var
- HTTPS
- belirlenmesi
- if
- in
- Diğer
- Dahil olmak üzere
- gerçekten
- Endüstri
- enfeksiyonları
- bilgi
- bilgi teknolojisi
- Altyapı
- giriş
- içeride
- kurmak
- bütünlük
- içine
- degil
- yalıtılmış
- IT
- ONUN
- Java
- jpg
- anahtarlar
- bilinen
- arazi
- son
- başlatmak
- başlattı
- meşru
- az
- Muhtemelen
- yaşamak
- yaşayan
- yerel
- uzun süreli
- korumak
- yapmak
- kötü amaçlı yazılım
- yönetim
- müdür
- üretim
- çok
- Microsoft
- en az
- hafifletici
- izlemek
- izleme
- çoğu
- hareket
- şart
- yerli
- gerekli
- gerek
- ağ
- ağlar
- Kuzey
- Kuzey Amerika
- ünlü
- Fark etme..
- şimdi
- hedefleri
- of
- kapalı
- sunulan
- çevrimdışı
- on
- bir tek
- açık
- açık kaynak
- işletme
- işletim sistemi
- operasyon
- Operasyon
- or
- organizasyonlar
- Diğer
- dışarı
- sonuçlar
- dışında
- Bölüm
- Şifre
- şifreleri
- geçmiş
- model
- Yapmak
- sebat
- Platon
- Plato Veri Zekası
- PlatoVeri
- Çivi
- potansiyel
- PowerShell
- ayrıcalık
- ayrıcalıklar
- protokol
- menzil
- daha doğrusu
- geçenlerde
- bölge
- kayıt
- uzak
- uzaktan erişim
- Kaynaklar
- Ortaya çıkan
- Rota
- s
- ölçek
- tarama
- kapsam
- Ekran
- güvenlik
- Dizi
- Sunucular
- hizmet
- meli
- imzalı
- durum
- Kaynak
- Güneydoğu Asya
- özel
- başlar
- gizli
- Basamaklar
- yapışkan
- böyle
- Önerdi
- elbette
- sistem
- Sistemler
- Tayvan
- Bizi daha iyi tanımak için
- Hedeflenen
- Görev
- teknikleri
- Teknoloji
- terminal
- göre
- o
- The
- ve bazı Asya
- sonra
- Orada.
- Re-Tweet
- gerçi?
- tehdit
- boyunca
- zaman
- için
- araçlar
- trafik
- serbest bırakır
- aktüel
- kullanım
- Kullanılmış
- kullanıcı
- kullanıcılar
- kullanım
- kullanma
- kamu hizmetleri
- onaylama
- kurbanlar
- Volt
- VPN
- güvenlik açıkları
- güvenlik açığı
- güvenlik açığı taraması
- uyarı
- Uyardı
- ağ
- Web uygulaması
- İYİ
- ne zaman
- hangi
- süre
- DSÖ
- irade
- pencereler
- ile
- içinde
- olmadan
- zefirnet