微软提醒,中国放出了 Flax Typhoon APT 依靠现有资源发动攻击

这个网络间谍团队在多个组织内建立了一个隐匿、难以抵御的持续访问网络,但是他们的最后目的不明确。
微软提醒,中国放出了 Flax Typhoon APT 依靠现有资源发动攻击

一个叫 Flax Typhoon 的中国支持的高级持续性威胁(APT)集团,在许多台湾组织里安装了一个持久、长期的感染网,可能是要进行一场大规模的网络间谍活动——而且它仅仅使用了很少的恶意软件。
据微软所述,这个由国家支持的网络攻击集团主要是利用现有资源生存,利用 Windows 操作系统内置的合法工具和实用程序来进行一项非常隐秘和持续的行动。

现在,根据微软本周对 Flax Typhoon 的警告,Flax Typhoon 的受害者主要集中在台湾。这个计算巨头没有透露攻击的规模,但提醒台湾之外的企业也应该小心。

它警告说,这次活动“使用了一些可以在该地区之外的其他行动中轻易重复使用的技术”。而且事实上,在过去,这个国家级威胁已经针对了东南亚、北美和非洲的各种行业(包括政府机构、教育、关键制造和信息技术)。

由于“检测和减轻这次攻击可能很难”,微软警告说,感染的损害的完整范围将难以评估。“被侵入的账户必须关闭或更改。被侵入的系统必须隔离和调查。”

利用现有资源和常见恶意软件

与很多精通创建和改进定制网络攻击工具的 APT 不同,Flax Typhoon 更倾向于采用一种难以被识别的方式,使用现成的恶意软件和 Windows 原生工具(也叫做利用现有资源的二进制文件或 LOLBins),这些工具更难用于归因。
根据微软观察到的最新一批攻击,它的感染流程如下:

1.初始访问

通过利用面向公众的 VPN、Web、Java 和 SQL 应用程序中的已知漏洞,部署了商品化的 China Chopper 网页后门,它可以在被入侵的服务器上执行远程代码。 提权:如果需要,Flax Typhoon 使用 Juicy Potato、BadPotato 和其他开源工具来利用本地提权漏洞。 建立远程访问:Flax Typhoon 使用 Windows 管理工具命令行(WMIC)(或 PowerShell,或具有本地管理员权限的 Windows 终端)来禁用远程桌面协议(RDP)的网络级身份验证(NLA)。这样 Flax Typhoon 就可以在不进行身份验证的情况下访问 Windows 登录屏幕,并从那里使用 Windows 的粘滞键辅助功能来以本地系统权限启动任务管理器。然后攻击者安装一个合法的 VPN 桥接器,自动连接到攻击者控制的网络基础设施。 持久性:Flax Typhoon 使用服务控制管理器(SCM)来创建一个 Windows 服务,当系统启动时自动启动 VPN 连接,允许攻击者监控被入侵系统的可用性并建立 RDP 连接。 横向移动:为了访问被入侵网络上的其他系统,攻击者使用其他 LOLBins,包括 Windows 远程管理(WinRM)和 WMIC,来进行网络和漏洞扫描。

2.凭证访问

Flax Typhoon 频繁地部署 Mimikatz 来自动导出登录到本地系统的用户的哈希密码。得到的密码哈希可以离线破解或用于传递哈希(PtH)攻击来访问被入侵网络上的其他资源。 有趣的是,这个 APT 似乎在执行最终目标时没有急于行动,尽管数据窃取是可能的目标(而不是微软最近发现的中国支持的 Volt Typhoon 活动可能造成的动力学后果)。

“这种活动模式很不寻常,因为在攻击者建立持久性后几乎没有活动”,根据微软的分析。“Flax Typhoon 的发现和凭证访问活动似乎没有实现进一步的数据收集和窃取目标。虽然攻击者观察到的行为表明 Flax Typhoon 打算进行间谍活动并保持他们的网络立足点,但微软没有观察到 Flax Typhoon 在这次活动中实现最终目标。”

与很多擅长创建和改进定制网络攻击工具的 APT 不同,Flax Typhoon 更愿意采用一种难以被识别的方式,使用现成的恶意软件和 Windows 原生工具(也称为利用现有资源的二进制文件或 LOLBins),这些工具更难用于归因。
根据微软观察到的最新一系列攻击,它的感染流程如下:

初始访问:通过利用面向公众的 VPN、Web、Java 和 SQL 应用程序中的已知漏洞,部署了商品化的 China Chopper 网页后门,它可以在被入侵的服务器上执行远程代码。 提权:如果需要,Flax Typhoon 使用 Juicy Potato、BadPotato 和其他开源工具来利用本地提权漏洞。 建立远程访问:Flax Typhoon 使用 Windows 管理工具命

防止被入侵

微软在其文章里提供了一系列步骤,如果组织被入侵,需要评估 Flax Typhoon 在其网络里的活动范围,并清除感染。为了彻底避免这种情况,组织应该保证所有面向公众的服务器都更新并打上补丁,并增加监控和安全措施,比如用户输入验证、文件完整性监控、行为监控和 Web 应用程序防火墙。
管理员还可以监控 Windows 注册表里的未经授权的更改;监控任何可能被视为是未经授权的 RDP 流量;并通过多因素身份验证和其他预防措施来强化账户安全。

推荐阅读:

Luna Grabber恶意软件针对Roblox游戏开发者

身份不明的勒索软件瞄准中小企业和个人用户

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20