Một nhóm đe dọa dai dẳng (APT) nâng cao do Trung Quốc hậu thuẫn có tên là Flax Typhoon đã cài đặt một mạng lưới lây nhiễm dai dẳng, lâu dài bên trong hàng chục tổ chức của Đài Loan, có khả năng thực hiện một chiến dịch gián điệp mạng trên diện rộng - và nhóm này đã thực hiện điều đó chỉ bằng cách sử dụng một lượng tối thiểu phần mềm độc hại.
Theo Microsoft, nhóm tấn công mạng do nhà nước bảo trợ phần lớn đang hoạt động ngoài đất liền, sử dụng các công cụ và tiện ích hợp pháp được tích hợp trong hệ điều hành Windows để thực hiện một hoạt động cực kỳ lén lút và dai dẳng.
Hiện tại, hầu hết nạn nhân của cơn bão Flax đều tập trung ở Đài Loan, theo cảnh báo về Flax Typhoon từ Microsoft trong tuần này. Gã khổng lồ điện toán không tiết lộ phạm vi của các cuộc tấn công, nhưng lưu ý rằng các doanh nghiệp bên ngoài Đài Loan cần được chú ý.
Chiến dịch này “sử dụng các kỹ thuật có thể dễ dàng tái sử dụng trong các hoạt động khác bên ngoài khu vực”, nó cảnh báo. Và thực sự, trong quá khứ, mối đe dọa quốc gia đã nhắm vào một loạt các ngành công nghiệp (bao gồm các cơ quan chính phủ và giáo dục, sản xuất quan trọng và công nghệ thông tin) trên khắp Đông Nam Á, cũng như ở Bắc Mỹ và Châu Phi.
Microsoft cảnh báo rằng sẽ rất khó để đánh giá toàn bộ phạm vi thiệt hại của đợt lây nhiễm vì “việc phát hiện và giảm thiểu cuộc tấn công này có thể là một thách thức”. “Các tài khoản bị xâm phạm phải được đóng hoặc thay đổi. Các hệ thống bị xâm phạm phải được cách ly và điều tra.”
Sống ngoài đất đai và phần mềm độc hại hàng hóa
Ngược lại với nhiều APT khác, những người xuất sắc trong việc tạo và phát triển kho vũ khí cụ thể của công cụ tấn công mạng tùy chỉnh, Flax Typhoon thích đi theo một con đường ít bị nhận dạng hơn bằng cách sử dụng phần mềm độc hại có sẵn và các tiện ích gốc của Windows (còn gọi là sống nhờ vào các chương trình nhị phân trên đất hoặc LOLbins) khó sử dụng hơn để phân bổ.
Quy trình lây nhiễm của nó trong loạt cuộc tấn công mới nhất mà Microsoft quan sát được như sau:
- Truy cập ban đầu: Điều này được thực hiện bằng cách khai thác các lỗ hổng đã biết trong các ứng dụng VPN, Web, Java và SQL công khai để triển khai hàng hóa. Vỏ web Chopper Trung Quốc, cho phép thực thi mã từ xa trên máy chủ bị xâm nhập.
- Leo thang đặc quyền: Nếu cần, Flax Typhoon sử dụng khoai tây ngon ngọt, BadPotato và các công cụ nguồn mở khác để khai thác các lỗ hổng leo thang đặc quyền cục bộ.
- Thiết lập quyền truy cập từ xa: Flax Typhoon sử dụng dòng lệnh Công cụ quản lý Windows (WMIC) (hoặc PowerShell hoặc Windows Terminal với đặc quyền của quản trị viên cục bộ) để tắt xác thực cấp mạng (NLA) cho Giao thức máy tính từ xa (RDP). Điều này cho phép Flax Typhoon truy cập vào màn hình đăng nhập Windows mà không cần xác thực và từ đó, sử dụng tính năng trợ năng Sticky Keys trong Windows để khởi chạy Trình quản lý tác vụ với các đặc quyền hệ thống cục bộ. Sau đó, những kẻ tấn công cài đặt một cầu nối VPN hợp pháp để tự động kết nối với cơ sở hạ tầng mạng do tác nhân kiểm soát.
- Sự bền bỉ: Flax Typhoon sử dụng Trình quản lý điều khiển dịch vụ (SCM) để tạo dịch vụ Windows tự động khởi chạy kết nối VPN khi hệ thống khởi động, cho phép tác nhân giám sát tính khả dụng của hệ thống bị xâm nhập và thiết lập kết nối RDP.
- Chuyển động bên: Để truy cập các hệ thống khác trên mạng bị xâm nhập, kẻ tấn công sử dụng các LOLBin khác, bao gồm Windows Remote Management (WinRM) và WMIC, để thực hiện quét mạng và lỗ hổng.
- Quyền truy cập thông tin xác thực: Flax Typhoon thường xuyên triển khai Mimikatz để tự động kết xuất mật khẩu băm cho người dùng đã đăng nhập vào hệ thống cục bộ. Kết quả băm mật khẩu có thể bị bẻ khóa ngoại tuyến hoặc được sử dụng trong các cuộc tấn công pass-the-hash (PtH) để truy cập các tài nguyên khác trên mạng bị xâm nhập.
Điều thú vị là, APT dường như đang chờ đợi thời cơ để thực hiện một trò chơi kết thúc, mặc dù việc lấy cắp dữ liệu có thể là mục tiêu (chứ không phải là các kết quả động học tiềm năng mà Microsoft đã gắn cờ gần đây cho Hoạt động Bão Volt do Trung Quốc tài trợ).
Theo phân tích của Microsoft, “Mô hình hoạt động này khác thường ở chỗ hoạt động tối thiểu xảy ra sau khi tác nhân thiết lập được sự kiên trì”. “Các hoạt động phát hiện và truy cập thông tin xác thực của Flax Typhoon dường như không cho phép các mục tiêu thu thập và lấy cắp dữ liệu tiếp theo. Mặc dù hành vi được quan sát của kẻ tấn công cho thấy Flax Typhoon có ý định thực hiện hoạt động gián điệp và duy trì chỗ đứng trên mạng của họ, Microsoft vẫn chưa quan sát thấy Flax Typhoon hành động vì mục tiêu cuối cùng trong chiến dịch này.”
Bảo vệ chống lại sự thỏa hiệp
Trong bài đăng của mình, Microsoft đã đưa ra một loạt các bước cần thực hiện nếu các tổ chức bị xâm phạm và cần đánh giá quy mô hoạt động của Flax Typhoon trong mạng của họ cũng như khắc phục sự lây nhiễm. Để tránh hoàn toàn tình trạng này, các tổ chức phải đảm bảo rằng tất cả các máy chủ công khai đều được vá lỗi và cập nhật, đồng thời có tính năng giám sát và bảo mật bổ sung như xác thực đầu vào của người dùng, giám sát tính toàn vẹn của tệp, giám sát hành vi và tường lửa ứng dụng Web.
Quản trị viên cũng có thể giám sát sổ đăng ký Windows để phát hiện những thay đổi trái phép; giám sát mọi lưu lượng RDP có thể được coi là trái phép; Và tăng cường bảo mật tài khoản với xác thực đa yếu tố và các biện pháp phòng ngừa khác.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- ChartPrime. Nâng cao trò chơi giao dịch của bạn với ChartPrime. Truy cập Tại đây.
- BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/threat-intelligence/china-unleashes-flax-typhoon-apt-live-off-land-microsoft-warns
- : có
- :là
- :không phải
- 7
- a
- truy cập
- khả năng tiếp cận
- Theo
- Tài khoản
- Trợ Lý Giám Đốc
- Hành động
- hoạt động
- hoạt động
- thêm vào
- tiên tiến
- Châu Phi
- Sau
- chống lại
- cơ quan
- Tất cả
- Cho phép
- cho phép
- Ngoài ra
- Mỹ
- số lượng
- an
- phân tích
- và
- bất kì
- xuất hiện
- xuất hiện
- Các Ứng Dụng
- các ứng dụng
- APT
- LÀ
- AS
- Á
- đánh giá
- At
- tấn công
- Các cuộc tấn công
- Xác thực
- tự động
- sẵn có
- tránh
- BE
- hành vi
- Ngoài
- CẦU
- rộng
- xây dựng
- nhưng
- by
- Chiến dịch
- CAN
- mang
- thách thức
- thay đổi
- Những thay đổi
- Trung Quốc
- đóng cửa
- mã
- đến
- hàng hóa
- Thỏa hiệp
- máy tính
- Kết nối
- liên quan
- xem xét
- Ngược lại
- điều khiển
- có thể
- nứt
- tạo
- Tạo
- quan trọng
- không gian mạng
- Tấn công mạng
- dữ liệu
- triển khai
- triển khai
- máy tính để bàn
- ĐÃ LÀM
- khó khăn
- phát hiện
- do
- thực hiện
- hàng chục
- được mệnh danh là
- đổ
- dễ dàng
- Đào tạo
- cho phép
- doanh nghiệp
- hoàn toàn
- leo thang
- gián điệp
- thành lập
- thành lập
- phát triển
- Excel
- thi hành
- thực hiện
- sự lọc ra
- Khai thác
- khai thác
- mở rộng
- cực kỳ
- Đặc tính
- Tập tin
- cuối cùng
- tường lửa
- được gắn cờ
- sau
- Trong
- thường xuyên
- từ
- Full
- xa hơn
- khổng lồ
- được
- Chính phủ
- cơ quan chính phủ
- Nhóm
- khó hơn
- băm
- Có
- HTTPS
- xác định
- if
- in
- Mặt khác
- Bao gồm
- thực sự
- các ngành công nghiệp
- nhiễm trùng
- thông tin
- công nghệ thông tin
- Cơ sở hạ tầng
- đầu vào
- trong
- cài đặt, dựng lên
- tính toàn vẹn
- trong
- isn
- bị cô lập
- IT
- ITS
- Java
- jpg
- phím
- nổi tiếng
- Quốc gia
- mới nhất
- phóng
- ra mắt
- hợp pháp
- ít
- Có khả năng
- sống
- sống
- địa phương
- lâu
- duy trì
- làm cho
- phần mềm độc hại
- quản lý
- giám đốc
- sản xuất
- nhiều
- microsoft
- tối thiểu
- giảm nhẹ
- Màn Hình
- giám sát
- hầu hết
- phong trào
- phải
- tự nhiên
- cần thiết
- Cần
- mạng
- mạng
- Bắc
- Bắc Mỹ
- lưu ý
- Để ý..
- tại
- mục tiêu
- of
- off
- cung cấp
- Ngoại tuyến
- on
- có thể
- mở
- mã nguồn mở
- hoạt động
- hệ điều hành
- hoạt động
- Hoạt động
- or
- tổ chức
- Nền tảng khác
- ra
- kết quả
- bên ngoài
- một phần
- Mật khẩu
- Mật khẩu
- qua
- Họa tiết
- Thực hiện
- kiên trì
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Bài đăng
- tiềm năng
- PowerShell
- đặc quyền
- đặc quyền
- giao thức
- phạm vi
- hơn
- gần đây
- khu
- đăng ký
- xa
- truy cập từ xa
- Thông tin
- kết quả
- Route
- s
- Quy mô
- quét
- phạm vi
- Màn
- an ninh
- Loạt Sách
- Các máy chủ
- dịch vụ
- nên
- Ký kết
- tình hình
- nguồn
- Đông Nam Á
- riêng
- bắt đầu
- lén lút
- Các bước
- dính
- như vậy
- Gợi ý
- chắc chắn
- hệ thống
- hệ thống
- Đài Loan
- Hãy
- nhắm mục tiêu
- Nhiệm vụ
- kỹ thuật
- Công nghệ
- Thiết bị đầu cuối
- hơn
- việc này
- Sản phẩm
- cung cấp their dịch
- sau đó
- Đó
- điều này
- Tuy nhiên?
- mối đe dọa
- khắp
- thời gian
- đến
- công cụ
- giao thông
- giải phóng
- up-to-date
- sử dụng
- đã sử dụng
- người sử dang
- Người sử dụng
- sử dụng
- sử dụng
- tiện ích
- xác nhận
- nạn nhân
- Volt
- VPN
- Lỗ hổng
- dễ bị tổn thương
- quét lỗ hổng
- cảnh báo
- Cảnh báo
- web
- Ứng dụng web
- TỐT
- khi nào
- cái nào
- trong khi
- CHÚNG TÔI LÀ
- sẽ
- cửa sổ
- với
- ở trong
- không có
- zephyrnet