Підтримувана Китаєм група передових постійних загроз (APT) під назвою Flax Typhoon встановила мережу постійних тривалих заражень у десятках тайванських організацій, які, ймовірно, будуть проводити широку кампанію кібершпигунства — і вона зробила це, використовуючи лише мінімальну кількість шкідливе програмне забезпечення.
За словами Microsoft, спонсорована державою група кібератак здебільшого живе за рахунок землі, використовуючи законні інструменти та утиліти, вбудовані в операційну систему Windows, для виконання надзвичайно прихованої та наполегливої операції.
Згідно з даними, на даний момент більшість жертв тайфуну Флекс зосереджено на Тайвані попередження про Flax Typhoon від Microsoft цього тижня. Обчислювальний гігант не розголошує масштаб атак, але зазначив, що підприємства за межами Тайваню повинні бути попереджені.
У кампанії «використовуються методи, які можна легко повторно використати в інших операціях за межами регіону», попереджається в ній. І справді, у минулому загроза національній державі була націлена на широкий спектр галузей (включно з державними установами та освітою, критичним виробництвом та інформаційними технологіями) по всій Південно-Східній Азії, а також у Північній Америці та Африці.
Повний масштаб збитків від інфекцій буде важко оцінити, враховуючи, що «виявлення та пом’якшення цієї атаки може бути складним завданням», попередила Microsoft. «Зламані облікові записи мають бути закриті або змінені. Зламані системи мають бути ізольовані та досліджені».
Життя за рахунок землі та товарне шкідливе програмне забезпечення
На відміну від багатьох інших APT, які чудово створюють і розвивають специфічні арсенали призначені для користувача засоби кібератак, Flax Typhoon вважає за краще використовувати менш ідентифікаційний шлях, використовуючи готове зловмисне програмне забезпечення та рідні утиліти Windows (також живуть за рахунок бінарних файлів землі, або LOLbins), які важче використовувати для атрибуції.
Порядок його зараження під час останньої серії атак, які спостерігала Microsoft, такий:
- Початковий доступ: Це робиться шляхом використання відомих уразливостей у загальнодоступних програмах VPN, Web, Java та SQL для розгортання продукту Китай Чоппер webshell, що дозволяє віддалено виконувати код на скомпрометованому сервері.
- Підвищення привілеїв: При необхідності Льон Тайфун використовує Соковита картопля, BadPotato та інші інструменти з відкритим кодом для використання вразливостей підвищення локальних привілеїв.
- Встановлення віддаленого доступу: Flax Typhoon використовує командний рядок Windows Management Instrumentation (WMIC) (або PowerShell, або термінал Windows із правами локального адміністратора), щоб вимкнути автентифікацію на рівні мережі (NLA) для протоколу віддаленого робочого стола (RDP). Це дозволяє Flax Typhoon отримувати доступ до екрана входу в Windows без автентифікації, а звідти використовувати функцію спеціальних можливостей Sticky Keys у Windows для запуску диспетчера завдань із правами локальної системи. Потім зловмисники встановлюють законний міст VPN для автоматичного підключення до мережевої інфраструктури, контрольованої актором.
- Постійність: Flax Typhoon використовує Service Control Manager (SCM) для створення служби Windows, яка запускає VPN-з’єднання автоматично під час запуску системи, дозволяючи актору відстежувати доступність скомпрометованої системи та встановлювати з’єднання RDP.
- Бічний рух: Щоб отримати доступ до інших систем у скомпрометованій мережі, актор використовує інші LOLBins, у тому числі Windows Remote Management (WinRM) і WMIC, для виконання сканування мережі та вразливостей.
- Доступ до облікових даних: Flax Typhoon часто розгортається Мімікац для автоматичного скидання хешованих паролів для користувачів, які ввійшли в локальну систему. Отримані хеші паролів можна зламати в режимі офлайн або використати в атаках із затримкою хешу (PtH) для доступу до інших ресурсів у скомпрометованій мережі.
Цікаво, що APT, схоже, чекає свого часу, коли справа доходить до виконання ендшпілю, хоча ймовірною метою є викрадання даних (а не потенційні кінетичні наслідки, про які Microsoft нещодавно повідомила). Спонсорована Китаєм активність тайфуну Вольт).
Згідно з аналізом Microsoft, «ця модель активності є незвичайною, оскільки мінімальна активність виникає після того, як актор встановлює наполегливість». «Діяльність Flax Typhoon щодо виявлення та доступу до облікових даних, здається, не дозволяє досягти подальших цілей збору даних і викрадання. Хоча спостережена поведінка актора свідчить про наміри Flax Typhoon здійснювати шпигунство та підтримувати свої мережі, Microsoft не спостерігала, як Flax Typhoon виконує кінцеві цілі цієї кампанії».
Захист від компромісу
У своєму дописі Microsoft запропонувала низку кроків, які необхідно вжити, якщо організації скомпрометовані й потребують оцінки масштабу активності Flax Typhoon у їхніх мережах та усунення інфекції. Щоб повністю уникнути цієї ситуації, організації повинні переконатися, що всі загальнодоступні сервери виправлені та оновлені, а також мають додатковий моніторинг і захист, наприклад перевірку введених користувачем даних, моніторинг цілісності файлів, моніторинг поведінки та брандмауери веб-додатків.
Адміністратори також можуть контролювати реєстр Windows на наявність несанкціонованих змін; відстежувати будь-який трафік RDP, який можна вважати неавторизованим; і посилити безпеку облікового запису за допомогою багатофакторної автентифікації та інші запобіжні заходи.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- ChartPrime. Розвивайте свою торгову гру за допомогою ChartPrime. Доступ тут.
- BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
- джерело: https://www.darkreading.com/threat-intelligence/china-unleashes-flax-typhoon-apt-live-off-land-microsoft-warns
- : має
- :є
- : ні
- 7
- a
- доступ
- доступність
- За
- рахунки
- Рахунки
- Діяти
- діяльності
- діяльність
- Додатковий
- просунутий
- Африка
- після
- проти
- агентства
- ВСІ
- Дозволити
- дозволяє
- Також
- Америка
- суми
- an
- аналіз
- та
- будь-який
- з'являтися
- з'являється
- додаток
- застосування
- APT
- ЕСТЬ
- AS
- Азія
- оцінити
- At
- атака
- нападки
- Authentication
- автоматично
- наявність
- уникнути
- BE
- поведінка
- За
- BRIDGE
- широкий
- побудований
- але
- by
- Кампанія
- CAN
- нести
- складні
- змінилися
- Зміни
- Китай
- закрито
- код
- приходить
- товар
- Компрометація
- обчислення
- З'єднуватися
- зв'язку
- вважається
- контрастність
- контроль
- може
- тріщини
- створювати
- створення
- критичний
- кібер-
- Кібератака
- дані
- розгортання
- розгортає
- робочий стіл
- DID
- важкий
- відкриття
- do
- зроблений
- безліч
- охрестили
- дамп
- легко
- Освіта
- включіть
- підприємств
- повністю
- ескалація
- шпигунство
- встановити
- встановлює
- еволюціонує
- перевершувати
- виконання
- виконання
- ексфільтрація
- Експлуатувати
- експлуатація
- обширний
- надзвичайно
- особливість
- філе
- остаточний
- міжмережеві екрани
- позначений прапором
- слідує
- для
- часто
- від
- Повний
- далі
- гігант
- даний
- Уряд
- державні установи
- Group
- важче
- хеш
- Мати
- HTTPS
- ідентифікує
- if
- in
- В інших
- У тому числі
- дійсно
- промисловості
- інфекції
- інформація
- інформаційна технологія
- Інфраструктура
- вхід
- всередині
- встановлювати
- цілісність
- в
- isn
- ізольований
- IT
- ЙОГО
- Java
- JPG
- ключі
- відомий
- земля
- останній
- запуск
- запуски
- законний
- менше
- Ймовірно
- жити
- життя
- місцевий
- довгостроковий
- підтримувати
- зробити
- шкідливих програм
- управління
- менеджер
- виробництво
- багато
- Microsoft
- мінімальний
- пом’якшення
- монітор
- моніторинг
- найбільш
- руху
- повинен
- рідний
- необхідно
- Необхідність
- мережу
- мереж
- На північ
- Північна Америка
- зазначив,
- Зверніть увагу..
- зараз
- цілей
- of
- від
- запропонований
- offline
- on
- тільки
- відкрити
- з відкритим вихідним кодом
- операційний
- операційна система
- операція
- операції
- or
- організації
- Інше
- з
- Результати
- поза
- частина
- Пароль
- Паролі
- Минуле
- Викрійки
- Виконувати
- наполегливість
- plato
- Інформація про дані Платона
- PlatoData
- пошта
- потенціал
- PowerShell
- привілей
- привілеї
- протокол
- діапазон
- швидше
- нещодавно
- регіон
- реєстру
- віддалений
- Віддалений доступ
- ресурси
- в результаті
- Маршрут
- s
- шкала
- сканування
- сфера
- Екран
- безпеку
- Серія
- Сервери
- обслуговування
- Повинен
- підписаний
- ситуація
- Source
- Південно-Східна Азія
- конкретний
- починається
- крадькома
- заходи
- липкий
- такі
- Запропонує
- Переконайтеся
- система
- Systems
- Taiwan
- Приймати
- цільове
- Завдання
- методи
- Технологія
- термінал
- ніж
- Що
- Команда
- їх
- потім
- Там.
- це
- хоча?
- загроза
- по всьому
- час
- до
- інструменти
- трафік
- розв’язує
- відповідний сучасним вимогам
- використання
- використовуваний
- користувач
- користувачі
- використовує
- використання
- комунальні послуги
- перевірка достовірності
- жертви
- Volt
- VPN
- Уразливості
- вразливість
- сканування уразливостей
- попередження
- Попереджає
- Web
- Веб-додаток
- ДОБРЕ
- коли
- який
- в той час як
- ВООЗ
- волі
- windows
- з
- в
- без
- зефірнет