Një grup kërcënimi i përparuar i vazhdueshëm {backed advanced persistent threat (APT) }i mbështetur nga Kina, i quajtur Flax Typhoon, ka instaluar një rrjet malware të vazhdueshme dhe afatgjata brenda dhjetëra organizatave ne Taiwan , me gjasë për të kryer një fushatë të gjerë spiunazhi kibernetik – dhe këtë e bëri duke përdorur vetëm sasi minimale të malware.
Sipas Microsoft, grupi i sulmeve kibernetike i sponsorizuar nga shteti ka përhapje të madhe , duke përdorur mjete legjitime dhe shërbime të integruara në sistemin operativ Windows për të kryer një operacion jashtëzakonisht të fshehtë dhe të vazhdueshëm.
Për momentin, shumica e viktimave të Flax Typhoon janë grumbulluar në Tajvan, sipas një paralajmërimi për Flax Typhoon nga Microsoft këtë javë. Gjigandi i kompjuterave nuk po zbulon qëllimin e sulmeve, por vuri në dukje se ndërmarrjet përtej Tajvanit duhet të jenë në dijeni.
Fushata po “përdor teknika që mund të ripërdoren lehtësisht në operacione të tjera jashtë rajonit,” paralajmëroi ai. Dhe në të vërtetë, në të kaluarën, kërcënimi i shtetit-komb ka synuar një gamë të gjerë industrish (përfshirë agjencitë qeveritare dhe arsimin, prodhimin kritik dhe teknologjinë e informacionit) në të gjithë Azinë Juglindore, si dhe në Amerikën e Veriut dhe Afrikë.
Shtrirja e plotë e dëmit të sylmit do të jetë e vështirë të vlerësohet, duke pasur parasysh se “zbulimi dhe zbutja e këtij sulmi mund të jetë sfidues”, paralajmëroi Microsoft. “Llogaritë e komprometuara duhet të mbyllen ose ndryshohen. Sistemet e komprometuara duhet të izolohen dhe hetohen.”
Të jetosh jashte Land & Commodity Malware
Në kontrast me shumë APT të tjerë që shkëlqejnë në krijimin dhe zhvillimin e arsenaleve specifike të sulmeve kibernetike, Flax Typhoon preferon të marrë një rrugë më pak identifikuese duke përdorur malware jashtë raftit dhe shërbimet native të Windows (të njohura si të jetuarit jashtë binarëve tokësorë, ose LOLbins ) që janë më të vështira për t’u përdorur për atribuim.
Rutina e tij e infektimit në valën e fundit të sulmeve të vëzhguara nga Microsoft është si më poshtë:
Qasja fillestare: Kjo bëhet duke shfrytëzuar dobësitë e njohura në aplikacionet VPN, Ueb, Java dhe SQL te bej deploy China Chopper webshell, e cila lejon ekzekutimin e kodit në distancë në serverin e komprometuar.
Përshkallëzimi i privilegjit: Nëse është e nevojshme, Flax Typhoon përdor Juicy Potato, BadPotato dhe mjete të tjera me burim të hapur për të shfrytëzuar dobësitë lokale të përshkallëzimit të privilegjeve.
Vendosja e aksesit në distancë: Flax Typhoon përdor linjën e komandës së Instrumentimit të Menaxhimit të Windows (WMIC) (ose PowerShell, ose Terminalin e Windows me privilegje të administratorit lokal) për të çaktivizuar vërtetimin e nivelit të rrjetit (NLA) për Protokollin e Desktopit në distancë (RDP). Kjo i lejon Flax Typhoon të qaset në ekranin e identifikimit të Windows pa vërtetuar dhe, prej andej, të përdorë veçorinë e aksesueshmërisë së “Sticky Keys” në Windows për të hapur Task Manager me privilegje të sistemit lokal. Sulmuesit më pas instalojnë një urë legjitime VPN për t’u lidhur automatikisht me infrastrukturën e rrjetit të kontrolluar nga aktori.
Qëndrueshmëria: Flax Typhoon përdor Menaxherin e Kontrollit të Shërbimit (SCM) për të krijuar një shërbim Windows që nis automatikisht lidhjen VPN kur sistemi fillon, duke i lejuar aktorit të monitorojë disponueshmërinë e sistemit të komprometuar dhe të krijojë një lidhje RDP.
Lëvizja anësore: Për të hyrë në sisteme të tjera në rrjetin e komprometuar, aktori përdor LOLBina të tjera, duke përfshirë Windows Remote Management (WinRM) dhe WMIC, për të kryer skanimin e rrjetit dhe dobësive.
Qasja në kredencialet: Flax Typhoon vendos shpesh Mimikatz për të hedhur automatikisht fjalëkalimet e hash për përdoruesit e regjistruar në sistemin lokal. Hash-et e fjalëkalimit që rezultojnë mund të thyhen jashtë linje ose të përdoren në sulmet pass-the-hash (PtH) për të hyrë në burime të tjera në rrjetin e komprometuar.
“Ky model aktiviteti është i pazakontë në atë që aktiviteti minim,” sipas analizës së Microsoft. “Aktivitetet e zbulimit dhe aksesit të kredencialeve të Flax Typhoon nuk duket se mundësojnë mbledhjen e mëtejshme të të dhënave dhe objektivat e ekfiltrimit. Ndërsa sjellja e vëzhguar e aktorit sugjeron që Flax Typhoon të kryejë spiunazh dhe të ruajë bazat e tyre në rrjet.
Në postimin e tij, Microsoft ofroi një sërë hapash për të ndërmarrë nëse organizatat rrezikohen dhe duhet të vlerësojnë shkallën e aktivitetit të Flax Typhoon brenda rrjeteve të tyre dhe të korrigjojnë një infeksion. Për të shmangur plotësisht situatën, organizatat duhet të sigurohen që të gjithë serverët me akses publik të jenë të monitorurar dhe të përditësuar, dhe të kenë monitorim dhe siguri shtesë, si vlefshmëria e hyrjes së përdoruesit, monitorimi i integritetit të skedarëve, monitorimi i sjelljes dhe firewall të aplikacioneve në web.
Administratorët mund të monitorojnë gjithashtu regjistrin e Windows për ndryshime të paautorizuara; monitoroni për çdo trafik RDP që mund të konsiderohet i paautorizuar; dhe forconi sigurinë e llogarisë me vërtetimin me shumë faktorë dhe masa të tjera paraprake.
