一个名为 Flax Typhoon 的中国支持的高级持续威胁 (APT) 组织已在数十个台湾组织内安装了持续、长期感染的网络,可能会开展广泛的网络间谍活动,而且它仅使用极少量的恶意软件。
据微软称,这个由国家支持的网络攻击组织大部分时间都在陆地上生活,使用 Windows 操作系统内置的合法工具和实用程序来执行极其隐秘和持久的操作。
目前,亚麻台风的大部分受害者集中在台湾。 微软本周对亚麻台风发出警告。 这家计算巨头没有透露攻击的范围,但指出台湾以外的企业应该引起注意。
它警告说,该活动“使用的技术可以很容易地在该地区以外的其他行动中重复使用”。 事实上,在过去,民族国家的威胁针对的是整个东南亚以及北美和非洲的广泛行业(包括政府机构和教育、关键制造和信息技术)。
微软警告称,鉴于“检测和减轻这种攻击可能具有挑战性”,因此很难评估感染损害的全部范围。 “必须关闭或更改受损帐户。 必须隔离并调查受损系统。”
靠土地为生和商品恶意软件
与许多其他擅长创建和发展特定武器库的 APT 相比, 定制网络攻击工具,Flax Typhoon 更喜欢通过使用现成的恶意软件和本机 Windows 实用程序(又名 靠陆地二进制文件或 LOLbins 为生)更难用于归因。
微软观察到的最新一波攻击中其感染流程如下:
- 初始访问: 这是通过利用面向公众的 VPN、Web、Java 和 SQL 应用程序中的已知漏洞来部署商品来完成的 中国菜刀 webshell,允许在受感染的服务器上远程执行代码。
- 权限提升: 如有必要,亚麻台风使用 多汁土豆、BadPotato 等开源工具利用本地权限提升漏洞。
- 建立远程访问: Flax Typhoon 使用 Windows Management Instrumentation 命令行 (WMIC)(或 PowerShell,或具有本地管理员权限的 Windows 终端)禁用远程桌面协议 (RDP) 的网络级身份验证 (NLA)。 这允许 Flax Typhoon 无需身份验证即可访问 Windows 登录屏幕,并从那里使用 Windows 中的粘滞键辅助功能以本地系统权限启动任务管理器。 然后,攻击者安装合法的 VPN 桥来自动连接到攻击者控制的网络基础设施。
- 持续性: Flax Typhoon 使用服务控制管理器 (SCM) 创建一项 Windows 服务,该服务在系统启动时自动启动 VPN 连接,从而允许攻击者监控受感染系统的可用性并建立 RDP 连接。
- 横向运动: 为了访问受感染网络上的其他系统,攻击者使用其他 LOLBins(包括 Windows 远程管理 (WinRM) 和 WMIC)来执行网络和漏洞扫描。
- 凭证访问: 亚麻台风频繁部署 Mimikatz 自动转储登录到本地系统的用户的哈希密码。 生成的密码哈希可以离线破解或用于哈希传递 (PtH) 攻击,以访问受感染网络上的其他资源。
有趣的是,APT 在执行残局时似乎正在等待时机,尽管数据泄露是可能的目标(而不是微软最近标记的潜在动态结果) 中国赞助的伏特台风活动).
根据微软的分析,“这种活动模式很不寻常,因为在行为者建立持久性后,发生的活动极少”。 “Flax Typhoon 的发现和凭证访问活动似乎无法实现进一步的数据收集和渗透目标。 虽然观察到的行为者的行为表明 Flax Typhoon 意图执行间谍活动并维持其网络立足点,但微软尚未观察到 Flax Typhoon 在此次活动中实现最终目标。”
防止妥协
在其帖子中,微软提供了如果组织受到损害并需要评估其网络内亚麻台风活动的规模并修复感染时可以采取的一系列步骤。 为了完全避免这种情况,组织应确保所有面向公众的服务器都已打补丁并保持最新状态,并具有额外的监控和安全功能,例如用户输入验证、文件完整性监控、行为监控和 Web 应用程序防火墙。
管理员还可以监控 Windows 注册表是否有未经授权的更改; 监控任何可能被视为未经授权的 RDP 流量; 和 通过多因素身份验证强化帐户安全 和其他预防措施。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
- 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
- 柏拉图ESG。 汽车/电动汽车, 碳, 清洁科技, 能源, 环境, 太阳能, 废物管理。 访问这里。
- 柏拉图健康。 生物技术和临床试验情报。 访问这里。
- 图表Prime。 使用 ChartPrime 提升您的交易游戏。 访问这里。
- 块偏移量。 现代化环境抵消所有权。 访问这里。
- Sumber: https://www.darkreading.com/threat-intelligence/china-unleashes-flax-typhoon-apt-live-off-land-microsoft-warns
- :具有
- :是
- :不是
- 7
- a
- ACCESS
- 访问
- 根据
- 账号管理
- 账户
- 法案
- 活动
- 活动
- 额外
- 高级
- 非洲
- 后
- 驳
- 机构
- 所有类型
- 允许
- 允许
- 还
- 美国
- 量
- an
- 分析
- 和
- 任何
- 出现
- 出现
- 应用领域
- 应用领域
- APT
- 保健
- AS
- 亚洲
- 评估
- At
- 攻击
- 攻击
- 认证
- 自动
- 可用性
- 避免
- BE
- 行为
- 超越
- 桥
- 广阔
- 建
- 但是
- by
- 营销活动
- CAN
- 携带
- 挑战
- 变
- 更改
- 中国
- 关闭
- 码
- 购买的订单均
- 商品
- 妥协
- 计算
- 分享链接
- 地都
- 考虑
- 对比
- 控制
- 可以
- 皴
- 创建信息图
- 创造
- 危急
- 网络
- 网络攻击
- data
- 部署
- 部署
- 通过电脑捐款
- DID
- 难
- 发现
- do
- 完成
- 几十个
- 配音
- 倾倒
- 容易
- 教育
- enable
- 企业
- 完全
- 升级
- 间谍
- 建立
- 建立
- 演变
- Excel
- 执行
- 执行
- 渗出
- 利用
- 利用
- 广泛
- 非常
- 专栏
- 文件
- 最后
- 防火墙
- 已标记
- 如下
- 针对
- 频繁
- 止
- ,
- 进一步
- 巨人
- 特定
- 政府
- 政府机构
- 团队
- 更难
- 哈希
- 有
- HTTPS
- 确定
- if
- in
- 其他
- 包含
- 的确
- 行业
- 感染
- 信息
- 信息技术
- 基础设施
- 输入
- 内
- 安装
- 诚信
- 成
- ISN
- 孤立
- IT
- 它的
- 爪哇岛
- JPG
- 键
- 已知
- 土地
- 最新
- 发射
- 启动
- 合法
- 减
- 容易
- 生活
- 活的
- 本地
- 长期
- 保持
- 使
- 恶意软件
- 颠覆性技术
- 经理
- 制造业
- 许多
- 微软
- 最小
- 缓解
- 显示器
- 监控
- 最先进的
- 运动
- 必须
- 本地人
- 必要
- 需求
- 网络
- 网络
- 北
- 北美
- 注意到
- 注意..
- 现在
- 目标
- of
- 折扣
- 最多线路
- 这一点在线下监测数字化产品的影响方面尤为明显。
- on
- 仅由
- 打开
- 开放源码
- 操作
- 操作系统
- 操作
- 运营
- or
- 组织
- 其他名称
- 输出
- 结果
- 学校以外
- 部分
- 密码
- 密码
- 过去
- 模式
- 演出
- 坚持
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 帖子
- 潜力
- PowerShell的
- 特权
- 权限
- 协议
- 范围
- 宁
- 最近
- 地区
- 注册处
- 远程
- 通过远程访问
- 资源
- 导致
- 路线
- s
- 鳞片
- 扫描
- 范围
- 屏风
- 保安
- 系列
- 服务器
- 服务
- 应该
- 签
- 情况
- 来源
- 东南亚
- 具体的
- 启动
- 鬼鬼祟祟
- 步骤
- 黏
- 这样
- 提示
- 肯定
- 系统
- 产品
- 台湾
- 采取
- 针对
- 任务
- 技术
- 专业技术
- 终端
- 比
- 这
- 其
- 然后
- 那里。
- Free Introduction
- 虽然?
- 威胁
- 始终
- 次
- 至
- 工具
- 交通
- 释放
- 跟上时代的
- 使用
- 用过的
- 用户
- 用户
- 使用
- 运用
- 公用事业
- 验证
- 受害者
- 伏
- VPN
- 漏洞
- 漏洞
- 漏洞扫描
- 警告
- 警告
- 卷筒纸
- Web应用程序
- 井
- ,尤其是
- 这
- 而
- WHO
- 将
- 窗户
- 中
- 也完全不需要
- 和风网